Supporting GDPR implementation through the application of BPMN Workflows

Master Studiengang Information Security

Dipl.-Ing. Richard Lechner, BSc

Betreuer: FH-Prof. Dr. Simon Tjoa

Ausgangslage

Am 24. Mai 2018 trat die neue Datenschutzgrundverordnung, auch DSGVO genannt, in Kraft. Doch viele Unternehmen haben Probleme bei der Erfüllung der Vorgaben. Oftmals mangelt es an frei verfügbaren Ressourcen, welche eine Umsetzung der Regeln unterstützen. Als Resultat schaffen es besonders oft kleine und mittelständische Unternehmen nicht, den Anforderungen Folge zu leisten. Sie sehen sich durch ihre nicht dem Gesetz entsprechende Datenverarbeitung der Gefahr ausgesetzt, drakonische Strafen verbüßen zu müssen. Prozesse und Abläufe müssen umgestaltet und oftmals auch neue definiert werden. Es herrscht große Unsicherheit bei der Erstellung solcher Aufgabenfolgen. Hinzu kommt, dass viele Unternehmen keine Expertinnen und Experten im Bereich Prozessmodellierung angestellt haben und deswegen oftmals kostspielige externe BeraterInnen anstellen müssen. Auch die Kommunikation mit den sogenannten „Betroffenen“ der Datenverarbeitung ist genauestens reglementiert. Betriebe sollten daher eine klare Kommunikationsstrategie, inklusive klar definierter Kommunikationswege implementieren. 

Ziel

Das Ziel dieser Arbeit ist es, Unternehmen dabei zu unterstützen, die Anforderungen der DSGVO zu erfüllen. Dazu werden generische Arbeitsabläufe, welche die Vorgaben des Gesetzes erfüllen, entwickelt. Besonders die Betroffenenrechte und die damit verbundenen Aufgaben sollen beleuchtet werden. Zusätzlich soll Betrieben durch die Bereitstellung von Beispiel-Antragsformularen geholfen werden, mit den Vorgaben konforme Kommunikationswege zu implementieren.

Ergebnis

Die Arbeit unterstützt die Implementierung der DSGVO in mehrerlei Hinsicht. Um sicherzustellen, dass der Anwender oder die Anwenderin das richtige Programm zur Anpassung eines Workflows an seine oder ihre Vorlieben verwendet, wurde eine Marktanalyse durchgeführt. Im Rahmen dieser wurden einzelne Modellierungsprogramme bewertet. Es wurden Arbeitsabläufe zu den Betroffenenrechten vorgestellt und andere zu Themen wie der Identitätsfeststellung und zu Benachrichtigungsverpflichtungen. Als weitere unterstützende Ressource wurden Formulare zur Kontaktaufnahme erstellt, welche die Vorgaben des Gesetzes erfüllen und einfach vom Anwender oder der Anwenderin an die eigenen Bedürfnisse angepasst werden können.