Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
21. August 2021

Datenschutz-Tools: So verhindern Sie falsche Erwartungen

DP+
Zweifellos kann Datenschutz-Software eine wichtige Unterstützung sein. Doch muss jeder genau die Grenzen und Einschränkungen in den Funktionen kennen, um Lücken in den Datenschutz-Abläufen zu verhindern.
Bild: iStock.com / lisegagn
0,00 (0)
Inhalte in diesem Beitrag
Datenschutz-Software
Datenschutz-Software kann wesentlich dazu beitragen, die DSGVO umzusetzen. Was die jeweiligen Tools jedoch genau leisten und was die Beschäftigten weiterhin manuell tun müssen, sollte genau bekannt sein.

Haben die Anwender falsche Vorstellungen, bleiben Datenschutzaufgaben liegen. Deshalb sollte Datenschutz-Software immer Gegenstand einer Datenschutzunterweisung sein.

Was die Software leisten kann

Die Marktforscher von Gartner beschreiben die Möglichkeiten von Datenschutzmanagement-Tools so: Privacy-Management-Tools helfen Organisationen,

  • Datenschutz-Folgenabschätzungen durchzuführen,
  • Verarbeitungsaktivitäten anhand von Anforderungen aus Datenschutzbestimmungen zu überprüfen,
  • Vorfälle zu verfolgen, die zu einer unbefugten Offenlegung personenbezogener Daten führen (Untersuchung, Korrektur, Meldung),
  • den Datenfluss personenbezogener Daten zu analysieren und zu dokumentieren (Art der Daten, Zweck der Verarbeitung, Datenverantwortlicher),
  • Datenschutzrichtlinien – für die sie Vorlagen bereitstellen – zu erstellen und zu verbreiten und
  • Datenschutzoptionen der Benutzer zu verfolgen (z.B. Benutzer bestätigen, die Richtlinien gelesen zu haben).

Allerdings: Die genauen Leistungen hängen vom jeweiligen Tool ab. Auf dem Markt gibt es eine große Bandbreite an Lösungen, die sich als Datenschutz-Software bezeichnen. Das können z.B. Tools zum Aufspüren personenbezogener Daten sein (Data Discovery), Werkzeuge für die Anonymisierung oder Pseudonymisierung, Software zur Verwaltung von Einwilligungen (Consent Manager), aber auch Programm-Pakete, die gleich mehrere solcher Funktionen in sich vereinen.

Wer Datenschutz-Tools einsetzen möchte, muss also – wie bei jeder Software – einen genauen Blick auf den Funktionsumfang werfen. Das gilt für den Auswahlprozess, aber auch später bei der Nutzung, damit weder der Einkauf noch die Anwender und Anwenderinnen oder die verantwortliche Stelle einen falschen Eindruck vom Leistungsumfang haben und Lücken in den Datenschutz-Prozessen entstehen.

Praxis-Tipp
Der Markt im Bereich Data Privacy Management ist vielfältig. Daher kann es sich lohnen, zuerst einen Überblick über die Anbieterlandschaft zu gewinnen. Die großen Marktforschungshäuser veröffentlichen hierzu regelmäßig (oft kostenpflichtige) Übersichten, Benchmarks und Vergleiche, darunter

Lösungen, um Betroffenenanfragen zu bearbeiten

Datenschutz-Tools können bei der Suche nach personenbezogenen Daten helfen, damit die Auskunft vollständig ist, das Unternehmen die Löschverpflichtung umfassend erfüllen kann und die Sicherheitsmaßnahmen alle zu schützenden Daten berücksichtigen. Entsprechende Data-Discovery-Funktionen sind hilfreich, um die Betroffenenrechte umzusetzen.

Weisen Sie in Ihrer Schulung darauf hin, dass zu klären ist, ob die Suche nach den Daten wirklich so weitreichend ist, wie es sich die Anwender und Anwenderinnen vorstellen.

So können personenbezogene Daten heute im Unternehmensnetzwerk gespeichert sein, aber auch auf Endpoints, Edge-Geräten und in Cloud-Diensten. Deshalb darf niemand einfach darauf vertrauen, dass ein Tool alle Speicherorte der Daten berücksichtigt. Die Anwender müssen wirklich sichergehen können.

Datenschutz-Werkzeuge im Bereich Data Discovery, die Speicherorte nicht erfassen können, die das jeweilige Unternehmen nutzt, sind nur eingeschränkt sinnvoll. Sie können dazu führen, dass die Kolleginnen und Kollegen die Betroffenenrechte ungewollt nur unvollständig erfüllen.

Lösungen für den Cloud-Datenschutz

Eine Reihe von Softwarelösungen bietet an, Datenschutzfunktionen bei Cloud-Daten umzusetzen, etwa die Verschlüsselung oder die Zugriffskontrolle, abhängig von einem dynamisch bestimmten Datenrisiko.

Eine solche automatisch implementierte Verschlüsselung oder Zugriffskontrolle für Cloud-Daten hat aber in aller Regel ihre Grenzen. Denn solche Lösungen unterstützen bestimmte Cloud-Dienste wie Google Cloud, AWS und Azure, aber nicht unbedingt die Cloud-Services, die das jeweilige Unternehmen einsetzt.

Weisen Sie daher darauf hin, dass jeder wissen muss, ob die Cloud-Daten, mit denen er umgeht, Gegenstand der automatisierten Verschlüsselung sind oder nicht. Andernfalls könnten Beschäftigte davon ausgehen, dass die Cloud-Daten bereits verschlüsselt sind, doch tatsächlich gilt dies nur für bestimmte Cloud-Dienste und nicht für alle Cloud-Daten.

Die Hilfe von KI im Datenschutz richtig einschätzen

Laut Gartner werden über 40 Prozent der Datenschutz-Softwarelösungen bis 2023 auf künstliche Intelligenz (KI) setzen, um den Verwaltungsaufwand und den manuellen Arbeitsaufwand zu reduzieren.

Nun müssen Sie weder befürchten, dass KI in Zukunft die Aufgaben der Datenschutzbeauftragten übernimmt, noch sollten Sie den Fehler machen, die Unterstützung durch Künstliche Intelligenz übertrieben hoch einzustufen. Man muss – wie bei einer nicht-KI-gestützten Software – genau wissen, was eine solche Lösung im Datenschutz an Aufgaben übernehmen kann und was nicht.

Insbesondere müssen sich die Anwender und Anwenderinnen darüber im Klaren sein, um zu vermeiden, dass Prozessschritte im Datenschutz unterbleiben, weil die zuständigen Personen glauben, „das Datenschutz-Tool übernimmt das schon“.

Ausprobieren lassen, aber bitte mit Testdaten

Führt ein Unternehmen ein neues Datenschutz-Tool ein, müssen alle vorgesehenen Nutzer und Nutzerinnen richtig damit umgehen können. Deshalb ist es sinnvoll, nicht nur im Vorfeld für die Tücken bei der Auswahl von Datenschutz-Tools zu sensibilisieren, sondern die Privacy-Tools in einer Datenschutzunterweisung vorzustellen und nach Möglichkeit gleich ausprobieren zu lassen.

Wie gehen die Kolleginnen und Kollegen z.B. vor, wenn ein Auskunftsersuchen eintrifft? Wie finden sie die Daten der betroffenen Person richtig auf?

Achtung

Achten Sie darauf, dass bei einem solchen Test nur Testdaten zum Einsatz kommen, die zwar realistisch sind, sich aber keinen wirklichen Personen zuordnen lassen. Denn auch in einer Testphase müssen Verantwortliche alle Datenschutzanforderungen einhalten wie später in der Produktivphase. Das sollte – fast möchte man sagen: gerade – beim Test einer Datenschutz-Software nicht anders sein.

Oliver Schonschek

Oliver Schonschek
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.