Einfach ist die Auswahl einer Datenschutz-Software allerdings nicht. Quasi jeder Hersteller wirbt ohnehin damit, dass seine Software DSGVO-konform ist. Und eine Internetrecherche nach speziellen DSGVO-Tools, mit denen Unternehmen ihre vielen Daten anwendungsübergreifend im Griff behalten, führt zu einer Vielzahl mehr oder weniger bekannter Anbieter, die in Aussicht stellen, mit einem Tool alle Anforderungen der Datenschutz-Grundverordnung umzusetzen.
Datenschutzprinzipien und Datenschutz durch Technikgestaltung: Die Infografik des Digitalverbands Bitkom zeigt, wie umfangreich die Vorgaben der DSGVO für Unternehmen sind.
Quelle: Bitkom
Wie sollte man als Unternehmen bei der Suche nach einer entsprechenden DSGVO-Software also vorgehen? Wie bei allen Software-Evaluationen lautet auch beim Auswahlprozess für eine DSGVO-Software die Kernfrage: Welche Software erfüllt meine Bedürfnisse unter Berücksichtigung der Wirtschaftlichkeit am besten? Dazu Florian Fiessmanns Hinweis: „Die Lösung muss die Mindeststandards abdecken, andernfalls ist sie trotz vermeintlich günstiger Kosten un- geeignet.“
Doch was muss eine DSGVO-Software eigentlich können? Ein geeignetes Tool ermöglicht das Erstellen und Pflegen eines umfangreichen und vollständigen Verzeichnisses von Verarbeitungstätigkeiten. Dabei ist essenziell, dass alle Pflichtbestandteile des sogenannten Verfahrensverzeichnisses erfasst werden - beispielsweise Beginn und Zweck der Verarbeitung sowie technische und organisatorische Massnahmen (TOM). Darüber hinaus ist eine toolgestützte Risikowertanalyse von grossem Vorteil - das System ermittelt, welches Risiko sich aus einem bestimmten Verarbeitungsvorgang ergibt.
Berichterstattung an externe Prüfer
Auch die Möglichkeit, Überprüfungszeiträume anzulegen und Erinnerungen an den Datenschutzbeauftragten zu schicken, sollte eine gute DSGVO-Software bieten. "Des Weiteren sollten Ereignisse wie Verstösse oder Audits schnell und einfach dokumentiert werden können, um gegebenenfalls die Aufsichtsbehörden direkt aus dem Tool heraus zu benachrichtigen", fügt Florian Fiessmann hinzu. Dabei sei es enorm hilfreich, Massnahmen gleich in der Software verwalten und bearbeiten zu können.
Für Elke Bastian ist ein wichtiger Punkt die Berichterstattung an externe Prüfer. Es sei wichtig diesen Nachweis erbringen zu können, denn trotz aller Anstrengungen könnten Datenschutzverletzungen im Unternehmen auftreten. "Dann ist es wichtig, zu belegen, dass man alles Erforderliche getan hat, um das Risiko zu minimieren, und auch zu wissen, wie in diesem Fall vorzugehen ist und wer zu informieren ist, um bei einem Datenschutzverstoss die Meldepflicht von 48 Stunden einzuhalten."
Die Auditorin für Datenschutz und Beraterin für Informationssicherheit Carina Thomas hat die Erfahrung gemacht, dass es in manchen Fällen - je nach Komplexität und Unternehmensgrösse - nicht immer gleich eine eigene DSGVO-Software sein muss. Auch einfache Bordmittel wie Office-Anwendungen können ihrer Einschätzung nach durchaus zur Umsetzung der DSGVO herangezogen werden.
