Wie Sie Ihre ITSM Lösung für die DSGVO erweitern

Tags: DSGVO, IT Service Management

Sind Sie verantwortlich für Datenschutz in der IT? Sie haben schon ein modernes ITSM Tool und überlegen, was zur Erfüllung der Datenschutzgrundverordnung (DSGVO) im Mai 2018 zu tun ist?

Hier sind ein paar Ideen, wie man ein modernes ITSM Tool zu einer DSGVO-Lösung ausbauen kann:

Verfahrensverzeichnis

Entsprechend der DSGVO sollte jedes Unternehmen ein klares Verständnis davon haben, wo und welche persönlichen Daten gespeichert werden. Ein Verzeichnis aller Applikationen mit der zugehörigen Klassifizierung der persönlichen Daten ist eine einfache Methode, um ein strukturiertes Zentralregister zu erstellen, wenn der Datenschutzbeauftragte des Landes zum Audit kommt.

 DataPrivacyMap.png

Das sogenannte Verfahrensverzeichnis sollte Eingabemöglichkeiten für die folgenden Informationen zur Verfügung stellen:

  • Verantwortlicher und Stellvertreter für die Applikation
  • Datenschutzbeauftragter/Data Privacy Officer im Unternehmen verantwortlich
  • Klassifizierung der persönlichen Daten, im Besonderen ob die Daten spezielle Kategorien wie biometrische oder religiöse Daten beinhalten
  • Datenschutzüberwachungsorgan auf Landes- oder Bundesebene/Supervisory Authority

 

Ein flexibles ITSM Tool, dass verschiedene Enterprise Service Management Applikationen wie Information Security Management unterstützt, kann in den meisten Fällen mit einer neuen Vorlage für ein Verfahrensverzeichnis ausgebaut werden.

 

DSGVO Verletzungsmeldungen (Security Incidents/Personal Data Breach Management)

Datenschutzverletzungen, die Daten betreffen die der DSGVO unterliegen, sind im Wesentlichen nicht anders als Security Incidents im Information Security Management. Wenn das ITSM Tool schon zum Management von Security Incidents verwendet wird, dann sollte eine Erweiterung für die DSGVO durch Hinzufügen einiger Felder möglich sein. Auch das Erstellen einer neuen Vorlage für DSGVO Verletzungsmeldungen sollte durch das Anpassen von einer Incident Management Vorlage relativ kosten-effizient machbar sein. Der Workflow für DSGVO Verletzungsmeldungen sollte allerdings angepasst werden auf die Bedürfnisse der DSGVO, im Besonderen in Bezug auf die Eskalation und Benachrichtigung von Datenschutzbeauftragten.

 DataPrivacyWorkflow.png

 

 

Datenschutztätigkeiten Management

Sie werden sicher genau festhalten wollen, was bis zum Mai 2018 in Bezug auf die DSGVO noch alles gemacht werden muss. Eine einfache ToDo-Liste wird Ihnen dabei helfen festzuhalten, was schon alles erledigt wurde und was noch getan werden muss. Wenn Sie bereits Listen für Ihren Service Desk einsetzen sollte es sehr einfach sein, ein zusätzliches Template zu machen. Sollte das noch nicht der Fall sein dann bedeutet es einen Aufwand von nur wenigen Stunden, um eine entsprechende Liste zu erstellen, inklusive Auswertungen und Zugriffsverwaltung.

 

DataPrivacyDashboard.png

 

 

Request-to-be-forgotten Workflow

Jede Person hat in der Zukunft das Recht darauf, die Entfernung seiner persönlichen Daten zu verlangen, wenn diese nicht mehr benötigt werden (ähnlich wie wenn man sich bei Facebook abmeldet). Das bedeutet, dass ab Mai 2018 alle größeren Unternehmen ihren Mitarbeitern Möglichkeiten anbieten müssen, um dieses Recht in Anspruch zu nehmen. Das Unternehmen muss ebenfalls die nötigen Prozesse dokumentiert haben, um das „Recht-vergessen-zu-werden“ umzusetzen. Obwohl es noch nicht absolut klar ist, wie weitreichend das Löschen oder Anonymisieren persönlicher Daten (vor allem in archivierten Datenbanken) sein muss, kann man davon ausgehen, dass persönliche Daten von aktiven Applikationen entfernt werden müssen. Die notwendigen Workflows können in einem Enterprise Service Management Tool umgesetzt werden. Die Anfragen von Mitarbeitern, Zeitarbeitern, oder externen Mitarbeitern um „vergessen“ zu werden können als zusätzlicher Dienst im Service Katalog des Self-Service Portals umgesetzt werden.

 

efecte-security-dashboard.png

 

Zusammenfassend ist anzumerken, dass die DSGVO neue Herausforderung an traditionelle IT Service Management Tools darstellt. Ich gehe aber trotzdem davon aus, dass moderne ITSM Tools, die bereits jetzt flexibel genug sind um für HR und Security Management genutzt zu werden, mit den notwendigen Vorlagen und Workflows für die DSGVO ausgebaut werden können.

Große Unternehmen haben wahrscheinlich die notwendigen Ressourcen, um die existierenden Enterprise Service Management Lösungen zusammen mit der Rechtsabteilung für die DSGVO anzupassen. Mittelständische Unternehmen könnten allerdings von vorgefertigten Lösungen für die DSGVO sehr kosten-effizient profitieren.

Wenn Sie mehr zu unseren Enterprise Service Management Lösungen erfahren wollen und wie sie Ihnen bei der Erfüllung der DSGVO helfen können, dann nehmen Sie bitte Kontakt mit uns auf.

Besuchen Sie auch den Stand #330 in Halle 9 unseres Partners Magelan auf der IT-SA in Nürnberg von 10. – 12.  Oktober 2017, um eine vollständige DSGVO Lösung live zu sehen!

Peter Schneider

Written by Peter Schneider

I am Chief Product Officer @Efecte. Responsible for product management, product marketing and product strategy.

Join the mailing list! Get product updates and expert articles.

Weitere Blog-Posts für Themen rund ums IT- und Enterprise Service Management finden Sie auf unserem englischsprachigen Blog.