Prozessorientierte Methodik zur Umsetzung der EU-DSGVO
Die Bundesanstalt für Immobilienaufgaben (BImA) stellt sich mit konzeptioneller und technischer Unterstützung des IT-System- und Beratungshauses CONET in Prozessanalyse und Prozessdokumentation der Umsetzung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO).
Mit einem Portfolio von Grundstücken mit einer Gesamtfläche von rund 490.000 Hektar und 38.000 Wohnungen sowie etwa 6.000 Mitarbeitern ist die BImA einer der größten Immobilieneigentümer Deutschlands und verarbeitet entsprechend große Mengen an personenbezogenen Daten (pbD) wie Mieter-, Käufer-, Verkäufer- und Interessentendaten. Daher begann die BImA bereits 2016 mit der Planung zur Umsetzung der Vorgaben der EU-DSGVO und des BDSG-neu.
Eine der zentralen Herausforderungen besteht dabei darin, von der bisher geforderten systemorientierten Dokumentation (wo werden Daten gespeichert und wie geschützt) auf die jetzt geforderte aufgabenbezogene Dokumentation umzustellen (wo, wie und durch wen werden Daten verarbeitet). Dabei müssen für jede einzelne Verarbeitungstätigkeit lückenlos die Kontaktdaten des Verantwortlichen, der Zweck der Verarbeitung, die Rechtsgrundlage zur Verarbeitung, die Kategorien der verarbeiteten pbD, die Kategorien der betroffenen Personen, die Beschreibung der Empfänger und entsprechende Löschfristen ausgewiesen werden können.
Geschäftsprozessmanagement als Basis
Um alle Anforderungen lückenlos umzusetzen und erforderliche Maßnahmen ableiten zu können, bietet sich ein Vorgehen entlang einer prozessorientierten Methodik an: Im Geschäftsprozessmanagement sind bereits alle relevanten Abläufe und Abhängigkeiten definiert und dokumentiert. So lassen sich im Falle der BImA beispielsweise bei der Erstellung eines Mietvertrags auf einen Blick die beteiligten Vorlagen, Personengruppen, IT-Systeme und eben auch alle dort gegebenenfalls verarbeiteten pbD einfach identifizieren.
Damit liegen weitreichende Informationen bereits vor. Es fehlen lediglich im Prozessmodell noch genaue Angaben dazu, welche pbD im Einzelnen verarbeitet werden und zu welcher Datenkategorie diese gehören, welcher Personengruppe diese Daten gehören und ob besondere personenbezogene Daten erfasst werden. Diese Angaben lassen sich zusammen mit den relevanten Schutzbedarfskategorien und Sperr- und Löschfristen einfach im Prozessmodell ergänzen, womit dieses zu einem vollständigen Informationsträger für alle datenschutzrelevanten Details wird.
Verarbeitungstätigkeiten identifizieren
Auf dieser Basis lassen sich nun die einzelnen Verarbeitungstätigkeiten identifizieren, deren Inhalte sich aus allen Informationen, die sich an den Objekten (Fachbegriffen, Tätigkeiten, IT-Systemen, Prozessrollen) innerhalb der zugeordneten Prozesse befinden, bestimmen.
Eine Datenschutzfolgeabschätzung sowie eine dedizierte Risikobewertung dienen dann dazu, die Risiken für jede Verarbeitungstätigkeit zu bewerten und diese mithilfe geeigneter so genannter technisch-organisatorischen Maßnahmen (TOM) zu minimieren. Dabei werden je Verfahren die Notwendigkeit, die Verhältnismäßigkeit sowie die Risiken für die Rechte und Freiheiten des betroffenen Individuums untersucht. Damit liegen dann alle Informationen vor, um die Verarbeitungstätigkeiten entsprechend der Vorgaben zu dokumentieren und jederzeit etwa bei einer Prüfung durch die Aufsichtsbehörden aktuelle Berichte aus den Geschäftsprozessmodellinformationen zu erzeugen.
Technische Umsetzung in SAP
Auf der SAP-Seite ergeben sich aus den definierten TOM wiederum verschiedene technische Umsetzungsaufgaben: So sind beispielsweise entsprechende Rollen- und Berechtigungskonzepte für die SAP-Systeme der BImA mitsamt dem Aufbau eines funktionierenden Systems zur Zugriffsprotokollierung und zur Meldung von Datenschutzvorfällen zu etablieren. Dazu gehört als Grundlage auch der Aufbau eines Datenschutzmanagementmodells mit festgelegten Verantwortlichkeiten.
Schließlich sind auch Konzepte und technische Lösungen zur zeitgerechten Erfüllung der umfangreichen Informations- und Reaktionspflichten gegenüber Betroffenen bezüglich ihrer gespeicherten Daten und eine entsprechende Auskunftsstruktur zu etablieren.
Lösch- und Sperrkonzept in der Umsetzung
Um die Anforderungen zum Sperren und Löschen von Daten für ein SAP-System abzuleiten, wird auch wieder auf die Informationen des Geschäftsprozessmodells zurückgegriffen. Da im SAP-System ein Sperren und Löschen der pbD nur an den verwendeten Business-Objekten (BO) umgesetzt werden kann, erfolgt ein Mapping zwischen den SAP-Systemen mit ihren Business-Objekten und den Informationsträgern im Prozessmodell sowie die Fixierung entsprechender Regeln in einer Sperr- und Löschmatrix, die die Bezugsgrößen/Felder und Abhängigkeiten abbildet. Damit kann die technische Umsetzung im SAP-System erfolgen.
Dank des gemeinsam mit CONET entwickelten prozessorientierten Ansatzes kann die BImA so zukünftig sicherstellen, dass alle personenbezogenen Daten wie Mitarbeiter-, Mieter-, Käufer-, Verkäufer- und Interessentendaten gemäß der EU-DSGVO verarbeitet werden und eine lückenlose Dokumentation aller Verarbeitungstätigkeiten gewährleistet ist.
Link-Tipp
Sebastian Brännström begleitet als Spezialist für SAP-basiertes Geschäftsprozessmanagement das EU-DSGVO-Umsetzungsprojekt bei der Bundesanstalt für Immobilienaufgaben. Dieser Artikel erschien ursprünglich im E3-Magazin Mai 2018.
Über den Autor
Sebastian Brännström begleitet als Spezialist für SAP-basiertes Geschäftsprozessmanagement das EU-DSGVO-Umsetzungsprojekt bei der Bundesanstalt für Immobilienaufgaben.