Welche ersten Schritte sollte ich zum Arbeiten mit dem Data Protector setzen?

Hinweis: Im Regelfall setzen Sie diese ersten Schritte gemeinsam mit einem unserer Consultants im Rahmen Ihrer ersten Einschulung bei der Implementierung des Tools in Ihrer Organisation.

HITGuard bietet verschiedene Wege ein Managementsystem aufzubauen. Neben der Anlage der notwendigen User sollten folgende grundsätzliche Doings jedoch immer zu Beginn durchgeführt werden:

Zu Beginn sollte die Basiskonfiguration von HITGuard vorgenommen werden, inklusive der Benachrichtigungs- und Designoptionen. Diese findet sich unter Administration → Globale Einstellungen, wo viele dieser Settings zentral vorgegeben werden können. Zum Teil besteht später die Möglichkeit, diese Einstellungen auch individuell für jedes Managementsystem anzupassen. Neben Basiskonfigurationen wie der Standardsprache des Tools und dem Versand von E-Mails aus dem Tool an User, sollten auch formale Einstellungen wie die Kürzel Generierung vor der Arbeit getroffen werden. Dies erleichtert das gemeinsame Arbeiten mehrerer User.

Zu Beginn ist mindestens der Teil des Organisationsaufbaus abzubilden, der für die Erfassung der ersten Verarbeitungstätigkeiten notwendig ist. Erfassen Sie wenigstens die Organisationseinheiten, die als Konzern oder Gesellschaft gelten, also juristische Personen darstellen. Gegebenenfalls sind auch Niederlassungen, die als eigene juristische Person gelten können, zu erfassen.

Im nächsten Schritt sollten in Vorbereitung für die zu erfassenden Datenkategorien erst einmal Ihre Löschfristen erfasst werden. Unter Administration > Datenkategorien haben sie eine weitere Seite Löschfristen. Erfassen Sie hier die ersten Standardlöschfristen, z. B. für Mitarbeiterdaten. Im Anschluss daran können Sie Ihre Datenkategorien erfassen und haben gleich die Möglichkeit, die angelegten Löschfristen den Datenkategorien zuzuweisen.

Beachten Sie, dass Datenkategorien als „personenbezogen“ klassifiziert sein müssen, um in Verarbeitungstätigkeiten ausgewählt werden zu können.

Im Übrigen können Organisationseinheiten und Datenkategorien manuell angelegt aber auch importiert werden.

Weiterführende Information: Organisationseinheiten | Ressourcen | Prozesse | Datenkategorien

Mehr zum Import von Strukturelementen finden Sie hier.

Managementsysteme werden in HITGuard dazu verwendet, das Tool in verschiedene Themen- und Aufgabengebiete zu unterteilen. Sie bieten zentrale Funktionen, wie zum Beispiel das Verwalten von Analysezeiträumen und das Aktivieren von Organisationseinheiten in diesen. Nicht vergessen, aktivieren Sie das Datenschutz Add-on. Dieses kann nur einmalig aktiviert werden. Das heißt, es kann in Ihrer Instanz nur ein Managementsystem mit den Datenschutzfunktionalitäten existieren.

Die ausgewählten Organisationseinheiten werden im jeweiligen Managementsystem bzw. im Analysezeitraum, für den sie aktiviert sind, bei Analysen oder bei der Erstellung von Maßnahmen oder Kontrollen zur Auswahl vorgeschlagen.

Hinweis: Werden nach Erstellen eines Managementsysteme weitere Organisationseinheiten erstellt, deren übergeordnete OrgEh noch nicht einem Analysezeitraum Ihres Managementsystem zugeteilt ist, muss diese manuell aktiviert werden. Wie das geht, erfahren Sie hier.

Mehr zu Managementsystemen und ihrer Verwaltung finden Sie hier.

Für Verarbeitungstätigkeiten werden noch Betroffenenkategorien benötigt. Unter Datenschutz > Betroffenenkategorien können Sie die Kategorien von Betroffenen erfassen, von denen Daten im Rahmen Ihrer Verarbeitungstätigkeiten verarbeitet werden.

Sie können Externe separat unter Datenschutz > Externe pflegen. Da oftmals aber erst während der Erfassung einer Verarbeitungstätigkeit an weitere Externe bzw. Empfänger gedacht wird, haben Sie auch im Assistenten zur Erfassung der Verarbeitungstätigkeit die Möglichkeit Externe zu erfassen, ohne den Assistenten verlassen zu müssen.

Unterscheidet sich Ihre Risikopolitik des Datenschutzes von anderen bereits etablierten Managementsystemen in HITGuard, haben Sie die Möglichkeit diese Ihren datenschutzspezifischen Anforderungen anzupassen. Hier getätigte Einstellungen können auch die Konfiguration der Managementsysteme beeinflussen. Fügen Sie beispielsweise weitere Schutzziele hinzu, werden diese auch automatisch in den bereits vorhanden Managementsystemen aktiviert. Sprechen Sie sich daher mit anderen Managementsystemverantwortlichen ab, wie die Risikopolitik abgebildet werden soll.

Mit diesem Set an Basics ist HITGuard grundsätzlich betriebsbereit. Es können jederzeit weitere Einstellungen getroffen oder die bereits gesetzten Einstellungen weiter verfeinert werden. Weitere Elemente können angelegt und die darin enthaltene Information ausgedehnt werden. Grundsätzlich kann HITGuard nun jedoch schon eingesetzt werden.

Es gibt keinen vorgeschriebenen Weg, wie genau HITGuard im täglichen Arbeiten eingesetzt werden soll. Dennoch empfehlen wir nach dem PDCA-Zyklus die folgende Vorgehensweise: