Datenschutzmanagement — Chaos oder System
Unsere Kunden wissen es (hoffentlich), wie wir Datenschutz “managen” in der Zusammenarbeit mit ihnen. Interessenten, aber auch Kolleginnen und Kollegen aus der Branche fragen jedoch durchaus mal nach. “Wie macht ihr das mit dem das mit dem Datenschutzmanagement mit euren Kunden bei der a.s.k. Datenschutz als externe Datenschutzbeauftragte?”
Glücklicherweise haben nur wenige Interessenten bzw. potentielle Kunden bereits eine wie auch immer geartete Datenschutz-Software von der Stange. Nicht, weil diese generell unbrauchbar wären, aber in der Zusammenarbeit intern / extern meist doch eher suboptimal. Auch wenn sich langsam die eine oder andere Cloud-Lösung darunter befindet, so laufen diese Anwendungen meist on premise, sprich auf den Systemen des Kunden. Für uns Externe hieße dies, eine Vielzahl an VPN-Clients und Zugangslösungen auf allen Geräten des a.s.k.-Teams einzurichten und zu pflegen. Ein beachtlicher Aufwand. Und es soll sogar Organisationen geben, die einen Fernzugriff auf interne Systeme komplett untersagen. Von daher auch nicht optimal.
Hinzu kommt, dass wir ja nicht nur als externe Datenschutzbeauftragte arbeiten, sondern auch im Bereich Informationssicherheit tätig sind. Hier sind u.a. aufgrund zeitlicher Vorgaben (wie z.B. Fördermittelfristen) eine systematische Projektleitung und ein enges Führen der zu erledigenden Aufgaben kritische Erfolgsfaktoren.
Eine Plattform für (fast) alles, nicht nur für Datenschutzmanagement muss her
Also haben wir uns vor über 10 Jahren auf die Suche nach der eierlegenden Wollmilchsau oder — wie wir hier in Franken sagen — der bierbrauenden Schäufeleklosskuh gemacht. Zwingende Voraussetzungen waren:
- Einfacher Zugang sowohl für unsere Kunden als auch uns
- Leichte Verständlichkeit und Bedienbarkeit
- Hohes Maß an Sicherheit (u.a. Verschlüsselung nicht nur bei Bewegtdaten, sondern auch im Ruhezustand)
- Zwei-Faktor-Authentifizierung für alle Nutzer administrativ Pflicht (sonst kein Zugang / Zugriff)
- Flexible Einsetzbarkeit für unsere Themen
Dabei sollte es stets möglich sein, vorgefertigte Inhalte mit unseren Kunden gemeinsam bearbeiten zu können, einfach neue Inhalte ergänzen zu können und bei Projekten auch das Zeitmanagement im Blick haben zu können. Und das Ganze ohne stundenlange Einführungen, Schulungen oder Handbuchwälzerei.
Je mehr wir uns im Markt umgesehen und Tools getestet haben, desto größer wurden dann auch unsere Ansprüche 🙂
- Dokumentenmanagement (zumindest Versionierung) wäre nicht verkehrt.
- Automatische Wiedervorlagen z.B. für regelmäßige TOM-Nachprüfungen bei Auftragsverarbeitern ein Gedicht.
- Dokumentation (auch im Zuge der Nachweisbarkeit und Belegbarkeit) von Diskussionen zu Fragen von Kunden an zentraler Stelle statt stundenlanger Recherché in zahlreichen Postfächern (gerade bei Mitarbeiterwechseln eine Pest).
- Übersichtliche Darstellung erledigter und noch offener ToDos, einerseits zur Motivation der Beteiligten, aber auch zur Erleichterung des Berichtswesens.
- Bearbeiten und Dokumentieren von Betroffenenanfragen und Datenschutzverletzungen mit einfacher Möglichkeit des Löschens nach abgelaufener Aufbewahrungsfrist.
- Und … und … und … unsere Wunschliste wurde immer länger.
Ja, stimmt. Zahlreiche der im Markt erhältlichen Tools für Datenschutzmanagement können das irgendwie, teilweise oder gänzlich. Irgendeine Kröte muss man aber doch schlucken. Und man erhält “Datenschutz von der Stange”. Und sie können halt meist auch “nur” Datenschutz. Die Steuerung eines ISMS auf Basis des BSI IT-Grundschutz oder anderer Standards als externer Projektleiter ist damit selten zu stemmen. Von anderen Aufgaben in unserem Arbeitsalltag ganz zu schweigen. Und für alles ein jeweils anderes Tool einzusetzen, ist am Ende auch keine Lösung.
Vor vielen Jahren die Lösung: Datenschutzmanagement via Stackfield
Und dann haben wir nach längerer Suche vor vielen Jahren unsere bierbrauende Schäufeleklosskuh gefunden. Die Münchner Stackfield GmbH hatte mit dem Produkt Stackfield eine Alternative zu Trello (einem bekannten US-Kanban-Board) am Start und sowohl das vorhandene Produkt als auch die weitere Roadmap waren vielversprechend. Und den Einsatz als zentrales System für Datenschutzmanagement für unsere Kunden und uns, aber auch als Projektmanagement-Tool haben wir seither keine Sekunde bereut. Aufgrund der kontinuierlichen Weiterentwicklung des Produkts sind mittlerweile noch zahlreiche Features hinzugekommen, die wir nicht auf unserer Liste hatten, die aber den Arbeitsalltag in der Zusammenarbeit mit unseren Kunden noch weiter erleichtern. Direkte verschlüsselte Chat-Funktion, Videokonferenzen (geplant oder adhoc) innerhalb der Projektumgebung ohne separates Tool, Wissensmanagement und noch so vieles mehr. Aus unserem Arbeitsalltag ist Stackfield nicht mehr wegzudenken. Auch abseits der Zusammenarbeit mit Kunden ist Stackfield für rein interne a.s.k.-Angelegenheiten ein ebenso wichtiges Instrument geworden. Auf den ersten Blick mag Stackfield einem wie ein Aufgaben-/Projektmanagement-Tool unter vielen erscheinen. Doch unter der Haube steckt noch sehr viel mehr.
Doch bevor wir das nun lang und breit erklären und damit den Umfang dieses Beitrags sprengen würden: Der geschätzte Stephan Hansen-Oest, auch bekannt als “Datenschutz-Guru” (selbst wenn er das so nicht hören mag, er ist einer) hat vor einiger Zeit einen Videocast mit uns zu dem Thema “Stackfield als DSMS” gemacht. Unter dem Titel “So arbeiten Datenschutzbeauftragte — a.s.k. Datenschutz” kann sich jeder, der mag, weitere Details zur Einsatzweise dieser Lösung anschauen , die nicht von der Stange kommt. Viel Spaß beim Schauen!
Und bevor jemand fragt: Nein, dieser Beitrag ist kein Werbebeitrag und nicht gesponsort. Wir erhalten auch keine Vergünstigungen oder Kickbacks irgendeiner Art. Wir sind einfach von dem Tools so begeistert, dass wir darüber berichten wollten.
