Fachartikel

Dokumentieren gemäß EU-DSGVO

|IT-Security|IT-Service-Management

...mit i-doit und Data Privacy Add-on leicht gemacht

Die EU-DSGVO bringt im Vergleich zur bisherigen Rechtslage etliche neue Dokumentationserfordernisse mit sich. Etwa um der in Artikel 5 Absatz 2 geforderten Rechenschaftspflicht (Accountability) nachkommen zu können. Auch das in Artikel 30 vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten ist letztlich eine Dokumentationsaufgabe. Was liegt näher, als diesen Dokumentationspflichten mit Hilfe eines Tools nachzukommen, das sich auf die IT-Dokumentation spezialisiert hat? SHD stellt Ihnen gern dieses praktische Add-on für die Dokumentationslösung i-doit näher vor.

Das Data Privacy Add-on erweitert i-doit um Objekttypen und Kategorien, die nicht nur die verpflichtenden Inhalte solch eines Verzeichnisses aufnehmen, sondern unterstützt Verantwortliche auch bei der Dokumentation der jeweiligen Rechtsgrundlage auf deren Basis die Verarbeitung der Daten erfolgt. Diese Information ist kein verpflichtender Inhalt des Verzeichnisses der Verarbeitungstätigkeiten. Aber sie muss zunächst verfügbar sein, um dem Grundsatz der »Rechtmäßigkeit« nachkommen zu können – denn für jede Verarbeitung personenbezogener Daten muss eine Rechtsgrundlage existieren. Die Dokumentation der Rechtsgrundlage dient wiederum dazu, die Einhaltung dieses Grundsatzes nachzuweisen, also der »Rechenschaftspflicht« nachkommen zu können.

Was muss dokumentiert werden?


Ein weiterer Grundsatz für die Verarbeitung personenbezogener Daten ist die Sicherheit dieser Daten. Also die Gewährleistung der Sicherheitsziele »Vertraulichkeit«, »Verfügbarkeit« und »Integrität«. Um diese Sicherheitsziele zu erreichen, sind Verantwortliche einer Verarbeitungstätigkeit und Auftragsverarbeiter in gleichem Maße zur Umsetzung risikoadäquater Maßnahmen zum Schutz vor relevanten Bedrohungen verpflichtet. Das Risiko setzt sich zusammen aus:

  • der Häufigkeit einer Bedrohung
  • dem Grad der Verwundbarkeit der Verarbeitungstätigkeit
  • gegenüber einer solchen Bedrohung
  • dem potentiellen Verlust oder Schaden, der im Eintrittsfall entstehen kann

Der potenzielle Schaden, der Betroffenen und/oder Verantwortlichen bei »erfolgreicher« Ausnutzung einer Schwachstelle entsteht, drückt sich als »Schutzbedarf« einer Verarbeitungstätigkeit aus. Auch das ist eine Information, die mit Hilfe des Privacy Add-on dokumentiert und für eine weitere Verwendung genutzt werden kann. Die beiden anderen Größen der Risikoanalyse neben dem Schutzbedarf, sind die Bedrohungen und deren Häufigkeit sowie der Grad der Verwundbarkeit der jeweiligen Verarbeitungstätigkeit, respektive der Software und Infrastruktur, die zur Verarbeitung der Daten verwendet wird.

Wer braucht das Data-Privacy Add-on?


Organisationen, die bereits ein Information Security Management System (ISMS) nach der ISO 27000 Reihe oder dem BSI-Standard 100-1, respektive des modernisierten BSI-Standard 200-1 betreiben, werden den Anforderungen der DSGVO hinsichtlich des Risikomanagements vermutlich bereits gerecht.

All jenen Organisationen, denen der bürokratische Aufwand eines solchen ISMS zu groß ist oder aus anderen Gründen eine einfachere Lösung suchen, bietet das Privacy Add-on die Möglichkeit, gleichartige Verarbeitungstätigkeiten zu einem IT-Verbund zu gruppieren und für diese das Risikomanagement anhand der »Elementaren Gefährdungen« aus dem BSI IT-Grundschutz-Katalog G 0 zu dokumentieren. Das ISMS muss schließlich in einen Prozess überführt werden, der die Reaktion auf Sicherheitsvorfälle, Überwachung und Auditierung der ergriffenen Maßnahmen, Anpassung der Richtlinien etc. sicherstellt. Auch dabei unterstützt das Privacy Add-on im Zusammenspiel mit i-doit Standard Features wie Workflows, Benachrichtigungen und Reports.DAS zentrale Ziel von i-doit ist es, Informationen nutzbar zu machen: Daten werden nur an einer Stelle aktuell gehalten und sind immer in der richtigen Form verfügbar. Getreu diesem Grundsatz können die Informationen, die mit Hilfe des Privacy Add-on dokumentiert werden, auch für andere Zwecke als der Erfüllung der reinen Dokumentationspflichten genutzt werden. Etwa um den Informationspflichten gemäß Artikel 13 der DSGVO nachzukommen. Denkbar wäre eine direkte Generierung dieser Informationen aus i-doit über die JSON API und Einbindung in die Datenschutzerklärung auf einer Website.

Unser Angebot


Als Ergänzung zum kostenlosen Privacy Add-on bietet SHD gemeinsam mit don’t panic it-services og ein Support- und Dienstleistungspaket zu € 500,00 mit folgenden Inhalten an:

  • Remote Einschulung im Umfang von ca. einer Stunde
  • CSV File als Beispiel für den Import der Verarbeitungstätigkeit »Personalverwaltung«
  • Access basiertes Tool zur Erstellung von CSV Files für den Import von Verarbeitungstätigkeiten
  • Script zur Generierung eines DSGVO konformen Verzeichnis der Verarbeitungstätigkeiten als PDF
  • Support per E-Mail

Zum Hintergrund: Seit Mitte 2017 ist SHD Entwicklungs- und Vertriebspartner von i-doit. Im breiten Lösungsportfolio rund um IT-Dokumentation bieten zahlreiche Partner spezialisierte Add-ons an. Informieren Sie sich gern unter: https://www.i-doit.com/produkte/add-ons/

Unsere ITSM-Experten der SHD beraten Sie gern zu passenden Tools für Ihre Fragestellung!

Weiterführende Informationen:

Prozessorientiertes ISMS

 

Bildquelle/Copyright: © SHD — shd-online.de

Kontaktieren Sie uns