Umsetzungsbeispiele zur DSGVO in process4.biz-Modellen

Dieser Artikel beschäftigt sich mit einigen Möglichkeiten der Dokumentation DSGVO-relevanter Inhalte in process4.biz-Modellen.

Abstract

Im folgenden Artikel geht es um die Integration DSGVO-relevanter Dokumentations-Inhalte in bestehende process4.biz-Modelle.

An Stelle von verteilten Dokumenten und redundantem Inhalt, steht in process4.biz eine zentrale Modell-Datenbank zur Verfügung, die Inhalte kategorisiert, miteinander verknüpft und dadurch die Datenpflege vereinfacht.

Für den Anwendungsfall der DSGVO-Dokumentation, steht damit ein flexibles und hochgradig anpassbares Werkzeug zur Verfügung, das entscheidende Mehrwerte zu bieten hat:

  • keine weitere Tool- bzw. Dokumentations-Insel
  • Standort- und Fachbereich-übergreifende Zusammenarbeit in einem zentralen Modell
  • vollkommen automatische Bewertung der DSGVO-Relevanz basierend auf den verwendeten Daten-Objekten
  • Weiterverwendung bereits vorhandener Dokumentation bzw. von Teilen davon (z.B. Prozessmanagement, IT-Doku)
  • eine redundanzfreie Lösung zur Dokumentation des gesamten Unternehmens, die DSGVO ist dabei ein vollständig integrierter Teilbereich
  • flexible Auswertungen und Reports mit umfassendem Input für die nötigen DSGVO-Dokumente

Die in Folge beschriebenen Umsetzungsbeispiele sollen diese Mehrwerte verdeutlichen, die dazu erforderlichen Konzepte vermitteln und die nötigen Arbeitsschritte erläutern.

Ausgangssituation

Als Ausgangssituation für die Integration DSGVO-relevanter Dokumentations-Inhalte, wird an dieser Stelle ein bestehendes process4.biz-Modell zur Prozessmodellierung und/oder Dokumentation der IT angenommen. Das heißt, dass grundsätzliche Strukturen (= “Klassen”) wie z.B. Prozess, Rolle, Applikation udgl., sowie Verknüpfungen zwischen den Objekten in diesen Klassen bereits vorhanden sind bzw. in dem jeweiligen Modell zumindest möglich wären.

Unser Ausgangspunkt für die folgenden Beispiele ist in diesem Fall die Demo-Datenbank, die aktuell in jedem unserer Releases mit-ausgeliefert wird und vielfältige Start-Inhalte und Vorlagen zur Verfügung stellt.

Die in Folge beschriebenen Einstellungen, Optionen und Anpassungen sind als Beispiele zu verstehen und erheben keinen Anspruch auf absolute Richtigkeit oder Vollständigkeit, insbesondere in individuellen Unternehmensumgebungen - sie sind viel eher als Ideen und Impulse zu verstehen, um bereits existierende p4b-Modelle in Bezug auf die DSGVO besser nutzbar zu machen und von bereits vorhandener Information bzw. Dokumentation zu profitieren.

Anforderungen

Als Zielsetzung sollten von unserem p4b-Modell dann folgende Anforderungen in Bezug auf die DSGVO erfüllt werden können:

  1. Dokumentation der Datenverarbeitung
  2. Aufbereitung von Information in Bezug auf das Auskunftsrecht betroffener Personen
  3. Vorarbeit in Bezug auf das Verzeichnis von Verarbeitungstätigkeiten

Dokumentation von Daten und deren Verarbeitung

Um die Datenverarbeitung differenzierter und detaillierter dokumentieren zu können, bietet sich die Unterscheidung von Daten und Datensätzen an.

Die Struktur dafür könnte z.B. so aussehen:

HR Tool {
    Bewerber {
        Vorname, Nachname, Adresse, Foto, etc.
    }
}

Das “HR Tool” ist in diesem Fall eine Applikation, der “Bewerber” ein Datensatz und alle Attribute wie Vorname, Nachname etc. sind Objekte aus der Klasse Daten. Die beiden Klassen Daten und Datensatz sind im Tool über den Designer anzulegen und zu verwalten, was nach Fertigstellung so aussehen könnte:

Klassen im Designer

Um die so definierten Klassen Daten und Datensätze sinnvoll für die Modellierung bzw. im jeweiligen p4b-Modell verwenden zu können, sind auch noch die entsprechenden Verknüpfungsregeln erforderlich:

Verknüpfungsregeln

Mit diesen Regeln wird gesteuert, welche Modell-Inhalte mit den Daten bzw. Datensätzen verknüpfbar sein sollen. Die so erstellten Verknüpfungen bilden dann die Grundlage für alle weiteren Abhängigkeiten und Auswertungen.

Objektdaten

Um unsere Daten und Datensätze entsprechend der DSGVO als personenbezogene Daten zu kennzeichnen, bedarf es einem erweiterten Umfang von Attributen (= Felder) für die Objekte dieser beiden Klassen.

Daten-Objekte enthalten dabei die grundlegende Klassifizierung in personenbezogene Daten (Ja/Nein) und können dann weiters als auch als sensible Daten (Ja/Nein) eingestuft werden. Eine solche Einstufung bedarf dann zwingend (= Pflichtfeld) einer Auswahl für den entsprechenden Typ sensibler Daten:

Attribute der Daten-Objekte

Zudem steht hier auch noch eine sogenannte Datenschutzrelevanz-Analyse als (rudimentäres) Beispiel zur Verfügung, die eine Einstufung des Risikos (gem. vordefinierter Bewertungslogik) erlaubt, welches mit der Speicherung bzw. Verarbeitung der jeweiligen Daten einhergeht.

Datensatz-Objekte setzen ihr Attribut Enthält personenbezogene Daten? automatisch und gemäß einer Formel (siehe unten) auf Ja, falls sie Daten enthalten, die bereits als personenbezogene Daten eingestuft wurden – so wird redundante und manuelle Pflege an mehreren Stellen weitgehend verhindert und eine klare Hierarchie zwischen Daten und Datensätzen geschaffen.

Auch für Applikationen wird auf Grund ihrer Verwendung in Diagrammen und basierend auf der selben Formel-Logik automatisch erhoben, ob sie datenschutzrelevant sind. Hier wird aber beides, also sowohl die Verarbeitung von Daten, als auch die von Datensätzen berücksichtigt.

Diagramme

In Prozessdiagrammen können die so angelegten Daten bzw. Datensätze dann z.B. wie Rollen zur Modellierung verwendet werden. Die von vielen unserer Kunden verwendete RACI-Methode kann dafür z.B. um eine vertikale Schwimmbahn erweitert werden, was in Bezug auf den wertvollen Platz auf einem Flowchart verhältnismäßig sparsam ausfällt:

Daten-Objekte auf einem RACI-Diagramm

Falls eine andere Notation verwendet wird, wird sich sicher auch dafür eine passende Darstellungsform finden lassen. In einem solchen Fall wäre die Empfehlung, sich an der Darstellung von Rollen/Funktionen oder Dokumenten in der jeweiligen Notation zu orientieren.

Falls es keine Prozess-Dokumentation im jeweiligen Modell gibt oder die Dokumentation der Datenverarbeitung von der IT aus getrieben wird, bietet sich auch ein Applikations-basierter Ansatz an:

Daten-Objekte auf einem IT-Diagramm

Beide Ansätze können auch problemlos im selben Modell genutzt werden und vervollständigen sich sogar gegenseitig, da dank der gemeinsamen Modell-Datenbank auf dieselben Objekte zurückgegriffen wird und diese sämtliche Verknüpfungen aggregieren. Die Abhängigkeiten zwischen Daten, Prozessen und Applikationen sehen dann gemäß den beiden obigen Beispiel-Diagrammen so aus (Beispiel: Datensatz “Bewerber”):

Abhängigkeiten Datensatz 'Bewerber'

Werden in einem Diagramm (in diesem Beispiel: Prozess- oder Applikations-Dokumentation) personenbezogene Daten verwendet, kann z.B. auch die Rechtmäßigkeit der Datenverarbeitung als Feld angezeigt und eine Eingabe gefordert werden. Auch kann ein von p4b automatisch gesetzter Indikator Personenbezogene Daten? (Ja/Nein) eingebaut werden, um das jeweilige Diagramm sofort automatisch zu kategorisieren:

Diagramm-Attribute

Die Logik hinter einem solchen Marker läuft auf die Analyse aller auf einem Diagramm verwendeten Objekte und deren Eigenschaften hinaus. Diese Auswahl wird dann auf Daten und Datensätze eingeschränkt und analysiert. Wenn in dieser Teilmenge von Objekten personenbezogene Daten gefunden werden, wird das Diagramm dann automatisch auf den entsprechenden Status gesetzt:

Formel-Text

Die “Verwendung personenbezogener Daten”-Markierung kann dank Visio nach Belieben selbst gestaltet werden - für unsere Beispiel-Diagramme wird sie in der Kopfzeile der Diagramme angezeigt und sieht so aus:

Marker auf einem Diagramm

Falls eine visuelle Kennzeichnung nicht nötig bzw. nicht erwünscht ist, kann dieser Schritt natürlich auch ausgelassen werden.

Reports & Auswertungen

Ist die gemäß den oben angeführten Schritten entstandene Dokumentation von Daten und deren Verarbeitung einmal im Datenmodell verankert, bieten diese Strukturen und Abhängigkeiten eine umfangreiche Datenbasis für alle Arten von Reports und Auswertungen. Insbesondere die eingangs erwähnte Vorarbeit für bzw. Erstellung von DSGVO-relevanten Dokumenten wie einem Verzeichnis von Verarbeitungstätigkeiten ist in diesem Kontext interessant.

Um möglich flexibel nach Daten und Datensätzen, sowie deren Verwendung bzw. Verarbeitung in Applikationen und Prozessen fragen zu können, werden wir auf den Query Builder zurückgreifen. Dieses Erweiterungsmodul unseres Tools ermöglicht die Erstellung frei definierbarer Abfragen basierend auf allen Modell-Inhalten und deren Verknüpfungen untereinander.

Daten & Datensätze

Den Anfang macht die Frage nach der Verarbeitung und Speicherung von Daten und Datensätzen. Unsere Abfrage wird in diesem Fall so definiert, dass über die Applikation nach den Daten in Datensätzen gefragt wird. Das Ergebnis sieht dann für das oben bereits erwähnte “HR-Tool” so aus:

Datenverarbeitung HR-Tool

Diese Dimension kann auch ohne detailliert dokumentierte Prozesse, quasi “nur” mit den Mitteln Applikations-basierter IT-Dokumentation umgesetzt werden und bietet relativ schnell Mehrwerte wenn es z.B. um ein Auskunftsbegehren oder um die Umsetzung von Berechtigungs- oder Sicherheits-Konzepten in Bezug auf die in einem Unternehmen verwendeten Applikationen geht.

Prozess-Kontext

Stehen in einem process4.biz-Modell auch dokumentierte Prozesse zur Verfügung, bietet sich dieser Prozess-Kontext als weitreichende Quelle relevanter Information an. Der von der DSGVO geforderte Zweck einer Datenverarbeitung kann z.B. direkt aus dem jeweiligen Prozess abgeleitet werden und auch Verantwortlichkeiten, Rollen- bzw. Funktions-basierte Berechtigungen udgl. sind für Prozesse oft schon vorhanden.

Als Beispiel-Abfrage wird in diesem Fall die Frage nach der Verarbeitung von Daten in einzelnen Prozessschritten und deren Kontext (z.B. verwendete Applikation, Prozesseigner, Rollen und deren Verantwortung nach RACI) dienen. Alle nötigen Daten und Verknüpfungen dafür kommen in diesem Fall aus dem RACI-Flussdiagramm für unseren Personalbeschaffungs-Prozess. Das Ergebnis sieht dann so aus:

Datenverarbeitung im Personalbeschaffungs-Prozess

Es ist hier natürlich auch möglich, auf einer höheren Abstraktionsebene zu bleiben und in der Abfrage nicht bis hinunter zu den einzelnen Prozessschritten zu gehen. Eine solche Abfrage könnte dann z.B. nach dem Prozess, den verarbeiteten Daten und deren Personenbezug, der Rechtmäßigkeit und dem Zweck fragen.

Datenverarbeitung in Prozessen

Sämtliche Abfragen können auch im Document Composer, basierend auf flexibel anpassbaren Microsoft Word *.dotx-Vorlagen, zu Dokumenten weiterverarbeitet werden:

Beispiel-Verzeichnis einer Verarbeitungstätigkeit

So lassen sich dann auch all die hier angeführten Beispiele (oder Teile davon) als Ausgangspunkt der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verwenden, was einen entscheidenden Vorteil mit sich bringt: statt manueller Datenpflege in Microsoft Word oder Excel, stehen hier jeweils aktuelle Daten aus dem Prozessmodell zur Verfügung, die redundanzfrei, also nur an einer einzigen Stelle zu pflegen sind und für die Kategorisierungen (wie oben erläutert) sogar vollkommen automatisch vorgenommen werden können.

Für den Kontext der DSGVO bietet ein (Prozess-) Modell damit einen signifikanten Mehrwert: alle für Verordnungs-konforme Dokumentation nötige Information kann an einem zentralen Ort gespeichert, gepflegt und flexibel weiterverwendet werden.

Wir hoffen, dass dieser Artikel Ihnen einige Ideen und Impulse in Bezug auf die Möglichkeiten zur Umsetzung der DSGVO-Dokumentation in process4.biz-Modellen vermitteln konnte.

Gerne stehen wir Ihnen für Fragen, Anregungen und Feedback dazu zur Verfügung, oder demonstrieren Ihnen die beschriebenen Demo-Inhalte live in unserem Tool. Auch Beratungs-Dienstleistungen für eine konkrete Umsetzung in Ihrer process4.biz-Lösung bieten wir gerne an. Kontaktieren Sie uns dazu einfach hier oder via Email.


In Kategorie: Use Case | Tags: dsgvo, content
Diesen Artikel teilen: 

Ein Auszug unserer Kundenreferenzen

Bei Bedarf informieren wir Sie gerne über die jeweiligen Kunden und Projekte, oder stellen direkt Kontakt zum individuellen Austausch her.

  Alle Referenzen anzeigen
GNT Group B.V.
HELM AG
LUCOBIT AG
Österreichische Lotterien Gesellschaft m.b.H
Etablissement d'assurance contre l'incendie et les éléments naturels du Canton de Vaud
Karl Landsteiner Privatuniversität für Gesundheitswissenschaften

  Kontaktieren Sie uns