Datenschutzmanagement

Die Datenschutzgrundverordnung (DSGVO) stellt an Unternehmen als Verantwortliche hohe Anforderungen, die nicht alle ausdrücklich und exakt beschrieben im Gesetz stehen. So ist etwa ein Datenschutzmanagementsystem (DSMS) nicht ausdrücklich vorgesehen, wohl aber die Rechenschafts- und Nachweispflicht des Unternehmens.

DSMS - Datenschutz mit System

Jeder Verantwortliche, der personenbezogene Daten verarbeitet, muss darüber Rechenschaft darüber ablegen können, dass er die Vorgaben aus Artikel 5 Abs. 1 DSGVO einhält. Er muss dies auch nachweisen können und darlegen können, dass seine Datenschutzmaßnahmen und sein Datensicherheitskonzept auch funktionieren. Aus der Verantwortung für die verarbeiten Daten resultiert aus Artikel 24 Abs. 1 DSGVO zum einen der Einsatz von geeigneten technischen und organisatorischen Maßnahmen (TOM) zu deren Schutz – also aktuelle, wirksame TOM nach Stand der Technik. Zum anderen stellt Artikel. 24 Abs. 1 S. 2 DSGVO ebenfalls die Anforderung an den Verantwortlichen, sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß DSGVO-Maßgabe erfolgt und die aufgestellten Maßnahmen auch überprüft und aktualisiert werden.

Realistisch betrachtet lässt sich das bei einem Kleinbetrieb eventuell noch „von Hand“ verwalten. Mit steigender Komplexität der Verarbeitungen und deren Organisation im Unternehmen braucht es dazu ein Management, um aus Sicht des Verantwortlichen für den Datenschutz im Unternehmen überhaupt den Stand, die Umsetzungen und die Defizite sehen und bewerten zu können.

Datenschutz ohne Management bedeutet ohne Kontrolle und Dokumentation – und funktioniert nicht, wie die Erfahrung zeigt.

Datenschutz im Unternehmen ohne System verbleibt loses Stückwerk. Ohne systematisches Datenschutzmanagement ist es für interne Datenschutzkoordinator oder externe Datenschutzbeauftragte nahezu unmöglich festzustellen, wenn ein Verfahren geändert oder neu eingeführt wird. Sie können daher auch nicht für eine frühzeitige Durchsetzung von geeigneten TOM, Privacy by Design, Privacy by Default sowie für ordentliche Dokumentation sorgen. Im schlimmsten Falle erfahren sie erst bei einer Datenpanne davon.

Ein DSMS sollte einen Anforderungskatalog enthalten, der die gesetzlichen Anforderungen von DGVO, Bundesdatenschutzgesetz (BDSG) sowie wesentliche Anforderungen der Informationssicherheit vereint – hier überschneiden sich die Ziele der IT-Sicherheit und der Datensicherheit, weshalb die gute Zusammenarbeit und Einbindung der IT-Verantwortlichen essenziell ist.

Vorteile eines Datenschutzmanagementsystems

Das Management kann Datenschutz und Datensicherheit für die Unternehmensdaten steuern, messen und verbessern. Es lässt sich in bestehende Geschäftsabläufe integrieren. Es dient insbesondere zur Reduzierung der Risiken, etwa um den Vorwurf der Fahrlässigkeit bei Datenpannen zu entkräften. Es dient aber auch der Ressourceneinsparungen durch optimalere Prozessgestaltung – etwa bei der Wahrung der Betroffenenrechte:

Die Erfüllung von Auskunftsersuchen und Aufforderungen zur Löschung von Kundendaten binden vielerorts erhebliche Ressourcen für Routineaufgaben, die sich digital managen und so rationaler administrieren lassen.

Möglicherweise bestehen zusätzliche Einsparpotentiale im Versicherungsschutz, wenn durch die eingeführten Maßnahmen günstigerer Versicherungspolice bei IT-Haftpflicht oder Cybersicherheit abgeschlossen werden können und so die Unternehmenswerte besser absichern sind. Ein gutes DSMS lässt sich in bestehende Managementsysteme integrieren oder bietet Möglichkeiten zur Erweiterung/Schnittstellen an. (z.B. ISO 27001, ISO 9001). Gesetzliche Vorgaben bei digitaler Transformation (Digitalisierung) im Unternehmen können mit einem DSMS begleitet und administriert werden und dadurch unnötige Risiken von Beginn an vermieden werden.

Ein wirksames Datenschutzmanagementsystem beinhaltet zumindest ein Verfahren nach dem PDCA-Zyklus, optimalerweise gestützt von einer Software.

Ein effektives DSMS für Ihr Unternehmen

Sie möchten ein effektives DSMS in Ihrem Unternehmen umsetzen? Sprechen Sie uns an!

KTDatenschutz_Team_ausgeschnitten

Gelebter Datenschutz – ohne DSMS funktioniert es nicht

Ein wirksames Datenschutzmanagementsystem muss aber auch „gelebt werden“. Wie jedes Verwaltungs- und Kontrollwerkzeug ist es immer nur eine Möglichkeit, die aber auch genutzt und im Unternehmen gepflegt werden muss, um eine Wirksamkeit und damit einen Mehrwert für den Datenschutz bieten zu können. Werden Verfahren von den Fachabteilungen nicht gemeldet und sind daraufhin nicht im DSMS abgebildet, so lassen sie sich auch nicht darüber steuern und kontrollieren. Wie der Verantwortliche in solchen Fällen seine Rechenschafts- und Dokumentationspflichten nachweisen kann, ist fraglich.

Es bedarf also auch eines Bekenntnisses der Geschäftsführung zu einem gelebten Datenschutz!

Der PDCA-Zyklus im Datenschutz überschneidet sich an vielen Stellen mit denen der Informationssicherheit und dem Qualitätsmanagement. Hier lassen sich diverse Prüfungen, Kontrollen und Verbesserungen mit Mehrwert für andere Bereiche durchführen, sofern dies mit unternehmerischer Weitsicht geschieht.

Die laufende systematische Aktualisierung der Umsetzung des Datenschutzes im Unternehmen ist also als Zyklus zu sehen, nicht als eine Aufgabe, welche nach ein paar Monaten abgeschlossen ist.

Datenschutz ist ein dauerhafter Compliance-Prozess, kein einmaliges Projekt!

Ein Datenschutzmanagement nach DSGVO sollte mindestens folgendes umfassen:

Optimalerweise integriert das DSMS noch weitere Funktionen für die Verwaltung des Datenschutzes. Manche können dabei auch durch andere Softwarelösungen abgedeckt werden. Hier kann dann etwa mit Verweisungen oder Schnittstellen gearbeitet werden:

Management nach risikobasiertem Ansatz

Das Schlagwort verbleibt eine Worthülse, wenn es kein Instrument gibt, mit dem Risiken im Datenschutz des Unternehmens aufgespürt, dokumentiert und kontinuierlich verbessert werden können.

Wie sollen geeignete technische und organisatorische Maßnahmen zur Risikominimierung festgelegt bzw. verbessert werden, wenn die Verarbeitungen nicht in Verzeichnissen abgebildet, Prozesse mit riskanten Verarbeitungen nicht beschrieben sind und also auch die Risiken nicht erkannt werden können? Wie funktioniert eine Datenschutzorganisation, wenn keiner mitbekommt, dass die Fachabteilung einen Auftragsverarbeiter einsetzt.

Datenschutzmanagement und die Organisation des Datenschutzes ist Aufgabe des Managements und des gesamten Unternehmens – keine One-Man-Show des Datenschutzkoordinators oder DSB. Die Organisationsverantwortung für die DSGVO-Umsetzung obliegt der Geschäftsleitung, wozu die Regelung des Datenschutzes durch Organisationsanweisungen bzw. Policies gehört, die Etablierung eines internen Kontrollsystems, ein funktionierendes Monitoring der datenschutzrelevanten Unternehmensprozesse durch Kontrollmechanismen und -systeme.

Ohne dies kann der Verantwortliche seine Rechenschafts- und Nachweispflicht nur schwerlich erfüllen – mit der Etablierung eines tauglichen Systems für ein Datenschutzmanagement, welches auch aktiv gepflegt wird, sollte dies machbar sein.

Jetzt kostenloses Erstgespräch vereinbaren

Sie haben Fragen zum Datenschutzmanagement oder sind an der Einführung eines Datenschutzmanagementsystems in Ihrem Unternehmen interessiert?

Gerne erstellen wir Ihnen ein unverbindliches Angebot.

kt-datenschutz-kontakt