Werden alle Informationspflichten erfüllt? Sind alle datenschutzrelevanten Betriebsabläufe ausreichend dokumentiert? Werden nur die wichtigsten personenbezogenen Daten gespeichert? Das sind nur einige der Fragen, die sich viele Unternehmen auch ein Jahr nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) stellen.

Für die Antworten darauf sind zwei Dinge unerlässlich: ein exakter Überblick, welche Daten verarbeitet und gespeichert werden, sowie unternehmensweit gültige Regeln für das Datenmanagement. Denn Unternehmen aller Grössen haben gegenüber den Behörden nach Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht. Daher muss jede Firma unter anderem ein Verzeichnis aller Datenverarbeitungen führen, die getroffenen technischen und organisatorischen Massnahmen dokumentieren, Vereinbarungen zur Auftragsverarbeitung schliessen und bei Bedarf die Betroffenen über die Verarbeitung informieren.

Hilfe offerieren zahlreiche Tools, von denen ihre Hersteller versprechen, dass Betriebe damit ihre Daten im Griff behalten. Zum einen sind das spezielle Datenschutz-Tools, zum anderen Erweiterungen für vorhandene Software wie CRM-Lösungen.

Doch Datenschutz ist ein umfangreicher Unternehmensprozess und kann nicht mit dem Einsatz von Software abgedeckt werden. Das bestätigt Elke Bastian, Senior Manager bei der Software AG, einem Anbieter von Unternehmens-Software und Dienstleistungen. "Da man die Datenschutzrichtlinien immer erfüllen muss und nicht nur zu einem bestimmten Stichtag, ist das ein kontinuierlicher Prozess." Sie empfiehlt deshalb, das Thema Datenschutzgrundverordnung in das Geschäftsprozess-Management zu integrieren.

Microsoft schlägt einen standardisierten Prozess aus vier Schritten vor, mit dem Unternehmen ihre DSGVO-Konformität sicherstellen:

Unternehmen sollten natürlich in jedem Fall auch darauf achten, dass bereits eingesetzte Software wie das Mail- oder das ERP-System den Anforderungen der DSGVO genügt. Das ist laut Elke Bastian jedoch nur ein Teilaspekt und betrachte nur die IT-Seite. "Auf der anderen Seite gilt es auch, darauf zu achten, dass die Business-Seite gesetzeskonform ist. Damit sind die Prozesse, die individuell im Unternehmen ablaufen, gemeint." Auch der menschliche Faktor spiele eine grosse Rolle: "Wissen alle Mitarbeiter, was sie beachten müssen? Es müssen Trainings gemacht werden, Richtlinien ausgerollt werden und eventuell Umfragen gemacht werden, um fehlende Informationen einzuholen", ergänzt Bastian.

Der Datenschutz ist also ein Komplex aus verschiedenen Massnahmen, die aufeinander abgestimmt werden müssen, und Datenschutzprozesse sind so gesehen vergleichbar mit Prozessen in Buchhaltung, Vertrieb oder internem IT-Support - es sind Geschäftsprozesse. "Die Software ist dabei lediglich ein Werkzeug, um Abläufe und damit verknüpfte Verantwortlichkeiten und Rollen möglichst effizient und einheitlich zu gestalten", betont Florian Fiessmann, Leiter Vertrieb beim IT-Dienstleister Consol in München.

Ob ergänzend zu bereits im Unternehmen vorhandenen Programmen eine spezielle DSGVO-Software vonnöten ist, hängt von vielen Faktoren im jeweiligen Unternehmen ab: der Sensibilität der Daten, den internen Prozessen sowie der Grösse des Betriebs. "Sollen lediglich Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden, kann eine DSGVO-Software möglicherweise sogar das Handling erschweren. Um hingegen Thematiken wie Datenschutzfolgeabschätzungen oder Risiko- und Massnahmenmanagement abzudecken, kommt man um ein gutes Werkzeug in Form einer Software kaum herum", so Florian Fiessmann.

Nach Ansicht von Carina Thomas, Geschäftsführerin bei Acronum, einem Beratungsunternehmen für Informationssicherheit und Datenschutz, sowie Beraterin für den IT-Dienstleister ditpro in Dresden, unterstützen Software-Tools Unternehmen durchaus bei der Implementierung von Datenschutzrichtlinien. Da die Einführung einer DSGVO-Strategie im Unternehmen ein umfangreiches Unterfangen ist - angefangen von der Analyse aller datenschutzrelevanten Prozesse bis hin zur Schulung der Mitarbeiter -, könnten je nach Personal, Budget und operativem Tagesgeschäft ohne Weiteres zwei Jahre bis zur erfolgreichen Implementierung vergehen. Für die Umsetzung der Anforderungen sei es möglich, eine Software zu nutzen. Sie gibt aber zu bedenken, dass man sich bei der Umsetzung fachkundig beraten lassen sollte, um den roten Faden nicht zu verlieren.

Einfach ist die Auswahl einer Datenschutz-Software allerdings nicht. Quasi jeder Hersteller wirbt ohnehin damit, dass seine Software DSGVO-konform ist. Und eine Internetrecherche nach speziellen DSGVO-Tools, mit denen Unternehmen ihre vielen Daten anwendungsübergreifend im Griff behalten, führt zu einer Vielzahl mehr oder weniger bekannter Anbieter, die in Aussicht stellen, mit einem Tool alle Anforderungen der Datenschutz-Grundverordnung umzusetzen.

Wie sollte man als Unternehmen bei der Suche nach einer entsprechenden DSGVO-Software also vorgehen? Wie bei allen Software-Evaluationen lautet auch beim Auswahlprozess für eine DSGVO-Software die Kernfrage: Welche Software erfüllt meine Bedürfnisse unter Berücksichtigung der Wirtschaftlichkeit am besten? Dazu Florian Fiessmanns Hin­weis: „Die Lösung muss die Mindeststandards abdecken, andernfalls ist sie trotz vermeintlich günstiger Kosten un­-
ge­eignet.“

Doch was muss eine DSGVO-Software eigentlich können? Ein geeignetes Tool ermöglicht das Erstellen und Pflegen ­eines umfangreichen und vollständigen Verzeichnisses von Verarbeitungstätigkeiten. Dabei ist essenziell, dass alle Pflichtbestandteile des sogenannten Verfahrensverzeichnisses erfasst werden - beispielsweise Beginn und Zweck der Verarbeitung sowie technische und organisatorische Massnahmen (TOM). Darüber hinaus ist eine toolgestützte Risikowertanalyse von grossem Vorteil - das System ermittelt, welches Risiko sich aus einem bestimmten Verarbeitungsvorgang ergibt.

Auch die Möglichkeit, Überprüfungszeiträume anzulegen und Erinnerungen an den Datenschutzbeauftragten zu schicken, sollte eine gute DSGVO-Software bieten. "Des Weiteren sollten Ereignisse wie Verstösse oder Audits schnell und einfach dokumentiert werden können, um gegebenenfalls die Aufsichtsbehörden direkt aus dem Tool heraus zu benachrichtigen", fügt Florian Fiessmann hinzu. Dabei sei es enorm hilfreich, Massnahmen gleich in der Software verwalten und bearbeiten zu können.

Für Elke Bastian ist ein wichtiger Punkt die Berichterstattung an externe Prüfer. Es sei wichtig diesen Nachweis erbringen zu können, denn trotz aller Anstrengungen könnten Datenschutzverletzungen im Unternehmen auftreten. "Dann ist es wichtig, zu belegen, dass man alles Erforderliche getan hat, um das Risiko zu minimieren, und auch zu wissen, wie in diesem Fall vorzugehen ist und wer zu informieren ist, um bei einem Datenschutzverstoss die Meldepflicht von 48 Stunden einzuhalten."

Die Auditorin für Datenschutz und Beraterin für Informationssicherheit Carina Thomas hat die Erfahrung gemacht, dass es in manchen Fällen - je nach Komplexität und Unternehmensgrösse - nicht immer gleich eine eigene DSGVO-Software sein muss. Auch einfache Bordmittel wie Office-Anwendungen können ihrer Einschätzung nach durchaus zur Umsetzung der DSGVO herangezogen werden.

Aber überall dort, wo Menschen Daten sammeln, verwalten und ablegen, entstehen fast zwangsläufig Datensilos. Dabei handelt es sich um redundante Daten und Informationen in unterschiedlicher Ausprägung, die an unterschiedlichen Orten lagern. Das sind zum Beispiel Daten, auf die nur eine kleine Nutzergruppe oder eine Abteilung im Unternehmen Zugriff hat. Diese Datensilos sind nicht per se negativ - so gibt es auch erwünschte Datensilos, etwa wenn einige Daten bewusst vom Rest des Unternehmens abgeschottet werden sollen oder müssen. Die Datenschutzgrundverordnung gilt aber selbstverständlich für alle Daten und auch für alle gewollten oder ungewollten Datensilos.

"Es ist in der Tat schwierig, gerade bei digital sehr aufgeschlossenen Firmen, den Überblick zu behalten, weil viele Software-Anbieter zusätzlich auf Drittanbieter setzen", berichtet Datenschutz-Expertin Carina Thomas. Um DSGVO-konform zu arbeiten sei deshalb eine Analyse der Lieferanten notwendig - "im schlimmsten Fall muss ein Audit vor Ort durchgeführt werden." Jedes Unternehmen sollte daher über eine aktuelle Aufstellung der Software aller Unternehmensbereiche verfügen. Ausgediente oder ungenutzte IT-Systeme sollten für den nachträglichen Informationsbedarf mit einem Lesezugriff ausgestattet werden und neue Programme erst nach Erstellung eines Anforderungsprofils unter Hinzuziehung des Datenschutzbeauftragten implementiert werden.

Ein effektiver Datenschutz sei zwar auch angesichts der steigenden Zahl an Datensilos durchaus möglich, doch erfordere das einen deutlich höheren Aufwand bei der Planung und Umsetzung, so die Erfahrung von Florian Fiessmann von Consol. Und er weist darauf hin, dass man in Zeiten der Cloud prüfen solle, wo ein Anbieter seinen Sitz hat und wo die Daten gespeichert werden. "So lässt sich feststellen, nach welchen regionalen Datenschutzvorgaben sich der Anbieter richten muss. Darüber hinaus sollte geklärt werden, welche Massnahmen zum aktiven Datenschutz ergriffen werden: Was wird dem Kunden vertraglich zugesichert? Je sorgfältiger die Auswahl erfolgt, desto weniger Aufwand hat man im operativen Betrieb."

Elke Bastian sieht hier vor allem den Datenschutzbeauftragten in der Pflicht. Es sei in seinem Interesse, einen guten Gesamtüberblick zu haben. Er definiere Vorgaben und Richtlinien, wie das Unternehmen seine DSGVO-Verpflichtung handhabe. Wenn er in vielen Datensilos prüfen müsse, ob die Vorgaben eingehalten würden, erschwere das seine Arbeit. Dennoch sollte es möglich sein, den Datenschutz einzuhalten. Kurzum: "Der Gesetzgeber nimmt keine Rücksicht auf strukturelle Defizite in Unternehmen."

Auch ein Jahr nach Inkrafttreten der DSGVO hakt es bei vielen Unternehmen, vor allem weil viele zu spät mit der Umsetzung begonnen haben, weil sie den Umfang der Umsetzung unterschätzt haben oder einfach nicht wussten, wie sie das Thema angehen sollten. "Manche wollten auch bewusst erst mal abwarten", erklärt Elke Bastian. Doch spätestens seit die ersten Strafen verhängt wurden, sollte auch den Letzten klar sein, dass Handlungsbedarf besteht.

Carina Thomas zufolge fehlt den meisten Firmen schlicht der Überblick über ihre Software und Lizenzen. Zum Teil existierten keine Anweisungen im Unternehmen, wie Software zu implementieren, zu testen und datenschutzkonform zu konfigurieren sei - "der Datenschutzbeauftragte wird oft nicht in den Prozess eingebunden."

Florian Fiessmann begegnen zwei Probleme immer wieder: Das eine ist ein Over-Engineering von Datenschutzprozessen und damit verbundenen Anforderungen an eine Software. Hier plädiert er für mehr Pragmatismus. Das andere ist die mangelnde Ernsthaftigkeit, mit der das Thema angegangen wird. Der Datenschutz und die Ausbildung von Datenschutzbeauftragten komme aus wirtschaftlichen Gründen oft schlicht zu kurz. "Stattdessen suchen die Verantwortlichen häufig nach einer Software-Lösung, die fehlendes Know-how ersetzt. Dieser Weg ist im Grunde von vornherein zum Scheitern verurteilt."

In puncto DSGVO-Tools ein eher ernüchterndes Fazit zieht die Datenschutz-Expertin Carina Thomas: "Es gibt keine Software, die ich für alle Aspekte des Datenschutzes empfehlen kann."