catworkx-Lösung für DSGVO: Datenschutz-Management-System mit Jira & Confluence

Seit der Einführung der neuen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 herrscht in vielen Unternehmen immer noch Unsicherheit. Das hat zum einen mit der oftmals noch fehlenden Rechtsprechung zur DSGVO – Stichwort Grundsatzurteile – zu tun, zum anderen mit Umfang und Form der Dokumentation, die die DSGVO – zumeist wenig konkret – von Unternehmen einfordert.

catworkx hat sich bei der Umsetzung im eigenen Hause für einen kollaborativen Ansatz mit Hilfe von Jira und Confluence entschieden, der zudem den Datenschutz als einen lebenden Prozess begreift. Das so entwickelte Datenschutz-Management-System (DSMS) bildet nicht nur die geforderten Dokumentationsstrukturen der DSGVO ab, es ermöglicht auch größtmögliche Transparenz von Zuständigkeiten beim Datenschutz in einem Unternehmen.

Eine entscheidende Anforderung der DSGVO ist die Rechenschaftspflicht nach Art.5 Abs.2. Die Verantwortlichen in Unternehmen müssen die Einhaltung des Datenschutzes nachweisen. Weitere Dokumentationspflichten finden sich darüber hinaus beispielsweise auch in Art. 30 (Verzeichnis der Verarbeitungstätigkeiten) und 35 (Datenschutz-Folgenabschätzung) DSGVO. Daraus ergeben sich für die Struktur eines Datenschutz-Management-Systems (DSMS) drei wesentliche Bereiche:

Des Weiteren muss das DSMS folgende Anforderungen erfüllen:

• Eine Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
• Eine Dokumentation über durchgeführte Datenschutz-Folgenabschätzungen (DSFA)

Es war schnell klar, dass zur Umsetzung der DSGVO bei catworkx die gängigen Dokumentationsformen nicht in Betracht kamen. So ist es übliche Praxis, die notwendige Dokumentation zur DSGVO mit Hilfe von Office-Programmen zu erstellen und fortzuschreiben. Der catworkx-Ansatz, Datenschutz als einen lebendigen Prozess zu verstehen, lässt sich mit einem solchen Ansatz nur schwer vereinbaren.

Es lag auf der Hand die Umsetzung der Prozessdokumentation bei catworkx mit den Werkzeugen anzugehen, die unser täglicher Begleiter sind – also mit den Atlassian-Tools Jira und Confluence, erweitert um einige Zusatzmodule aus dem Atlassian-Ecosystem. Das Besondere an dem Ansatz ist die Pflege der relevanten Verfahren, der technischen und organisatorischen Maßnahmen (TOM) und der Datenschutz-Folgeabschätzung (DSFA) führend in Jira über Vorgänge abzubilden. Die begleitende Dokumentation dazu wird automatisiert in Confluence einsortiert und abgelegt. Die Nutzung von Vorgängen mit ihren einfach zu gestaltenden individuellen Workflows ermöglicht eine nachhaltige arbeitsteilige Dokumentation, die bedarfsorientiert die Freigabe durch den Datenschutzbeauftragten (DSB) einbezieht und ein jährliches Überprüfen und Anpassen von Verfahren und Maßnahmen fördert.

Im Detail besteht das DSMS bei catworkx aus folgenden Jira-Vorgangstypen:

Dynamisch werden die jeweiligen Vorgänge in Jira automatisiert in ein bereits vorher definiertes Verfahrensverzeichnis in Confluence übertragen und dokumentiert. Hier kommt der Teamworx Issue Publisher for Jira von catworkx zum Einsatz. So entsteht im Confluence ein dynamisches Verfahrensverzeichnis, in dem alle einzelnen Verfahren mit ihren jeweiligen Maßnahmen dokumentiert sind. Auch der kollaborative Ansatz von catworkx beim Datenschutz wird deutlich, denn einzelne Maßnahmen sind den jeweils Verantwortlichen, zum Beispiel in der Personalabteilung, dem Vertrieb oder der internen IT, zugeordnet. Datenschutzbeauftragter Stefan Winkel stellt dazu fest: “Für Abteilungen mit unterschiedlichen Tätigkeitsschwerpunkten wie z.B. im operativen und administrativen Bereich ergeben sich auch in datenschutzrechtlicher Hinsicht unterschiedliche Schwerpunkte. Es ist daher durchaus von Vorteil, die internen Verantwortlichkeiten entsprechend zuzuweisen und in den Abteilungen entsprechendes Know-how zu bilden. Gleichzeitig muss das große Ganze im Blick behalten werden können, um eine Inselbildung zu verhindern. Das lässt sich beispielsweise mit einem Prozessmanagement-Tool, wie es bei catworkx zum Einsatz kommt, gut steuern.”

Eine weitere Besonderheit des catworkx-Ansatzes ist die Versionierung der einzelnen Vorgänge und der aus ihnen abgeleiteten Maßnahmen. Denn klar ist: Für den Bereich der technischen und organisatorischen Maßnahmen ist nach Art. 32 Abs.1 lit. d der DSGVO eine regelmäßige Prüfung vorgeschrieben. Aber auch das Verzeichnis der Verarbeitungstätigkeiten oder anderer Pflichtdokumentationen müssen aktuell gehalten werden. “Eine einheitliche Verwaltung der vorhandenen Dokumentationen über ein Prozessmanagement-Tool kann die Verwaltung der vorhandenen Maßnahmen dabei ungemein vereinfachen”, erklärt Stefan Winkel.

Regelmäßig werden die Einzelverfahren einer Prüfung unterzogen und so sichergestellt, dass der Datenschutz immer auf dem aktuellen Stand bleibt. Dies ist mit Blick auf die immer noch unsichere Rechtsauslegung der DSGVO ein Pluspunkt, sollten zum Beispiel Änderungen im Gesetz auftreten. Ein weiterer Vorteil der catworkx-Lösung ist die Möglichkeit, in Jira Dashboards zu erstellen, durch die jederzeit Reports über den Stand des Datenschutzes, unter Umständen mit einer notwendigen Eskalationsstufe, aufgerufen werden können.

Die Umsetzung des DSMS mit Jira und Confluence bietet auch für das Auskunftssystem einen Mehrwert, denn die Anforderungen einer Auskunft über die Verarbeitung von personenbezogenen Daten oder einer Löschung kann über ein Jira Service Management erfolgen. Dabei ist der Prozess der Auskunft ein anderer als der Prozess zur Meldung über eine Verletzung des Datenschutzes. Hier muss nach Art. 33 der DSGVO gegenüber der Aufsichtsbehörde eine Meldung innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung erfolgen. Deshalb gewährleistet der konfigurierte Workflow in diesem Prozess eine Eskalationsautomation.

Für die Umsetzung der DSGVO bei catworkx zieht Stefan Winkel eine positive Bilanz: “Wie bei den meisten anderen Unternehmen erfolgte die Implementierung der erforderlichen Maßnahmen auch bei catworkx zunächst durch wenige Personen. Der laufende Betrieb von Datenschutzkonzepten wird jedoch von Unternehmen zu Unternehmen unterschiedlich gehandhabt. Bei catworkx hat man sich dazu entschieden, die Beschäftigten bei der Pflege des Datenschutzkonzeptes umfangreich einzubinden. So wurden die erforderlichen Aufgaben auf möglichst viele Schultern verteilt. Positiver Nebeneffekt dieser Regelung ist, dass die Beschäftigten auch über die obligatorische Datenschutzschulung hinaus hin und wieder mit dem Thema in Berührung kommen. Ich halte das grundsätzlich für einen sehr guten Weg für catworkx.”

Denn der Vorteil des von catworkx entwickelten Datenschutz-Management-Systems (DSMS) liegt zum einen in der vorgefertigten Struktur, mit der die Maßnahmen für den Datenschutz in Unternehmen und Behörden klar und nachvollziehbar erfasst werden. Zum anderen besticht das DSMS von catworkx durch seinen kollaborativen Ansatz, der den jeweiligen Verantwortlichkeiten Rechnung trägt. Und es versteht Datenschutz nicht als einen einmaligen Vorgang, sondern als einen laufenden, veränderlichen Prozess, der durch die Versionierungsfunktion gut gesteuert werden kann.

Wir beraten Sie zum gesamten Atlassian Ecosystem und unterstützen Sie gerne hinsichtlich der Optimierung von Lizenzmodellen und -kosten.