PwCs Softwaresystem: Mit dem „PwC Data Protection Manager“ die DSGVO-Anforderungen effizient und nachweisbar umsetzen

08 Juli, 2019

Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Sie bringt zahlreiche neue Anforderungen. Eine der bedeutsamsten Neuerungen: Unternehmen müssen nachweisen, die Anforderungen der DSGVO eingehalten zu haben (sog. „Rechenschaftspflicht“). Bei Verstößen drohen Geldbußen in Höhe von bis zu vier Prozent des weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro.

Für die nutzerfreundliche Verwaltung von Prozessen und Informationen sowie eine korrekte Umsetzung der DSGVO hat PwC das System „PwCs Data Protection Manager“ entwickelt. Bei der Entwicklung spielte die langjährige Praxiserfahrung der beteiligten PwC-Kolleginnen und -Kollegen in der Datenschutzberatung eine entscheidende Rolle.

„Der Rechenschaftspflicht können Unternehmen in der Regel nur nachkommen, wenn sie mit Hilfe von Systemen ihre Prozesse, Anwendungen und Maßnahmen nachvollziehbar dokumentieren und verwalten.“

Dr. Jan-Peter Ohrtmann, Rechtsanwalt, Partner und Experte für Datenschutz bei PwC

Bereits die Aufnahme von Prozessen und Informationen in den verschiedenen Abteilungen eines Unternehmens wurde möglichst einfach gestaltet: Der PwCs Data Protection Manager bietet einen Fragebogen, mit dessen Hilfe die verantwortlichen Beschäftigten Angaben zu den personenbezogenen Daten in ihren Prozessen und Anwendungen eintragen können. Neben der Online-Funktionalität ist auch die Nutzung eines auf Microsoft Excel basierenden Fragebogens möglich. Dieser wird „offline“ ausgefüllt und im Anschluss in die Cloud des PwCs Data Protection Managers hochgeladen. Als Ergebnis stellt die Software die erfassten Prozesse automatisiert als Verzeichnis von Verarbeitungstätigkeiten und in der Datenflusslandkarte dar. Daneben gibt es weitere vielfältige Funktionalitäten für Kunden.

Kurzum: Mit dem PwCs Data Protection Manager bietet PwC ein System, das allen Unternehmen die Umsetzung des Data Protection Management (DPM) enorm erleichtert.

„PwCs Data Protection Manager ersetzt keine rechtliche Beratung oder gar einen Datenschutzbeauftragten. Allerdings können durch die Unterstützung der Software die Arbeitsabläufe im Bereich des Datenschutzes in Unternehmen deutlich standardisiert und vereinfacht werden,“ sagt Dr. Jan-Peter Ohrtmann, Rechtsanwalt, Partner und Experte für Datenschutz bei PwC. „Dadurch wird der Aufwand für die Kunden erheblich reduziert. Den PwCs Data Protection Manager haben wir in unserer eigenen Beratungspraxis bereits erfolgreich eingesetzt.“

Mehr zu den Funktionalitäten des Data Protection Managers im Video:

Video

Data Protection Manager - DSGVO Compliance erzielen

1:20
More tools
  • Closed captions
  • Transcript
  • Full screen
  • Share
  • Closed captions

Playback of this video is not currently available

Transcript

Zu einzelnen Funktionalitäten des Systems

1. Verzeichnis von Verarbeitungstätigkeiten

Funktionalität: Die Aufnahme der Verarbeitungstätigkeiten (in der Software als „Prozesse“ bezeichnet) gemäß Art. 30 DSGVO erfolgt durch einen vorbereiteten Fragebogen mit insgesamt etwa 40 Fragen. Der Benutzer wird dabei durch die Software durch den Fragebogen geleitet. Die Beantwortung des Fragebogens kann jederzeit unterbrochen und an der gleichen Stelle zu einem späteren Zeitpunkt fortgesetzt werden. Auch können Fragebögen von unterschiedlichen Personen bearbeitet werden. Ein umfangreiches Rechtekonzept ermöglicht eine genaue Aufgabenzuweisung.

Aus den Antworten sämtlicher Fragebögen erzeugt die Software automatisch das Verzeichnis von Verarbeitungstätigkeiten nach Maßgabe von Art. 30 DSGVO. Durch eine Filterfunktion kann das Verzeichnis von Verarbeitungstätigkeiten für einzelne Unternehmen, einzelne Abteilungen oder sogar einzelne Prozessverantwortliche separat erzeugt werden.

Sämtliche Änderungen an einem Prozess werden in einer Historie gespeichert, sodass auch im Nachhinein stets nachvollziehbar ist, welche Personen welche Änderungen vorgenommen haben.

2. Datenschutz-Folgenabschätzung

Funktionalität: Für jeden aufgenommenen Prozess kann durch einen weiteren Fragebogen die Erforderlichkeit einer Datenschutz-Folgenabschätzung überprüft werden. Die Software gibt dabei anhand der Antworten eine Indikation, ob eine Datenschutz-Folgenabschätzung notwendig ist oder nicht. Gleichzeitig wird so für jeden Prozess ein Risiko-Score gebildet, der letztendlich Grundlage eines Risiko-Berichts wird.

Sollte für einen Prozess eine Datenschutz-Folgenabschätzung notwendig sein, so kann diese über einen weiteren strukturierten Fragebogen direkt in der Software durchgeführt werden.

3. IT-Systeme und -Applikationen

Funktionalität: Die Software erlaubt die strukturierte Aufnahme aller im Unternehmen eingesetzter IT-Systeme und -Applikationen inklusive der jeweiligen technischen und organisatorischen Maßnahmen.

Für jedes IT-System können zudem einzeln die Länder erfasst werden, in denen Daten des IT-Systems gespeichert werden oder aus denen auf Daten des IT-Systems zugegriffen werden kann.

Im Rahmen der Prozessaufnahme können die in der Software angelegten IT-Systeme und -Applikationen ausgewählt werden, sodass eine Verknüpfung zwischen Prozess und IT-System entsteht. Sämtliche relevante Informationen der IT-Systeme werden so in die bestimmten Prozess übertragen und können zentral aktualisiert werden.

4. Datenübermittlung

Funktionalität: In den Prozessen kann einerseits direkt über den Fragebogen andererseits über die Auswahl der IT-Systeme und -Applikationen hinterlegt werden, in welchen Ländern Daten aus diesem Prozess gespeichert werden und aus welchen Ländern ein Zugriff auf diese Daten möglich ist. Diese Datenübermittlungen in den Prozessen kann auf einer Datenflusslandkarte visualisiert werden. Zusätzlich gibt es eine Filterfunktion, um die Visualisierung noch weiter zu individualisieren.

5. Auftragsverarbeiter

Funktionalität: Die Software bietet die Möglichkeit der Erfassung sämtlicher Dienstleister eines Unternehmens. Dabei kann für jeden Dienstleister zum einen der Auftragsverarbeitungsvertrag sowie etwaig getroffene Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus bei Dienstleistern mit Bezug zu Drittländern erfasst werden. Zum anderen kann die Auditart- und frequenz bestimmt werden.

Im Dienstleisterbericht werden Statistiken und Graphen mit Informationen zu den Dienstleistern übersichtlich dargestellt.

6. Meldung von Datenschutzpannen

Funktionalität: Die Software bietet ein individuell anpassbaren Prozessdiagramm für den Umgang mit Datenpannen im Unternehmen.

Sollte eine Datenpanne auftreten, kann diese inklusive aller relevanter Informationen erfasst werden. Neben einer Beschreibung des Vorfalls können dabei das Startdatum einer etwaig bestehenden Informationspflicht sowie eine Bewertung erfasst werden.

Im Datenpannenbericht werden Statistiken und Graphen mit Informationen zu aufgetretenen Datenpannen dargestellt.

7. Datenschutzbeauftragter & Zuständigkeiten

Funktionalität: Für jede einzelne Gesellschaft kann der zuständige Datenschutzbeauftragte inklusive der Bestellungsurkunde sowie der Mitteilung an die Datenschutzaufsicht strukturiert erfasst werden.

8. Schulungen

Funktionalität: Die DSGVO-Schulungen können über ein Online-Training abgebildet werden. Die Basisschulungen für Manager und Fachkräfte sind in sieben, bzw. sechs, Einheiten aufgeteilt und vermitteln unter anderem was die DSGVO ist, welche neuen Regelungen auf Unternehmen zukommen und wie mit persönlichen Daten umgegangen werden sollte. Jan-Peter Ohrtmann ist Ihr Ansprechpartner bei Fragen rund um die DSGVO-Schulungen.

Zudem können in der Software durchgeführte Schulungen inklusive Teilnehmeranzahl und Art der Schulung dokumentiert werden. In einem übersichtlichen Schulungsbericht werden Statistiken und Graphen über durchgeführte Schulungen dargestellt.

9. Auskunft

Funktionalität: Auskunftsanfragen von Betroffenen können über eine Funktion im PwC Data Protection Manager einfach und softwaregestützt beantwortet werden. Dazu kann ein Standardschreiben personalisiert und mit Daten aus dem Verzeichnis von Verarbeitungstätigkeiten automatisch vorausgefüllt werden.

10. Datenschutzdokumentation

Funktionalität: Die unternehmensspezifische Datenschutzdokumentation kann an zentraler Stelle in der Software hinterlegt werden.

11. Newsletter

Funktionalität: Über eine Newsletter-Funktion kann aus dem PwC Data Protection Manager heraus ein Newsletter an sämtliche oder auch nur bestimmte in der Software hinterlegte Benutzer versendet werden.

Neben dem einmaligen Versand können Newsletter auch in einem wöchentlichen oder monatlichen Intervall versendet werden.

12. Musterdokumentation

Funktionalität: In der Software sind zusätzlich mehrere PwC-Musterdokumente hinterlegt. So finden Sie beispielsweise eine Datenschutzrichtlinie, eine Löschrichtlinie, eine Muster-Einwilligung, Muster-Datenschutzhinweise oder einen Mustervertrag zur Auftragsverarbeitung.

13. Reporting

Funktionalität: Im Berichtswesen haben Sie die Möglichkeit diverse Kennziffern aus den im PwC Data Protection Manager eingegeben Daten abzulesen. Neben einer reinen Übersicht über die Anzahl der Prozesse finden Sie so zum Beispiel einen Statusbericht, in dem der Bearbeitungsstand sämtlicher Prozesse veranschaulicht wird, sowie einen Risikobericht, um schnell und übersichtlich risikoreiche Prozesse im Unternehmen identifizieren zu können.

„Mit dem DSGVO e-Learning bietet Ihnen PwC ergänzend zum PwCs Data Protection Manager die Möglichkeit einer Online-Schulung.“

Dr. Jan-Peter Ohrtmann, Rechtsanwalt, Partner und Experte für Datenschutz bei PwC

Contact us

Dr. Jan-Peter Ohrtmann

Dr. Jan-Peter Ohrtmann

Partner, Cybersecurity, Data Protection & IP Leader, Global Legal Business Solutions Network, PwC Germany

Tel.: +49 171 7614597

Thomas Hampel

Thomas Hampel

Partner, Data & AI Use Cases, PwC Germany

Tel.: +49 170 5628709

Follow us