Software versus Managementsystem
Um Anforderungen des Datenschutzes zu erfüllen kann man sich auf mehrfache Weise unterstützen lassen. Man greift beispielsweise auf eine Datenschutz-Software zurück, oder aber auf ein Daten-Management-System.
Bei beiden Ansätzen handelt es sich um Software. Bei einer Datenschutz-Software ist dies bereits durch die Namensgebung sofort ersichtlich.
Was ist Software?
Definition für Software, grob aus Wikipedia: Alle nicht-physischen Bestandteile eines Computers, also Betriebssysteme, Programme etc.
Auch ein Daten-Management-System ist demnach Software.
Bei letzterer handelt es sich hinsichtlich des Ansatzes, der Bedienung und Funktion um eine andere Herangehensweise an den Datenschutz, und sie bedient sich anderer Akteure, welche mit Dokumenten-Tätigkeiten vertraut sind. Aber ein Management-System wird vordergründig nicht wirklich als Software empfunden.
Bei einigen Anwendern entsteht eine Erwartungshaltung, sich bewusst für einen Einsatz von Software entscheiden zu wollen. Die Nutzung von Software erscheint moderner und lässt die Hoffnung aufkeimen, durch Software die Datenschutz-Anforderungen geschmeidiger bewältigen zu können.
Das Motto: Kaufe eine Software, und das Thema wird erledigt.
Daten-Management-System, das hingegen klingt nach mühseliger Befassung mit Dokumenten in der Art von Steuerformularen, Personalangelegenheiten oder rechtliche Beurteilungen, Vertragswesen mit Kunden und Dienstleistern usw.
Entwicklung von Normen und Gesetzen
Man sollte jedoch bedenken: die Datenschutz-Gesetzgebung wurde nicht von Leuten ersonnen, welche die möglichst maschinell erfolgende Bewältigung ihrer Vorgaben im Sinn hatten. Beim Datenschutz handelt es sich vielmehr um juristische Normen, welche durch mehrere Instanzen vieler beteiligter Länder mit teils unterschiedlicher Rechtskultur und entsprechend langwierigen Verhandlungen entwickelt wurden.
So haben wir es mit einem juristischen Werk zu tun, dessen Ziel nicht in der Optimierung der späteren Umsetzung liegen konnte. Juristische Sachverhalte folgen Normen, also Gesetzen, welche allesamt der Auslegung zugänglich sind. Dies ist die Aufgabe von Rechtskundigen, oft Anwälten, im weiteren Verlauf nötigenfalls Gerichte, deren gelegentlich wiederum unterschiedliche Auslegungen womöglich erst vor einer jeweils höchsten gerichtlichen Instanz enden. Die Auslegung einer anzuwendenden Norm ist demnach Bestandteil einer juristischen Befassung.
Software im juristischen Umfeld
Damit wird deutlich, was eine Software-Lösung im juristischen Bereich – hier also im Datenschutz – letztlich zu leisten vermag. Die Verwendung von Algorithmen, welche einen Sachverhalt nicht gerichtsfest bewerten können, erscheint zumindest schwierig zu sein. Spätestens dann, wenn rechtlich relevante Entscheidungen anstehen, tritt auch noch Verantwortlichkeit hinzu.
Eine Software kann sichten, Vorschläge erarbeiten und Vorlagen vervollständigen um diese einer verantwortlichen Person zuzuleiten.
Jedoch: Software übernimmt keine Verantwortung.
Das erinnert ein wenig an den Scherz, wonach ein automatisch fahrendes Fahrzeug, sofern es sich geirrt hat, zur Strafe dann verschrottet werden sollte. Die Verantwortung für Entscheidungen hinsichtlich des wirtschaftlichen Wohlergehens eines Unternehmens liegen bei der Geschäftsführung. Für die Durchführung der Datenschutz-Bestimmungen tritt die Haftung hinzu.
Anforderungsprofile für Datenschützer
Kommt Datenschutz-Software zum Einsatz, wird zunächst ein Mitarbeiter benötigt, der über die Fähigkeit zur Software-Installation verfügt und idealerweise auch Kenntnisse der IT-Architektur des Unternehmens haben sollte.
Darüber hinaus muß dieser Mitarbeiter über juristische Grundkenntnisse verfügen. Er muss interpretieren können, welche von einer Datenschutz-Software vorgeschlagenen Maßnahmen tatsächlich gefordert sind. Die Software greift aktiv in eine Firmen-IT ein. Sie soll Speicherorte von Personen-Daten identifizieren, datenschutzrelevante Verknüpfungen aufspüren, in zeitliche Zusammenhänge einbetten, diesbezügliche Erklärungen vorschlagen, eine vorlagefähige, belastbare Dokumentation der eigenen IT unter Datenschutz-Gesichtspunkten erstellen. Erforderlich ist die Identifizierung und Analyse relevanter Datenbestände, die Auflistung von als relevant erkannter Daten nach Speicherort, Verwendung und Ablauffrist. Es sollte irgendwie beurteilt werden können, welche dieser Vorschläge den Bestand des Unternehmens tangieren könnten. Man kann einer Software nicht die freie Entscheidung überlassen, was beispielsweise gelöscht werden muss.
IT-affine Mitarbeiter, die sich gleichzeitig in juristischen Fragen auskennen sollten über eine Doppel-Begabung verfügen.
Seit Kindesbeinen weiß ein jeder von uns, dass Universal-Begabte eher selten sind. Unter uns gibt es eine bewertende, analog ausgerichtete Linie, und dann die eher mathematisch/ naturwissenschaftlich Begabten.
Ein Anwender, der Datenschutz per Software betreiben will, sollte sowohl das Spektrum der mathematischen, als auch der juristischen, der wertenden Herangehensweise abbilden können. Datenschutz-Software unterbreitet das Angebot, ein vermeintlich geeignetes Instrument für die Bewältigung einer zumindest in Teilen juristischen Materie bereitzustellen.
Halten wir fest: Die Bewältigung von Datenschutz per Datenschutz-Software benötigt Doppelbegabungen, oder aber mehrere einzubindende Personen, die eine spezielle, zur Verständigung in verschiedenen Disziplinen erforderliche Kommunikation benötigt.
Der Einsatz von Datenschutz-Software dürfte gelegentlich einen höheren als ursprünglich erhofften Aufwand erfordern. Dies kann zu Enttäuschungen führen, welche man dann gerne dem Datenschutz anlastet. Womöglich nur deswegen, weil man bei der Wahl seiner Herangehensweise das vermeintlich bequemere Werkzeug ausgewählt hat.
Datenmanagement-System
Auch hierbei handelt es sich um einen Software-Ansatz, eine Weiterentwicklung von Dokumenten-Management Software.
Hierbei werden zunächst die rechtlichen Vorgaben aufgeführt, sodann die notwendigen Formulare zur Verfügung gestellt und diese, wo immer möglich bereits zumindest teilweise automatisch ausgefüllt. Fortschritts- und Vollständigkeits-Analysen werden eingeblendet, Vorlagen und Reportings erstellt, alle Vorgänge werden versionierend gespeichert.
Zugriffsberechtigungen in das System werden je nach Einsatzbereichen durch einen Administrator verwaltet, es finden Termin-Überwachungen statt, Organisation und Tracking der rechtlich geforderten Mitarbeiter-Schulungen eines Unternehmens gehören hier hinein und können implementiert sein. Das Daten-Management-System eignet sich als Grundlage einer Zertifizierung nach ISO 27701 (Datenschutz-Management-System), bzw. zu einer Ergänzung der Zertifizierung des Informations-Management-Systems gem. ISO 27001.
Ein Daten-Management-System stellt also ebenfalls eine Software dar. Zur Installation, Bedienung und Pflege bedarf es jedoch keiner IT-Spezialisten, auch keiner zusätzlichen Koordination. Auch Doppelbegabungen sind nicht erforderlich. Das Daten-Management-System wird bedient von jenen Mitarbeitern, die mit dem Umgang von Dokumenten vertraut sind. Dieser Dokumenten-Umgang findet sich bei Steuerformularen, Personalangelegenheiten, bei wirtschaftlichen Planungen, rechtlichen Vorgängen, im Vertragswesen mit Kunden und Dienstleistern usw.
Die MingaSoft GmbH stellt Daten-Management-Software her. Sie lizensiert interessierte Parteien, wie Compliance-Abteilungen von Unternehmen, freie Datenschutzberater, Vertriebsorganisationen, darunter die IITR Datenschutz GmbH als Hauptauftraggeber. Zum Einsatz kommen die Daten-Management Systeme „Datenschutz-Kit“, sowie „Compliance-Kit“ (nunmehr Version 3.0). Letztere werden seit Bestehen der DSGVO von der IITR Datenschutz GmbH mit Erfolg bei ihren Mandanten eingesetzt.
Daten-Management-Systeme sind gegenüber einem rein Software-getriebenen Datenschutz womöglich der kostengünstigere Ansatz. Sie stellen einen personalschonenden Ansatz zur Verfügung,
Das Management-System ist dokumentenbasiert und kommt daher ohne intensive IT-Kenntnisse aus.
Die Transparenz eines Management-Systems ist hoch. Sie ist einem Datenschutz-Software-Ansatz überlegen, solange eine vergleichend herangezogene Datenschutz-Software nicht sauber installiert, oder mit dem zu analysierenden Unternehmen nicht korrekt verknüpft wurde, oder sich nicht auf dem letzten Stand befindet.
Für Zertifizierungen ist daher das gem. ISO HLS (High Level Standard) aufgebaute Compliance-Kit 3.0 als Daten-Management-System der MingaSoft das bevorzugte Mittel der Wahl.
Fazit
Software kann viel. Allerdings hilft es vorab zu untersuchen, welche Art von Software sich für welche Aufgabe eignet.
Die Unterschiede zwischen einem Software- und einem Management-System getriebenen Datenschutz sind bedeutend. Sie unterscheiden sich in der erzielbaren Transparenz, im technologischen Aufwand und dementsprechend in den dafür bereitzustellenden finanziellen sowie personellen Ressourcen.