Jusletter IT

Datencockpit.at – Erfüllung der Dokumentationspflichten der DSGVO

  • Author: Bernhard Krabina
  • Category: Articles
  • Region: Austria
  • Field of law: LegalTech, Data Protection
  • Collection: Conference proceedings IRIS 2018
  • Citation: Bernhard Krabina, Datencockpit.at – Erfüllung der Dokumentationspflichten der DSGVO, in: Jusletter IT 22 February 2018
Die DSGVO fordert von Unternehmen umfassende Dokumentation. Ausgehend von einer Darstellung der relevanten Gesetzesmaterien können mit dem Datencockpit als Fachanwendung für Datenschutz-Aspekte alle Dokumentationspflichten erfüllt werden. Neben dem Führen des Verfahrensverzeichnisses können auch Informationen zu Datenschutz-Folgeabschätzungen, Auskunftsersuchen, Lösch- und Berichtigungsanträge, Datenschutzverletzungen sowie Fragestellungen aus der Praxis dokumentiert werden. Im von Netidee.at geförderten Projekt Datencockpit.at kann gezeigt werden, welche Möglichkeiten die Open-Source-Lösung zur Erfüllung der Dokumentationspflichten im Rahmen eines aktiven Datenschutzmanagements bietet.

Inhaltsverzeichnis

  • 1. Problemstellung
  • 2. Lösungsansatz
  • 2.1. Gesetzestext und Erläuterungen
  • 2.2. Glossar
  • 2.3. Fragestellungen
  • 2.4. Verfahrensverzeichnis
  • 2.5. Diskussionsforum und Benutzerseiten
  • 2.6. Checkliste
  • 3. Ausblick

1.

Problemstellung ^

[1]
Das unmittelbar bevorstehende Inkrafttreten der Datenschutz-Grundverordnung (DSGVO)1 bzw. das ab 25. Mai 2018 gültige österreichische Datenschutz-Anpassungsgesetz 2018 (DSG)2 fordert eine intensive Befassung mit technischem und vor allem organisatorischem Datenschutz3. Zentral dabei ist die Erfüllung einiger Dokumentationspflichten, allen voran die Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO, im Weiteren kurz «Verfahrensverzeichnis»). Die DSGVO legt lediglich fest, dass das Verzeichnis schriftlich zu führen ist, «was auch in einem elektronischen Format erfolgen kann». Obwohl damit grundsätzlich zwar sowohl Papierform als auch das Führen von Listen mit herkömmlichen Office-Programmen rechtlich ausreichend wäre, so ist ein papierbasiertes bzw. dokumentenzentriertes Verzeichnis weder technisch noch organisatorisch zeitgemäß.
[2]
Neben dem Führen eines Verfahrensverzeichnisses sind auch Verletzungen des Schutzes personenbezogener Daten zu dokumentieren (Art. 33 Abs. 5 DSGVO). Auch eine Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) wird in der Praxis wohl in schriftlicher Form erfolgen.

2.

Lösungsansatz ^

[3]
Das Zentrum für Verwaltungsforschung (KDZ) setzt im Projekt «Datencockpit.at» nun eine Wissensdatenbank um, mit dem Ziel, die Dokumentationserfordernisse aus der DSGVO bestmöglich zu unterstützen. Als technische Lösung wurde die bewährte Open-Source-Lösung Semantic MediaWiki4 verwendet, die die Möglichkeiten eines Wikis erweitert, indem strukturierte Daten im Wiki definiert und weiterverwendet werden können.5 Das Datencockpit kann im internen Organisationsnetzwerk zum Einsatz kommen.

2.1.

Gesetzestext und Erläuterungen ^

[4]
Die Basis der Plattform bildet eine übersichtliche Darstellung von DSGVO und DSG sowie Erläuterungen. Dadurch, dass beide Dokumente nicht nur verlinkt, sondern pro Paragraph die Texte in Wiki-Seiten übertragen wurden, stehen die Texte auch in der Volltextsuche des Wikis zur Verfügung. Die Darstellung erfolgt auf einer responsiven Oberfläche, damit die Inhalte auch auf mobilen Endgeräten gut verwendbar sind. Pro Paragraph werden die Absätze angezeigt, über ein Menü «Ausklappen» bzw. «Einklappen» kann pro Absatz die dazugehörige Erläuterung aus- bzw. eingeblendet werden.

Abbildung 1: Darstellung eines Paragraphen (linke Spalte),  der Fragestellungen (rechte Spalte), sowie der Diskussionsbeiträge (darunter). Quelle: http://www.datencockpit.at/DSGVO:Artikel_2._Sachlicher_Anwendungsbereich

2.2.

Glossar ^

[5]
Es steht ein zweigliedriges Glossar zur Verfügung: Glossareinträge, wie z.B. «Verarbeitung» mit einer entsprechenden Auflösung des Begriffs können händisch angelegt werden. Auf allen Wiki-Seiten, wo der Glossarbegriff vorkommt, wird der Begriff unterwellt hervorgehoben und bei Mouse-Over wird die Erklärung angezeigt (siehe oben, Abb. 1). Der Glossareintrag kann für weitere Erklärungen oder Informationen angeklickt werden. Ein weiterer Teil des Glossars wird automatisch erstellt. Es werden zu allen Paragraphen-bzw. Artikelnummern, wie z.B. «§6» die entsprechende Bezeichnung des Paragraphen, wie z.B. «Datengeheimnis» hinterlegt, ohne dass dies händisch erfolgen müsste. Somit können Erwähnungen von Paragraphen in den Texten leichter aufgelöst werden und bei Bedarf können die User durch Klick auf den entsprechenden Paragraphen zu diesem wechseln.

2.3.

Fragestellungen ^

[6]
Fragestellungen, die sich für die Umsetzung in der Praxis ergeben, können entweder bei dem jeweiligen Paragraphen/Artikel erfasst werden, den sie betreffen, oder auch für allgemeine Fragestellungen unter einem eigenen Menüpunkt. Die Erfassung kann in Organisationen von einzelnen Abteilungen erfolgen, die (teilweise) Beantwortung offener Fragestellungen kann durch RechtsexpertInnen bzw. die Datenschutzbeauftragten erfolgen.

2.4.

Verfahrensverzeichnis ^

[7]
Für die Erstellung von Einträgen in das Verfahrensverzeichnis steht ein einfaches Eingabeformular zur Verfügung.

Abbildung 2: Eingabeformular für einen Eintrag im Verfahrensverzeichnis. Quelle: http://www.datencockpit.at/index.php?title=Verfahren:Mitarbeiterverzeichnis&action=formedit

[8]

Mit dem Datencockpit ist es möglich, ein gemeinschaftlich im Unternehmen erstelltes Verfahrensverzeichnis zu erstellen und zu warten. Das Verfahrensverzeichnis enthält dabei nicht nur die gesetzlich geforderten Informationen, sondern wird um weitere, intern relevante Daten wie betroffene IT-Anwendungen oder am Verfahren beteiligte Abteilungen ergänzt, wodurch ein aktives Datenschutzmanagement in der Organisation unterstützt wird. Ein statisches Verfahrensverzeichnis, das zweimal pro Jahr neu ausgedruckt wird, mag den gesetzlichen Anforderungen zwar genügen, eine Anwendung, die laufend über datenschutzrelevante Themen informiert, bietet aber weit mehr Möglichkeiten.

2.5.

Diskussionsforum und Benutzerseiten ^

[9]
Es ist ein allgemeines Diskussionsforum verfügbar und es gibt auch die Möglichkeit, zu einzelnen Paragraphen oder Fragestellungen Diskussionsbeiträge zu erstellen. Auf Benutzerseiten können die Benutzerinnen und Benutzer auf Wunsch Informationen über sich hinterlegen, wie z.B. Kontaktinformationen. Ihre markierten Fragestellungen und ihre Diskussionsbeiträge werden dort automatisch aufgelistet.

2.6.

Checkliste ^

[10]
Eine einfache Checkliste informiert über den aktuellen Informationsstand im Datencockpit.

Abbildung 3: Checkliste für den Stand der Umsetzung des Datencockpits. Quelle: http://www.datencockpit.at/Checkliste

3.

Ausblick ^

[11]
Eine erste Version des Datencockpits wird per Ende März 2018 zur Verfügung stehen, so dass noch genügend Zeit bleibt, um das Cockpit im eigenen Netzwerk zu installieren und die benötigten Informationen einzutragen. Durch den Einsatz der webbasierten Technologie und die Verzahnung von Inhalten kann es gelingen, sowohl den Verantwortlichen im Unternehmen und den Datenschutzbeauftragten, als auch den Mitarbeiterinnen und Mitarbeitern einen umfassenden und aktuellen Überblick über die relevanten Rechtsmaterien, den Stand von Fragestellungen aus der Praxis sowie den Eintragungen in das Verfahrensverzeichnis und weiteren relevanten Inhalten zu bieten. Damit steht ein Tool für ein aktives Datenschutzmanagement in Organisationen, basierend auf Open-Source-Technologie zur Verfügung.
  1. 1 Vgl. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Ratesvom 27. April 2016zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Online in: http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE (alle Websites zuletzt abgerufen am 19. Januar 2018).
  2. 2 Vgl. Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG). Online in: https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597.
  3. 3 Vgl. Knyrim, R., Die neuen Pflichten nach der EU-Datenschutz-Grundverordnung im Überblick, Datenschutz Konkret, 1/2016, Manz 2016, S. 11.
  4. 4 Vgl. Semantic MediaWiki, Semantic MediaWiki. http://www.semantic-mediawiki.org.
  5. 5 Blumauer, A./Krabina, B., Nutzenpotenziale des «Social Semantic Web» im öffentlichen Sektor am Beispiel semantischer Wikis. HMD – Praxis Wirtschaftsinformatik 265, 2009.