Datenschutz: Welche Tools und Methoden helfen bei der Umsetzung der Datenschutzmassnahmen?

Gastbeitrag von Dr. Daniel Burgwinkel

Am 1. September 2023 tritt das neue Datenschutzgesetz (Datenschutzgesetz DSG) in Kraft. Bei vielen Unternehmen laufen die Abstimmungen betreffend Datenschutz mit externen oder internen Juristen auf Hochtouren. Doch die erfolgreiche Umsetzung der Datenschutzmassnahmen im ganzen Unternehmen ist nicht nur eine juristische Aufgabe: Prozessmanager:innen müssen aktiv bei der Umsetzung mitwirken. Denn nur sie haben einen guten Überblick über der die Prozesse der Organisation.

In diesem Beitrag besprechen wir, wie Tools und Methoden des Prozessmanagements bei der Umsetzung der Datenschutzmassnahmen helfen – und welche Tools besonders geeignet sind. Ein besonderes Augenmerk legen wir hierbei auf die Visualisierung von Prozessen und Zusammenhängen mit dem Tool kyro der prozessraum AG, welches sich gut für die Dokumentation von Workshops eignet.

Übersicht über Bearbeitungstätigkeiten von Personendaten dank einem Prozesshaus

Die Visualisierung der Organisation als „Prozesshaus“ hilft einen kompakten Überblick über die Prozesse zu erhalten. Für den Datenschutz sind alle Prozesse relevant, in denen Personendaten bearbeitet werden. In einem Datenschutz Workshop können diese Bereiche im Prozesshaus visuell hervorgehoben werden und so allen Beteiligten Einfach einen Überblick geben. Mit verschiedenen Farben kann dabei markiert werden ob es sich um zum Beispiel Kunden oder Mitarbeiterdaten handelt.

SIPOC – für die Darstellung der Inputs und Outputs von Prozessen

Das SIPOC-Diagramm visualisiert u.a. die Inputs und Outputs von Prozessen, stellt den Gesamtprozess dar und hilft bei der Identifizierung von Problemen. Die Abkürzung steht für Folgendes:

S – Supplier (Lieferant)

I – Inputs (Einsatzfaktoren wie Material oder Informationen)

P – Process (Prozess – die Bearbeitungsschritte der Daten)

O – Output (Ergebnisse – z.B. Dokumente)

C – Customer (interne oder externe Kunde bzw. Empfänger der Ergebnisse)

Im Kontext Datenschutz kann diese Methode wie folgt angewendet werden:

• Supplier: Welche externen Zulieferer oder Dienstleister haben wir und wie verarbeiten wir diese Personendaten? Welche z.B. IT-Dienstleister sitzen im Ausland (z.B. EU oder USA) und müssen für diese gesonderte Verträge bzgl. Datenschutz abgeschlossen werden?
• Inputs: Welche Personendaten verarbeiten wir als Input und wie sensitiv sind diese Daten (zum Beispiel Gesundheitsdaten)?
• Process: welche Bearbeitungsschritte führen wir durch?Welche technischen und organisatorischen Massnahmen haben wir umgesetzt, um die Datensicherheit und den Datenschutz zu gewährleisten? Haben wir geklärt, wie lange die Personendaten aufbewahrt werden und wie der Löschprozess gestaltet ist?
• Outputs: welche Ergebnisse beziehungsweise Entscheidungen produziert der Prozess und sind hier besondere datenschutzrechtliche Abklärungen zu treffen (zum Beispiel falls ein Profiling von Kundendaten erfolgt)?
• Customers: Wer sind die internen oder externen Empfänger der Personendaten und ist eine Weiterleitung aus der Sicht des Datenschutzes erlaubt?

Das Tool kyro verfügt noch über weitere Visualisierungsmethoden wie zum Beispiel das Value Stream Mapping, welches je nach Kontext sinnvoll eingesetzt werden kann.

Zudem ist für die Planung und Umsetzung der Massnahmen eine Koordination notwendig. Die Open Challenge Liste in kyro hilft dabei, die Übersicht zu behalten und kann in einem Workshop genutzt werden, um einen Projektplan zu definieren.

Fazit: Mit den geeigneten Tools und Methoden kann die Umsetzung der Datenschutzmassnahmen vereinfacht werden

Viele Organisationen versuchen mithilfe von Excel Tabellen und Worddokumenten die Herausforderungen im Datenschutz zu meistern. Oft wird aber der Fehler gemacht, dass die relevanten Fachabteilung nicht mit einbezogen werden beziehungsweise den Überblick in langen Excel Listen verlieren. Um Datenschutz im Unternehmen erfolgreich umzusetzen können die Erfahrungen und Tools das Prozess- und Changemanagements helfen, das die Datenschutzmaßnahmen nachhaltig etabliert werden und nicht als eine bürokratische Notfallübung wahrgenommen werden. Nutzen Sie Visualisierungs- und Moderationstechniken um ihre Mitarbeiter bei der Umsetzung des Datenschutzes zu unterstützen. Wir beraten dich gerne.