Seit der Einführung der neuen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 herrscht in vielen Unternehmen immer noch Unsicherheit. Das hat zum einen mit der oftmals noch fehlenden Rechtsprechung zur DSGVO – Stichwort Grundsatzurteile – zu tun, zum anderen mit Umfang und Form der Dokumentation, die die DSGVO – zumeist wenig konkret – von Unternehmen einfordert.

catworkx hat sich bei der Umsetzung im eigenen Hause für einen kollaborativen Ansatz mit Hilfe von Jira und Confluence entschieden, der zudem den Datenschutz als einen lebenden Prozess begreift. Das so entwickelte Datenschutz-Management-System (DSMS) bildet nicht nur die geforderten Dokumentationsstrukturen der DSGVO ab, es ermöglicht auch größtmögliche Transparenz von Zuständigkeiten beim Datenschutz in einem Unternehmen.

Details im Überblick

Die Anforderungen

  • DSMS Configuration
  • Jira Core (Atlassian)
  • Teamworkx Issue Picker for Jira (catworkx)
  • Teamworkx Issue Publisher for Jira (catworkx)

Auskunft- und Meldesystem

  • Jira Service Management (Atlassian, optional)
  • JSU Suite Utilities for Jira (beecom)
  • Autowatch for Jira (Mohami)

Confluence Space Template (Verfahrensdokumentation)

  • Confluence (Atlassian)
  • Scroll PDF Exporter for Confluence (K15t, optional)
  • Table Filter and Charts for Confluence (StiltSoft)

Der Nutzen

  • Sinnvolle Abbildung der Strukturen der Vorgaben der DSGVO
  • Kollaborativer Ansatz für den Datenschutz
  • Datenschutz wird als lebendiger, fortlaufender Prozess umgesetzt

Divergierende Anforderungen in Unternehmen beim Datenschutz

Seit Mai 2018 ist sie gültig: Die Europäische Datenschutz-Grundverordnung (DSGVO). Ein Jahr nach der Einführung schätzt Stefan Winkel, Volljurist und Consultant Datenschutz bei der intersoft consulting services AG, die Situation so ein: “Ich würde sagen, dass die Umsetzung oder fortgeführte Umsetzung der Vorgaben der Datenschutz-Grundverordnung weiterhin noch auf der Tagesordnung der meisten Unternehmen steht. Die Panikstimmung aus dem Frühjahr 2018 ist jedoch weitestgehend verflogen, was zumeist eine sachlichere Auseinandersetzung mit der Thematik ermöglicht. Ein wenig Gelassenheit tut nach der anfänglichen Aufregung sicher allen Beteiligten auch ganz gut.”

Für Panik besteht also kein Anlass, denn ein Großteil der Unternehmen hat die wesentlichen und erforderlichen Schritte unternommen. Ob die Umsetzung aber letztendlich immer optimal gelaufen ist, wird sich in einigen Bereichen noch zeigen müssen. Denn bei einigen Unternehmen wurde die Anpassung der Geschäftsabläufe an die DSGVO als eine einmalige Aufgabe angesehen, die zudem nur wenige Mitarbeiter im Unternehmen betraf. Dabei haben unterschiedliche Abteilungen, wie zum Beispiel der Vertrieb oder die Personalabteilung, divergierende Anforderungen für den Datenschutz zu erfüllen. Unter anderem deshalb setzt catworkx bei der Umsetzung der DSGVO auf einen kollaborativen Ansatz, bei dem die Umsetzung des Datenschutzes als lebendiger Prozess begriffen wird, bei dem Workflows und Versionierungen gesteuert und abgebildet werden müssen.

Eine entscheidende Anforderung der DSGVO ist die Rechenschaftspflicht nach Art.5 Abs.2. Die Verantwortlichen in Unternehmen müssen die Einhaltung des Datenschutzes nachweisen. Weitere Dokumentationspflichten finden sich darüber hinaus beispielsweise auch in Art. 30 (Verzeichnis der Verarbeitungstätigkeiten) und 35 (Datenschutz-Folgenabschätzung) DSGVO. Daraus ergeben sich für die Struktur eines Datenschutz-Management-Systems (DSMS) drei wesentliche Bereiche:

Ein Verzeichnis der Verarbeitungstätigkeiten,

in dem dokumentiert wird, welche personenbezogenen Daten bei bestimmten Verarbeitungstätigkeiten in einer Firma erhoben und verarbeitet werden.

Ein Meldewesen,

mit einem klar definierten Prozess zur Meldung von Datenschutzverletzungen und Datenpannen.

Ein Auskunftssystem,

durch das betroffene Personen anfragen können, welche Daten von ihnen gespeichert wurden oder durch das sie eine Löschung ihrer Daten beantragen können.

Des Weiteren muss das DSMS folgende Anforderungen erfüllen:

  • Eine Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
  • Eine Dokumentation über durchgeführte Datenschutz-Folgenabschätzungen (DSFA)

Es war schnell klar, dass zur Umsetzung der DSGVO bei catworkx die gängigen Dokumentationsformen nicht in Betracht kamen. So ist es übliche Praxis, die notwendige Dokumentation zur DSGVO mit Hilfe von Office-Programmen zu erstellen und fortzuschreiben. Der catworkx-Ansatz, Datenschutz als einen lebendigen Prozess zu verstehen, lässt sich mit einem solchen Ansatz nur schwer vereinbaren.

With Jira and Confluence to a Data Protection Management System

Es lag auf der Hand die Umsetzung der Prozessdokumentation bei catworkx mit den Werkzeugen anzugehen, die unser täglicher Begleiter sind – also mit den Atlassian-Tools Jira und Confluence, erweitert um einige Zusatzmodule aus dem Atlassian-Ecosystem. Das Besondere an dem Ansatz ist die Pflege der relevanten Verfahren, der technischen und organisatorischen Maßnahmen (TOM) und der Datenschutz-Folgeabschätzung (DSFA) führend in Jira über Vorgänge abzubilden. Die begleitende Dokumentation dazu wird automatisiert in Confluence einsortiert und abgelegt. Die Nutzung von Vorgängen mit ihren einfach zu gestaltenden individuellen Workflows ermöglicht eine nachhaltige arbeitsteilige Dokumentation, die bedarfsorientiert die Freigabe durch den Datenschutzbeauftragten (DSB) einbezieht und ein jährliches Überprüfen und Anpassen von Verfahren und Maßnahmen fördert.

Im Detail besteht das DSMS bei catworkx aus folgenden Jira-Vorgangstypen:

das interne Verfahren,

in dem die Verarbeitungstätigkeiten des Verantwortlichen dokumentiert werden.

das Auftragsdaten Verarbeitungs-Verfahren,

in dem die Verarbeitungstätigkeiten des Auftragsverarbeiters dokumentiert werden.

die Datenschutz-Folgeabschätzung,

in der die Risiken für die einzelnen Verfahren nach Risiko, Schadensschwere und Eintrittswahrscheinlichkeit beurteilt werden.

die technisch-organisatorischen Maßnahmen,

in denen die vorgeschriebenen Maßnahmen, die den Schutz und die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten, dokumentiert werden.

die Versionierung,

in dem jedes Verfahren einer zyklischen Wiedervorlage (Review) unterzogen wird – in der Regel einmal jährlich – oder wenn bei der DSGVO aktuell eine Änderung in Kraft tritt.

Dynamisch werden die jeweiligen Vorgänge in Jira automatisiert in ein bereits vorher definiertes Verfahrensverzeichnis in Confluence übertragen und dokumentiert. Hier kommt der Teamworx Issue Publisher for Jira von catworkx zum Einsatz. So entsteht im Confluence ein dynamisches Verfahrensverzeichnis, in dem alle einzelnen Verfahren mit ihren jeweiligen Maßnahmen dokumentiert sind. Auch der kollaborative Ansatz von catworkx beim Datenschutz wird deutlich, denn einzelne Maßnahmen sind den jeweils Verantwortlichen, zum Beispiel in der Personalabteilung, dem Vertrieb oder der internen IT, zugeordnet. Datenschutzbeauftragter Stefan Winkel stellt dazu fest: “Für Abteilungen mit unterschiedlichen Tätigkeitsschwerpunkten wie z.B. im operativen und administrativen Bereich ergeben sich auch in datenschutzrechtlicher Hinsicht unterschiedliche Schwerpunkte. Es ist daher durchaus von Vorteil, die internen Verantwortlichkeiten entsprechend zuzuweisen und in den Abteilungen entsprechendes Know-how zu bilden. Gleichzeitig muss das große Ganze im Blick behalten werden können, um eine Inselbildung zu verhindern. Das lässt sich beispielsweise mit einem Prozessmanagement-Tool, wie es bei catworkx zum Einsatz kommt, gut steuern.”

Eine weitere Besonderheit des catworkx-Ansatzes ist die Versionierung der einzelnen Vorgänge und der aus ihnen abgeleiteten Maßnahmen. Denn klar ist: Für den Bereich der technischen und organisatorischen Maßnahmen ist nach Art. 32 Abs.1 lit. d der DSGVO eine regelmäßige Prüfung vorgeschrieben. Aber auch das Verzeichnis der Verarbeitungstätigkeiten oder anderer Pflichtdokumentationen müssen aktuell gehalten werden. “Eine einheitliche Verwaltung der vorhandenen Dokumentationen über ein Prozessmanagement-Tool kann die Verwaltung der vorhandenen Maßnahmen dabei ungemein vereinfachen”, erklärt Stefan Winkel.

Oliver Groht, Co-Founder catworkx

Mit unserer DSGVO-Lösung haben wir konsequent Jira und Confluence so eingesetzt, dass die beiden Tools auf einfache Art und Weise den größten Mehrwert für den Nutzer bringen. Mit unserer Erfahrung konnten wir binnen vier Wochen eine Lösung auf die Beine stellen, die sogar großen Spezial-Lösungen das Wasser reichen kann.

Oliver Groht Co-Founder catworkx

Eingebaute Eskalationsautomation

Regelmäßig werden die Einzelverfahren einer Prüfung unterzogen und so sichergestellt, dass der Datenschutz immer auf dem aktuellen Stand bleibt. Dies ist mit Blick auf die immer noch unsichere Rechtsauslegung der DSGVO ein Pluspunkt, sollten zum Beispiel Änderungen im Gesetz auftreten. Ein weiterer Vorteil der catworkx-Lösung ist die Möglichkeit, in Jira Dashboards zu erstellen, durch die jederzeit Reports über den Stand des Datenschutzes, unter Umständen mit einer notwendigen Eskalationsstufe, aufgerufen werden können.

Die Umsetzung des DSMS mit Jira und Confluence bietet auch für das Auskunftssystem einen Mehrwert, denn die Anforderungen einer Auskunft über die Verarbeitung von personenbezogenen Daten oder einer Löschung kann über ein Jira Service Management erfolgen. Dabei ist der Prozess der Auskunft ein anderer als der Prozess zur Meldung über eine Verletzung des Datenschutzes. Hier muss nach Art. 33 der DSGVO gegenüber der Aufsichtsbehörde eine Meldung innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung erfolgen. Deshalb gewährleistet der konfigurierte Workflow in diesem Prozess eine Eskalationsautomation.

Bewusstsein für den Datenschutz wird geschärft

Für die Umsetzung der DSGVO bei catworkx zieht Stefan Winkel eine positive Bilanz: “Wie bei den meisten anderen Unternehmen erfolgte die Implementierung der erforderlichen Maßnahmen auch bei catworkx zunächst durch wenige Personen. Der laufende Betrieb von Datenschutzkonzepten wird jedoch von Unternehmen zu Unternehmen unterschiedlich gehandhabt. Bei catworkx hat man sich dazu entschieden, die Beschäftigten bei der Pflege des Datenschutzkonzeptes umfangreich einzubinden. So wurden die erforderlichen Aufgaben auf möglichst viele Schultern verteilt. Positiver Nebeneffekt dieser Regelung ist, dass die Beschäftigten auch über die obligatorische Datenschutzschulung hinaus hin und wieder mit dem Thema in Berührung kommen. Ich halte das grundsätzlich für einen sehr guten Weg für catworkx.”

Denn der Vorteil des von catworkx entwickelten Datenschutz-Management-Systems (DSMS) liegt zum einen in der vorgefertigten Struktur, mit der die Maßnahmen für den Datenschutz in Unternehmen und Behörden klar und nachvollziehbar erfasst werden. Zum anderen besticht das DSMS von catworkx durch seinen kollaborativen Ansatz, der den jeweiligen Verantwortlichkeiten Rechnung trägt. Und es versteht Datenschutz nicht als einen einmaligen Vorgang, sondern als einen laufenden, veränderlichen Prozess, der durch die Versionierungsfunktion gut gesteuert werden kann.

Kontaktieren Sie uns!

Wir beraten Sie zum gesamten Atlassian Ecosystem und unterstützen Sie gerne hinsichtlich der Optimierung von Lizenzmodellen und -kosten.

Das könnte Sie auch interessieren

Referenz

Inventarmanagement mit Jira und Confluence von Atlassian

Der catworkx-Ansatz für Lifecycle-Management von IT-Inventar: Der Lebenszyklus des Inventars wird hierbei als spezifischer Jira-Workflow modelliert sowie verschiedene Inventarkategorien als Vorgangstypen abgebildet und verwaltet. Für die Dokumentation bietet sich Confluence perfekt an.

Webinar on demand

Datenschutz geht alle an – ein Ansatz mit Jira & Confluence

In dem Vortrag wird Ihnen die catworkx-Lösung für DSGVO vorgestellt. Sie ist flexibel einsetzbar für Atlassian Cloud sowie On-Premises-Installationen.

News 02.07.24

Neu im catworkx Portfolio: Jira- und Confluence-Trainings

Als erfahrener Atlassian-Trainingspartner bieten wir neuerdings catworkx-eigene Schulungen für Jira und Confluence an. Die neuen Trainings sind speziell darauf ausgerichtet, die Lücken im Atlassian-Portfolio zu schließen und sich nahtlos in bestehende Lernpfade zu integrieren.

Referenz

Application Lifecycle Management mit Atlassian-Tools

catworkx hat eine Integrationslösung auf Basis von Atlassian-Tools (Jira, verknüpft mit Confluence, Bitbucket & Bamboo) entwickelt

Referenz

Zentrale Steuerung von IT-Ausfällen mit Jira und Statuspage

Statuspage sorgt für einen guten Überblick bei IT-Ausfällen, diese müssen aber teilweise händisch eingepflegt werden. Hier schafft eine von catworkx entwickelte Anbindung von Jira Software zu Statuspage Abhilfe, die es ermöglicht, Ausfälle direkt aus Jira heraus zu dokumentieren und zu steuern.

Referenz

Schaeffler: Atlassian-Tools erfolgreich transformiert

Schaeffler setzt auf Digitalisierung und transformiert seine Atlassian-Infrastruktur. catworkx unterstützt bei Strategie und Umsetzung dieses ambitionierten Projekts.

Referenz

Customer Relationship Management mit Jira und Confluence

TOPMOTIVE Group, führender Anbieter von Katalog- und Infosystemen im Kfz-Aftermarket, nutzte Atlassian-Tools, um vertriebsrelevante Informationen in einem System zu bündeln und bereitzustellen.

KnowledgeBase

Datenschutz

CLOUDPILOTS Datenschutz

Referenz

Confluence und Jira Service Management im Einsatz an der JKU

An der JKU Linz studieren 21.000 Menschen in über 60 Fächern. 2018 entstand nach dem Motto „Hilf KundInnen, sich selbst zu helfen“ ein Serviceportal mit Jira Service Management und Confluence

Übersicht 27.05.24

catworkx-Trainings

catworkx bietet neben den offiziellen Atlassian-Trainings auch eigene Trainings für Jira und Confluence an.

Datenschutz Schmidt Logo
Technologie Übersicht

Datenschutz-Assistent

Wie Sie die GDPR / EU-DS-GVO einhalten.

Wissen

Wartungszyklus eines Business Rule Management System

Was versteht man unter einer Regel? Wie werden sie ausgeführt? Welche Tätigkeiten fallen bei Entwicklung und Wartung eines BRMS an?

Referenz

Projektmanagement und Kollaboration mit Confluence und Jira

2016 erhielt die IT von Austrian Standards den Auftrag, 160 Systeme in zwei Jahren auf ein dezentrales System umzustellen. catworkx begleitete den erfolgreichen Wandel in der Unternehmenskultur.

News 18.09.24

Neue Preisstruktur für Atlassian Cloud ab Oktober 2024

Zum 16. Oktober 2024 setzt Atlassian wesentliche Preis- und Paketänderungen für seine Cloud-Produkte um. Die Preisanpassungen betreffen unter anderem Jira, Confluence, Jira Service Management und weitere Produkte. Auch bestimmte Funktionen von Jira Service Management werden in höherwertige Editionen verschoben und einige Services auf ein verbrauchsabhängiges Preismodell umgestellt.

News

EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung oder auch General Data Protection Regulation tritt zum 25. Mai 2018 in Kraft (kurz EU-DSGVO/GDPR). Sie dient als einheitliches europäisches Regelwerk im Hinblick auf den Datenschutz.

Trainings catworkx
Service 12.09.22

Trainings

Atlassian-, catworkx-, BigPicture-, & SAFe®- & Trainings - ob als Inhouse-Training in Ihrem Unternehmen oder als Online-Training, catworkx bietet ein umfangreiches Trainingsportfolio an. Darunter auch eigens entwickelte Trainings für Jira und Confluence.

Übersicht

Jira and Confluence Together (Cloud)

In dem Training „Jira and Confluence Together (Cloud)“ lernen die Teilnehmer:innen, wie sie Jira und Confluence über Applikationsgrenzen hinweg zur Verwaltung ihrer Team-Projekte nutzen können.

News 11.01.22

Neue Atlassian-Kurse zu Jira und Confluence

Stärken Sie Ihre Zusammenarbeit durch unsere Atlassian Jira und Confluence Kurse. Lernen Sie, wie Sie mit Jira für Transparenz im Projektmanagement sorgen und mit Confluence den Know-How-Transfer in Ihrer Organisation managen.

Referenz

Integrated Project and User Portal (IPUP)

Transparente und flexible Verwaltung von Projekten und Usern in großen Umgebungen mit Jira Service Management: catworkx hat für einen Großkunden aus der Automobilbranche ein Tool entwickelt, mit dem Projekte nebst Zuordnung beteiligter Benutzer weitgehend automatisiert eingerichtet werden.

Icon Atlassian Jira Service Management
Produkt 08.08.22

Jira Service Management

Leistungsstarke und intuitive Service-Management-Lösung für IT- und Service-Teams

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!