DSGVO - Einführung

Ewida Standard unterstützt die Führung einer Erfassung im Zusammenhang mit der DSGVO, also mit den in einer Organisation geltenden Regeln zum Schutz personenbezogener Daten. In der Praxis bedeutet das, Informationen über Datensammlungen, Personen mit Zugriff darauf, Berechtigungen zur Datenverarbeitung und Orte, an denen diese Daten verwendet werden, zu ordnen.

Das Programm Ewida Standard ermöglicht es, diese Informationen mit der bestehenden Erfassung von Hardware, Software und Benutzern zu verknüpfen. Dadurch läuft das DSGVO-Register nicht neben dem System her, sondern wird Teil der gesamten Datenstruktur des Unternehmens. Wenn Sie statt einer Windows-Desktop-Anwendung lieber eine Weblösung zur Verwaltung von Assets und Daten in Ihrer Organisation nutzen möchten, sehen Sie sich auch Codenica ITSM + ITAM an.

DSGVO als Teil der Erfassung in Ewida Standard

Ewida Standard ist kein einfaches Register, das nur auf Tabellen basiert. Das Programm arbeitet mit relational verknüpften Objekten wie Set, Benutzer, Gerät, Software, Lizenz und Verbrauchsmaterial. Die DSGVO-Mechanismen wurden direkt in diese Struktur integriert.

Dadurch ist es möglich, nicht nur die eigentlichen Sammlungen personenbezogener Daten zu erfassen, sondern auch ihren technischen und organisatorischen Kontext. Die wichtigsten DSGVO-Elemente im Programm sind:

  • Sammlungen personenbezogener Daten,
  • Zugriffsrechte auf personenbezogene Daten,
  • Berechtigungen zur Verarbeitung personenbezogener Daten.

Verknüpfung der DSGVO mit Erfassungsobjekten

Die DSGVO-Funktionen erweitern vor allem das Objekt Software. Sie können angeben, welche Programme Sammlungen personenbezogener Daten enthalten und um welche Art von Datensammlungen es sich handelt. Dadurch werden personenbezogene Daten nicht getrennt von der Arbeitsumgebung erfasst, sondern im Zusammenhang mit konkreten Anwendungen.

Die Verknüpfungen reichen auch weiter. Software kann einem Computerset zugewiesen werden, und ein Set kann einem Benutzer zugewiesen werden. Diese Struktur macht es möglich festzustellen, wo Daten verwendet werden, auf welchem Computer sie sich befinden und wer für den jeweiligen Arbeitsplatz verantwortlich ist oder die verknüpfte Software nutzt.

In der Praxis erleichtert das das Auffinden personenbezogener Datensammlungen und das Ordnen von Informationen über den Zugriff darauf.

Register personenbezogener Datensammlungen Schritt für Schritt

Ewida Standard enthält einen einzigen Assistenten, mit dem sich der gesamte Registrierungsprozess geordnet durchlaufen lässt. In einem Durchgang können Sie:

  • Software angeben, die Sammlungen personenbezogener Daten enthält,
  • eine beliebige Anzahl personenbezogener Datensammlungen erstellen und beschreiben,
  • Benutzer hinzufügen, die Zugriff auf diese Sammlungen haben,
  • Zugriffsrechte erstellen und zuweisen,
  • Benutzer angeben, deren Daten in den Sammlungen enthalten sind,
  • Berechtigungen zur Verarbeitung personenbezogener Daten erstellen und zuweisen.

Zugriffsrechte und Verarbeitungsberechtigungen können sowohl individuell als auch gruppenweise erstellt werden. Das ist wichtig, weil in vielen Organisationen einige Rechte für einzelne Personen gelten, andere aber für ganze Teams oder Abteilungen.

Auswahl von Software, die Datensammlungen enthält

Im ersten Schritt wählen wir aus der Erfassung die Anwendungen aus, die Sammlungen personenbezogener Daten enthalten. Sie werden über die Schaltfläche + neben der Softwareliste zum Prozess hinzugefügt.

Sie müssen dabei beachten, dass alle Anwendungen, die in einem Durchgang des Assistenten ausgewählt werden, die dort erstellten Sammlungen personenbezogener Daten gemeinsam nutzen. Wenn verschiedene Programme getrennte Datensammlungen haben sollen, muss der Assistent für jede solche Gruppe separat ausgeführt werden.

Erstellen personenbezogener Datensammlungen

Im nächsten Schritt erstellen wir die eigentlichen Sammlungen personenbezogener Daten. Für die zuvor ausgewählte Software können Sie eine beliebige Anzahl von Sammlungen anlegen. Jede davon kann mit Eigenschaften beschrieben werden wie:

  • Name,
  • Typ,
  • Kategorie,
  • Umfang,
  • Technische Sicherung,
  • Organisatorische Sicherung,
  • Tag,
  • Detaillierte Beschreibung.

Wenn für ein Programm verschiedene Datensammlungen erstellt werden, werden Benutzer, ihre Rechte und Berechtigungen für jede dieser Sammlungen getrennt erfasst. So lässt sich der passende Detaillierungsgrad beibehalten, ohne unterschiedliche Bereiche der Datenverarbeitung zu vermischen.

Benutzer mit Zugriff auf personenbezogene Daten

Nach dem Erstellen der Datensammlungen können Sie die Benutzer angeben, die darauf Zugriff haben. Einige Personen können auf Grundlage bestehender Beziehungen in der Erfassung automatisch erkannt werden. Das betrifft zum Beispiel:

  • einen Benutzer, der einem Set zugewiesen ist, das die betreffende Software enthält,
  • einen Benutzer, dem die Software direkt zugewiesen wurde,
  • Benutzer, die über Nutzungsbeziehungen mit dem Set oder der Software verknüpft sind.

Zusätzlich können Sie auch andere Personen hinzufügen, die Zugriff auf die ausgewählte Datensammlung haben. Das ist wichtig, weil sich der tatsächliche Zugriff auf Daten nicht immer vollständig nur aus Hardware- oder Softwarebeziehungen ableiten lässt.

Zugriffsrechte auf personenbezogene Daten

Der nächste Schritt ist die Erfassung von Zugriffsrechten auf Sammlungen personenbezogener Daten. Rechte können sein:

  • individuell,
  • gruppenbezogen.

Wenn ein Mitarbeiter ausgewählt wird, entsteht ein individuelles Recht. Wenn mindestens zwei Mitarbeiter ausgewählt werden, erkennt der Assistent dies als Gruppenrecht. Ein neues Recht wird mit der Schaltfläche + hinzugefügt.

Die Eigenschaften zur Beschreibung eines Zugriffsrechts können unter anderem umfassen:

  • den Namen des Rechts,
  • den Typ und die Kategorie des Rechts,
  • die mit dem Recht verbundene Vereinbarung,
  • den Umfang und Zweck der Verarbeitung personenbezogener Daten,
  • das Datum des Zugriffsantrags,
  • die Genehmigung des Antrags,
  • das Startdatum des Zugriffs,
  • das geplante Enddatum des Zugriffs,
  • den Verantwortlichen für die Verarbeitung personenbezogener Daten,
  • Informationen über die Weitergabe von Daten nach außen,
  • einen externen Vertragspartner als Datenempfänger,
  • Bemerkungen.

An derselben Stelle stehen auch ein Ausdruck des Protokolls über Zugriffsrechte auf personenbezogene Daten sowie eine Option zum Löschen des Rechts zur Verfügung.

Benutzer, deren Daten in den Sammlungen enthalten sind

Der Assistent ermöglicht es, nicht nur die Personen zu erfassen, die Zugriff auf die Daten haben, sondern auch die Benutzer, deren personenbezogene Daten in den Sammlungen enthalten sind. Das ist der zweite wichtige Bereich des Registers, weil damit zwischen den Personen, die Daten verarbeiten, und den Personen, deren Daten verarbeitet werden, unterschieden werden kann.

An derselben Stelle können Sie auch Berechtigungen zur Verarbeitung personenbezogener Daten erstellen. Sie funktionieren ähnlich wie Zugriffsrechte und können ebenfalls individuell oder gruppenbezogen sein. Das Programm kann darauf hinweisen, dass ein ausgewählter Benutzer bereits zu einer Gruppe gehört, die von einer bestimmten Berechtigung erfasst wird, was später die Konsistenz der Daten erleichtert.

DSGVO-Registerkarten in den Objekteigenschaften

Die DSGVO-Unterstützung in Ewida Standard endet nicht beim Assistenten selbst. Das Programm erweitert auch die Eigenschaftsfenster von Objekten um zusätzliche DSGVO-Registerkarten für:

  • Software,
  • Computerset,
  • Benutzer.

Dadurch sind Informationen über personenbezogene Daten direkt dort verfügbar, wo mit einem konkreten Objekt gearbeitet wird.

Die DSGVO-Registerkarte Software zeigt unter anderem:

  • Sammlungen personenbezogener Daten,
  • das verknüpfte Computerset,
  • eine Liste von Mitarbeitern, deren Daten mit und ohne Berechtigung verarbeitet werden,
  • eine Liste von Mitarbeitern, die mit und ohne erforderliche Rechte Zugriff auf die Sammlung haben.

Die DSGVO-Registerkarte Computerset funktioniert ähnlich, aber der Bezugspunkt ist ein konkretes Set.

Die DSGVO-Registerkarte Benutzer zeigt, in welchen Sammlungen die Daten einer bestimmten Person vorkommen und auf welche Sammlungen diese Person Zugriff hat, mit einer Unterscheidung zwischen korrekt dokumentierten Fällen und solchen, die noch ergänzt werden müssen.

DSGVO-Auswertungen, Berichte und eigene Analysen

Ewida Standard bietet außerdem umfangreiche DSGVO-bezogene Auswertungen. Dazu gehören unter anderem:

  • Sammlungen personenbezogener Daten,
  • Zugriffsrechte auf Daten,
  • Berechtigungen zur Datenverarbeitung,
  • Auswertungen von Benutzern, Software und Sets, die mit Sammlungen personenbezogener Daten verknüpft sind,
  • Benutzer, denen erforderliche Rechte oder Berechtigungen fehlen.

Die DSGVO wurde auch in die detaillierten Berichte für Benutzer, Software und Sets integriert. Jeder dieser Berichte kann Informationen über Datensammlungen, Rechte und Berechtigungen enthalten, die mit dem jeweiligen Objekt verknüpft sind.

Zusätzlich ermöglicht der Mechanismus Meine Auswertungen, eigene Analysen auf Basis der verfügbaren Spalten zu erstellen. Das ist in der Praxis wichtig, weil unterschiedliche Unternehmen unterschiedliche Datensichten und Berichtsformen benötigen.

Eine nützliche Funktion sind auch verknüpfte Auswertungen. Dank des relationalen Datenmodells können Sie schnell von einem ausgewählten Objekt zu den damit verbundenen Auswertungen wechseln, einschließlich der speziell für die DSGVO vorgesehenen Auswertungen.

Zusammenfassung

Ewida Standard ermöglicht es, ein Register personenbezogener Datensammlungen so zu führen, dass es in die gesamte Erfassung von Software, Computern und Benutzern im Unternehmen integriert ist. Dadurch lässt sich nicht nur die Datensammlung selbst erfassen, sondern auch kontrollieren, wo sich die Daten befinden, wer Zugriff darauf hat, wer von der Verarbeitung betroffen ist und ob alle erforderlichen Rechte und Berechtigungen korrekt ergänzt wurden.

In der Praxis umfasst die Lösung:

  • einen Assistenten zur Registrierung personenbezogener Datensammlungen,
  • die Erfassung von Zugriffsrechten und Verarbeitungsberechtigungen,
  • DSGVO-Registerkarten in den Eigenschaftsfenstern von Objekten,
  • speziell für die DSGVO vorgesehene Berichte und Auswertungen,
  • eigene Analysen auf Basis des Auswertungsmechanismus,
  • die Kontrolle von Fristen im Zusammenhang mit Rechten und Berechtigungen.

Dadurch ist das DSGVO-Register kein separates, losgelöstes Werkzeug, sondern Teil der gesamten Erfassung, die in der Windows-Desktop-Anwendung Ewida Standard geführt wird.