Und weitere Ausschlußkriterien für Softwareanbieter:
- Keine Nennung von Preisen
- Bullshit Bingo Buzzwords auf der Seite “50 Mio Euro höchste DSGVO Strafe EUweit”
1 „Gefällt mir“
Hi @Cyberist ,
hier ein weiteres Ausschlusskritierum:
- Die Risikomodellierung und TOMs sind nicht an den Grundsätzen bzw. Datenschutz-Gewährleistungszielen ausgerichtet (Art. 5 und 25 DS-GVO)
Ich habe dies gerade bei einem der Anbieter aus der Liste in deren Demo-Filmchen gesehen. Eine Ausrichtung an den Beispielmaßnahmen aus Art. 32 ist nicht ausreichend.
Sehr gute Kandidaten, die mir fehlen (das war unsere Shortlist in der Auswahl, hier alphabetisch):
Und noch ein Produkt, das es (wie andere oben genannte, die ich aber nicht nochmals aufzählen möchte), nicht in die Shortlist geschafft hat, aber einen Blick wert ist, da es sehr gut für abgegrenzte Unternehmen oder eben Mandanten eines externen DSB geeignet ist, kam für uns nur wegen des Funktionsumfangs nicht weiter in Betracht, für andere Umfelder mag es aber genau richtig und preislich attraktiv sein:
Es ist allerdings die Frage, ob eine stumpfe Liste einen großen Mehrwert bringt, da sich jede_r alles selbst erschließen muss. Die Anwendungen haben teils ganz unterschiedliche Zielgruppen, Qualitäten und Funktionen. Manche der im Laufe des Threads genannten sind m.E. aufgebohrte Excel-Tabellen, die Einsteigern und internen (Teilzeit-)DSBs helfen mögen, die aber in größeren Umfeldern weniger nützen. Andere haben Tonnen von Vorlagen und Mustern und teils angeblich künstliche Intelligenz/Deep Learning (oder was man im Marketing so bezeichnet) für Risikobeurteilungen und DSFAs, die kleine Betriebe mit einem nicht datengestützten Kerngeschäft völlig überrollen.
Weitere Fragen sind neben dem Preis auch die Betriebsvariante (Cloud/on prem) auch die grundlegende Entscheidung, ob das Tool lediglich Spezialist_innen unterstützen soll, also allein der Bereich für Datenschutzbeauftragte-/koordinator_innen sein soll oder ob auch - ggf. Workflow-gestützt und mit beschränkten Sichten oder spezifischen Aufgaben - auch Fachbereiche außerhalb des Datenschutzes Eingaben machen sollen.
Die großen Suiten wie OneTrust funktionieren meines Erachtens nur dann in einem richtig guten Preis/Leistungs-Verhältnis, wenn man bereit ist, sich über Abteilungsgrenzen hinweg darauf einzulassen, also Compliance, IT-Sicherheit, das Lizenzmanagement und der Einkauf alle mitmachen, es also z.B. für Lieferanten den Single Point of Truth gibt. Dann wird es richtig gut, im Gegenzug potenziert sich der Vendor Lock in.
Wenn aber z.B. verinice schon in der IT Security benutzt wird, ruhig auch einen Blick auf das Datenschutz-Modul richten, um Synergie-Effekte zu heben:
1 „Gefällt mir“
Ich kann @Stonie hier nur zustimmen. Wir entwickeln gerade selbst eine entsprechende Software (bzw. ist gelauncht, aber hier noch nicht genannt) und allein schon die Zielgruppe erschwert eine Bewertung der Produkte, vor allem, wenn man nur mit Produktnamen um sich wirft. Ob eine Software für DSB konzipiert ist, oder für Nicht-DSB-Anwender (insb. im Kleinunternehmer-Bereich), macht einen entscheidenden Unterschied.
Moin. Ggf. übergreifend/im internationalen Kontext interessant: die Übersicht der IAPP im ‘Vendor Report’, aktuell hier:
https://iapp.org/media/pdf/resource_center/2021TechVendorReport.pdf. Dort enthalten sind nicht nur originäre DSMS-Tools. Wichtig ist den konkreten Use Case und die eigenen Bedarfe zu kennen. Wir haben für uns intern z.B. > 100 wiederkehrende Aufgaben in der Datenschutz-Einheit identifiziert, die wir controllen müssen. Manchmal reichen dafür auch simple Excel-Files und Datenbanken aus, ganz ohne den ‘fancy’ Anstrich, den manche Tool-Hersteller bieten. 
4 „Gefällt mir“
Danke für den IAPP-Link, finde ich sehr interessant. Das ist aber auch ein “wildes” Potpourri.
Wenn auch nur eine wertungsfreie Übersicht, aber mittlerweile gut gewachsen, bietet auch der BvD eine Übersicht überwiegend nationaler Anbieter: https://www.bvdnet.de/datenschutz-softwareuebersicht/
2 „Gefällt mir“