fccDataPrivacy Design-Grundsätze
oder warum braucht es noch eine Datenschutz-Anwendung?
Grundsätzlich macht es Sinn, eine Datenschutz-Anwendung zu nutzen: sie vereinfacht und vereinheitlicht die Datenschutz-Aktivitäten, alle Dokumentationen sind zentral an einem Ort, strukturiertes Vorgehen senkt das Haftungsrisiko, es können zeitnah Auskünfte erteilt werden und einige offensichtliche Gründe mehr.
Nun gibt es bereits viele gute und auch weniger gute Datenschutz-Anwendungen: manche Produkte kommen aus einer anderen Disziplin und der Datenschutz wurde auf dem bestehenden Platform aufgesetzt und die meisten Produkte decken nur einen Teil der notwendigen Datenschutz-Aktivitäten ab.
Deshalb haben wir uns entschieden, unter der Marke 'fccDataPrivacy - Datenschutz für KMU und Vereine' ein eigenes Tool zu entwickeln und haben uns selbst die folgenden Design-Grundsätze auferlegt:
- KMU und Vereine als Zielmarkt
Während grosse internationale Unternehmen mit eigenen Datenschutzbeauftragten, Anwälten und IT-Spezialisten über die Ressourcen verfügen, Datenschutz selbst zu implementieren und zu unterhalten, haben KMU oder Vereine in der Regel weder das notwendige Know-How, die Zeit, noch die Ressourcen, das selbst und zu erschwinglichen Kosten zu tun.
Deshalb haben wir fccDataPrivacy auf KMU und Vereine ausgerichtet, ein hohes Mass an Automatisierung eingebaut (um die Datenschutz-Implementierung so kurz wie möglich zu halten) und mit einem attraktiven Preismodell versehen.
- Automatisierung
Von Datenschützern hört man des Öfteren, dass Datenschutz Fleissarbeit ist. Um die Vorgaben nach kurzer Implementierungsdauer und erschwinglichen Kosten zu ermöglichen, müssen daher sonst manuelle Tätigkeiten weitgehend automatisiert werden. Das wird z.B. durch die folgenden Massnahmen realisiert:
- Organisationsstruktur (wer ist für was verantwortlich): daraus lassen sich einige der notwendigen Dokumentationen generieren
- detailliertes internes Verarbeitungsverzeichnis (wir verstehen das auch als Daten-Inventar) ist die Voraussetzung um z.B. Risikobewertungen, Auskunftsbegehren oder Löschungen zu automatisieren. Das Verzeichnis das, Aufsichtsbehörden üblicherweise anfordern, ist eine Teilmenge des detaillierten Verarbeitungsverzeichnis.
Für SaaS-Anwendungen stellen wir die Verarbeitungsverzeichnisse im Rahmen unserer Services kostenfrei zur Verfügung und halten sie auch aktuell.
- Vollständigkeit
Das fccDataPrivacy-Produkteportfolio erhebt den Anspruch, alle Datenschutz-relevanten Aktivitäten vollständig abzubilden: von Datenschutzerklärungen und Cookie-Bannern für Webseiten über Mitarbeiterausbildungen bis zu Verarbeitungsverzeichnissen, von Zusatzservices wie externen Datenschutzberauftragten bis zu Datenschutz-Vertretungen (in der EU und der Schweiz).
Vollständigkeit bezieht sich nicht nur auf Funktionen sondern auch auf verschiedene Datenschutz-Gesetzgebungen: neben der EU-DSGVO wird auch das Schweizerische Datenschutzgesetz unterstützt (weitere sind geplant).
- Datensicherheit
Als Anbieter eines Datenschutz-Managementsystems ist man geradezu verpflichtet, Datensicherheit vorzuleben und die bestmöglichen Sicherheitsmechanismen nicht nur zu implementieren sondern auch auf dem technisch aktuellen Stand zu halten (in der Datenschutz-Sprache sind das die 'Technischen und organisatorischen Massnahmen' 1). Einige Beispiele:
- alle fccDataPrivacy Datenbestände mit personenbezogenen Daten sind verschlüsselt, ebenso sind Mobile Devices (Laptops, etc.) verschlüsselt
- der Zugriff auf die fccDataPrivacy-Anwendungen (Webseiten, Produktions- und Demo-System) sind durch die Nutzung eines zentralen Identity- und Access-Managementsystems (IAM) durchgängig mit Single-Sign-On (SSO) und 2-Faktor Authentifizierung (2FA) ausgelegt. Passwörter werden ausschliesslich im IAM verschlüsselt gespeichert
- alle fccDataPrivacy-Anwendungen werden regelmässig durch verschiedene Security-Tools auf Vulnerabilities (mögliche Angriffspunkte für Hacker) geprüft und die Findings im Rahmen der Nachweispflicht dokumentiert.
Wir gehen aber noch einen Schritt weiter und bieten einige der von uns selbst genutzten IT-Security-Tools auch unseren Kunden zur Nutzung an (fccDataPrivacy IT Security Services)
- Transparenz
Wir nutzen im Rahmen von fccDataPrivacy grundsätzlich keine Tracking-Tools (wie z.B. Google Analytics).
- Partnerfokussiertes Vertriebsmodell
fccDataPrivacy ist konsequent auf den Vertrieb auf Partner ausgerichtet. Dabei stehen die folgenden Unternehmen als Partner im Fokus: Hersteller von Vereins-Standardsoftware und Web-Agenturen. Diese Unternehmen kennen ihre Kunden und sind somit bestens positioniert, um die für sie relevanten fccDataPrivacy-Produkte in ihr Lösungsportfolio aufzunehmen und an ihre aktuellen und zukünftigen Kunden zu verkaufen.
Dieses Modell hat Vorteile sowohl für fccDataPrivacy-Partner (zusätzliches Einkommen) als auch für ihre Kunden (alles aus einer Hand).
1 siehe EU-DSGVO Art. 32 bzw. CH-nDSG Art 34 - 45.