Jusletter IT

Das unmittelbar bevorstehende Inkrafttreten der Datenschutz-Grundverordnung (DSGVO)¹ bzw. das ab 25. Mai 2018 gültige österreichische Datenschutz-Anpassungsgesetz 2018 (DSG)² fordert eine intensive Befassung mit technischem und vor allem organisatorischem Datenschutz³. Zentral dabei ist die Erfüllung einiger Dokumentationspflichten, allen voran die Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO, im Weiteren kurz «Verfahrensverzeichnis»). Die DSGVO legt lediglich fest, dass das Verzeichnis schriftlich zu führen ist, «was auch in einem elektronischen Format erfolgen kann». Obwohl damit grundsätzlich zwar sowohl Papierform als auch das Führen von Listen mit herkömmlichen Office-Programmen rechtlich ausreichend wäre, so ist ein papierbasiertes bzw. dokumentenzentriertes Verzeichnis weder technisch noch organisatorisch zeitgemäß.

Neben dem Führen eines Verfahrensverzeichnisses sind auch Verletzungen des Schutzes personenbezogener Daten zu dokumentieren (Art. 33 Abs. 5 DSGVO). Auch eine Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) wird in der Praxis wohl in schriftlicher Form erfolgen.

Das Zentrum für Verwaltungsforschung (KDZ) setzt im Projekt «Datencockpit.at» nun eine Wissensdatenbank um, mit dem Ziel, die Dokumentationserfordernisse aus der DSGVO bestmöglich zu unterstützen. Als technische Lösung wurde die bewährte Open-Source-Lösung Semantic MediaWiki⁴ verwendet, die die Möglichkeiten eines Wikis erweitert, indem strukturierte Daten im Wiki definiert und weiterverwendet werden können.⁵ Das Datencockpit kann im internen Organisationsnetzwerk zum Einsatz kommen.

Die Basis der Plattform bildet eine übersichtliche Darstellung von DSGVO und DSG sowie Erläuterungen. Dadurch, dass beide Dokumente nicht nur verlinkt, sondern pro Paragraph die Texte in Wiki-Seiten übertragen wurden, stehen die Texte auch in der Volltextsuche des Wikis zur Verfügung. Die Darstellung erfolgt auf einer responsiven Oberfläche, damit die Inhalte auch auf mobilen Endgeräten gut verwendbar sind. Pro Paragraph werden die Absätze angezeigt, über ein Menü «Ausklappen» bzw. «Einklappen» kann pro Absatz die dazugehörige Erläuterung aus- bzw. eingeblendet werden.

Abbildung 1: Darstellung eines Paragraphen (linke Spalte),  der Fragestellungen (rechte Spalte), sowie der Diskussionsbeiträge (darunter). Quelle: http://www.datencockpit.at/DSGVO:Artikel_2._Sachlicher_Anwendungsbereich

Es steht ein zweigliedriges Glossar zur Verfügung: Glossareinträge, wie z.B. «Verarbeitung» mit einer entsprechenden Auflösung des Begriffs können händisch angelegt werden. Auf allen Wiki-Seiten, wo der Glossarbegriff vorkommt, wird der Begriff unterwellt hervorgehoben und bei Mouse-Over wird die Erklärung angezeigt (siehe oben, Abb. 1). Der Glossareintrag kann für weitere Erklärungen oder Informationen angeklickt werden. Ein weiterer Teil des Glossars wird automatisch erstellt. Es werden zu allen Paragraphen-bzw. Artikelnummern, wie z.B. «§6» die entsprechende Bezeichnung des Paragraphen, wie z.B. «Datengeheimnis» hinterlegt, ohne dass dies händisch erfolgen müsste. Somit können Erwähnungen von Paragraphen in den Texten leichter aufgelöst werden und bei Bedarf können die User durch Klick auf den entsprechenden Paragraphen zu diesem wechseln.

Fragestellungen, die sich für die Umsetzung in der Praxis ergeben, können entweder bei dem jeweiligen Paragraphen/Artikel erfasst werden, den sie betreffen, oder auch für allgemeine Fragestellungen unter einem eigenen Menüpunkt. Die Erfassung kann in Organisationen von einzelnen Abteilungen erfolgen, die (teilweise) Beantwortung offener Fragestellungen kann durch RechtsexpertInnen bzw. die Datenschutzbeauftragten erfolgen.

Für die Erstellung von Einträgen in das Verfahrensverzeichnis steht ein einfaches Eingabeformular zur Verfügung.

Abbildung 2: Eingabeformular für einen Eintrag im Verfahrensverzeichnis. Quelle: http://www.datencockpit.at/index.php?title=Verfahren:Mitarbeiterverzeichnis&action=formedit

Mit dem Datencockpit ist es möglich, ein gemeinschaftlich im Unternehmen erstelltes Verfahrensverzeichnis zu erstellen und zu warten. Das Verfahrensverzeichnis enthält dabei nicht nur die gesetzlich geforderten Informationen, sondern wird um weitere, intern relevante Daten wie betroffene IT-Anwendungen oder am Verfahren beteiligte Abteilungen ergänzt, wodurch ein aktives Datenschutzmanagement in der Organisation unterstützt wird. Ein statisches Verfahrensverzeichnis, das zweimal pro Jahr neu ausgedruckt wird, mag den gesetzlichen Anforderungen zwar genügen, eine Anwendung, die laufend über datenschutzrelevante Themen informiert, bietet aber weit mehr Möglichkeiten.

Es ist ein allgemeines Diskussionsforum verfügbar und es gibt auch die Möglichkeit, zu einzelnen Paragraphen oder Fragestellungen Diskussionsbeiträge zu erstellen. Auf Benutzerseiten können die Benutzerinnen und Benutzer auf Wunsch Informationen über sich hinterlegen, wie z.B. Kontaktinformationen. Ihre markierten Fragestellungen und ihre Diskussionsbeiträge werden dort automatisch aufgelistet.

Eine einfache Checkliste informiert über den aktuellen Informationsstand im Datencockpit.

Abbildung 3: Checkliste für den Stand der Umsetzung des Datencockpits. Quelle: http://www.datencockpit.at/Checkliste

Eine erste Version des Datencockpits wird per Ende März 2018 zur Verfügung stehen, so dass noch genügend Zeit bleibt, um das Cockpit im eigenen Netzwerk zu installieren und die benötigten Informationen einzutragen. Durch den Einsatz der webbasierten Technologie und die Verzahnung von Inhalten kann es gelingen, sowohl den Verantwortlichen im Unternehmen und den Datenschutzbeauftragten, als auch den Mitarbeiterinnen und Mitarbeitern einen umfassenden und aktuellen Überblick über die relevanten Rechtsmaterien, den Stand von Fragestellungen aus der Praxis sowie den Eintragungen in das Verfahrensverzeichnis und weiteren relevanten Inhalten zu bieten. Damit steht ein Tool für ein aktives Datenschutzmanagement in Organisationen, basierend auf Open-Source-Technologie zur Verfügung.