Was ist ein Datenschutzmanagement?

Datenschutz verstehen – Datenschutzmanagement

Ein Datenschutzmanagement wird definiert als strukturierte Vorgehensweise, um die die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch zu organisieren, zu optimieren und zu kontrollieren. Hierbei kommt oftmals eine Datenschutzmanagement-Software zum Einsatz.

Durch die rasche Digitalisierung und der kontinuierlich steigenden Anzahl an Datenmengen sowie der damit einhergehenden organisatorischen Herausforderungen greifen wir in nahezu allen Bereichen immer häufiger auf sogenannte Managementsysteme zurück. Ein wichtiger Aspekt für ein Managementsystem im Bereich des Datenschutzes ist die Einhaltung von rechtlichen Anforderungen der DSGVO. Insbesondere die Rechenschaftspflicht für Unternehmen steht in diesem Zusammenhang im Fokus.

In diesem Beitrag erfahren Sie, wie Sie ein Datenschutzmanagementsystem aufbauen und was Sie dabei beachten müssen.

 
Datenschutz-Management

Definition Datenschutzmanagement-System

Ein Datenschutzmanagement-System (DSMS) ist ein Organisations-Tool mit dem die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch geplant, organisiert, gesteuert und kontrolliert werden sollen. Neben einer übersichtlichen Organisationsstruktur ist außerdem zu beachten, dass das Risiko, gegen die Rechenschaftspflicht zu verstoßen, unbedingt vermieden werden muss.

Der „Verantwortliche“ ist gem. Art. 31 DSGVO stets dazu verpflichtet, auf Anfrage einer Aufsichtsbehörde mit dieser bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten und ihr gem. Art. 58 Abs.1 lit. a) und e) DSGVO alle Informationen umgehend bereitzustellen, die für die Erfüllung ihrer Aufsichtspflichten erforderlich sind.

Als Verantwortlicher für die Einhaltung des Datenschutzes sollten Sie dafür sorgen, dass Behörden mittels eines rechtskonformen Datenschutzmanagement-Systems die Möglichkeit haben, sich schnell von der Einhaltung des Datenschutzes in Ihrem Unternehmen zu überzeugen. Das DSMS sollte in Ihre Geschäftsprozesse integriert werden, um den Datenschutz langfristig und nachvollziehbar innerhalb Ihrer Unternehmensstruktur zu verankern.

Was ist ein DMS?

Die Abkürzung des sogenannten DMS wird ebenfalls für den Begriff Datenschutzmanagementsystem verwendet. Es beschreibt, ähnlich wie der Begriff DSMS, eine systematische Erfüllung der datenschutzrechtlichen Anforderungen. Regelmäßig wird sich bewusst gegen die Verwendung der Abkürzung DMS entschieden, da eine sehr hohe Verwechslungsgefahr mit dem Begriff Dokumentenmanagementsystem, welcher die gleichlautende Abkürzung DMS verwendet.

Zwar beinhaltet ein umfassendes Datenschutzmanagementsystem auch eine Dokumentenablage, sowie eine fortlaufende Versionierung von Dokumenten, dennoch verfügt z.B. die Software für ein Datenschutzmanagementsystem über deutlich mehr Funktionsumfang.

 

Rechtliche Vorgaben zum Datenschutzmanagement gemäß DSGVO

Eine explizite Forderung durch einen Artikel der Datenschutz-Grundverordnung (DSGVO) besteht nicht für ein Datenschutzmanagement System. Allerdings lassen sich die rechtlichen Anforderungen für den Betrieb von einem DSMS aus einigen Artikeln und Erwägungsgründen ableiten. Grundsätzlich besteht die Pflicht zur Erfüllung der Dokumentationspflichten, der Rechenschaftspflichten und ggf. Anforderungen aus Auftragsverarbeitungsverträgen (AVV). So kommt es, dass es sich neben rechtlichen Anforderungen vor allem aus Effizienz-Gründen anbietet ein Datenschutzmanagement zu implementieren. Maßgeblich beeinflussen folgende Vorgaben aus der DSGVO das Datenschutzmanagement:

Durch diese Anforderungen leiten sich die Kern-Funktionalitäten eines Datenschutzmanagement Systems ab. Hierbei ist vor allem zu beachten, dass für ein wirksames Datenschutzmanagement einige Abteilungen in einem Unternehmen zusammenarbeiten müssen. Somit sind professionelle Datenschutzmanagement Systeme immer mit einer agilen Aufgabensteuerung ausgestattet.

Wer kümmert sich um Datenschutzmanagement?

Die rechtlichen Rahmenbedingungen für die Umsetzung an ein Datenschutzmanagementsystem sollte im besten Falle schon durch die Einführung einer Software für das Datenschutzmanagementsystem abgedeckt sein. In der Regel sind für die Implementierung, die Pflege des Datenschutzmanagementsystems, sowie die Optimierung hiervon die Datenschutzbeauftragten verantwortlich. Die datenschutzrechtliche Verantwortung liegt selbstverständlich bei der Geschäftsführung, diese hat oftmals aber keine Kapazitäten die komplexen Anforderungen in der Praxis umzusetzen. Unterstützt wird der betriebliche Datenschutzbeauftragte i.d.R. durch zahlreiche Datenschutzkoordinatoren, welche bei der Dokumentationspflege unterstützen. Daher ist es umso wichtiger, dass eine Software für Datenschutzmanagementsysteme ein intelligentes Aufgabenmanagement beinhaltet.

 

Aufbau Datenschutzmanagement

Wie sollte ein DSMS aufgebaut sein und welche Komponenten sollte es beinhalten? Ein Datenschutzmanagement besteht aus vielen verschiedenen Prozessen, welche individuell nach Unternehmen und Branche variieren können. Daher hat die folgende Aufzählung keinen Anspruch auf abschließende Vollständigkeit. Gerne können Sie von Datenschutzbeauftragten hier mehr zu Ihrer Branche erfahren.

Prozess-Analyse aller Verarbeitungen

Nachdem Sie in Ihrem Unternehmen alle schützenswerten Prozesse analysiert und bewertet haben, sollten Sie in Ihr DSMS eine Datenschutzagenda implementieren. Anhand dieser Agenda werden alle datenschutzrechtlichen Anforderungen kategorisiert und priorisiert, bevor Umsetzung der Inhalte der Datenschutzagenda beginnt. Auf diese Weise behalten Sie dauerhaft die Übersicht über die datenschutzrechtlichen Themen und sehen auf einem Blick, welche Aufgaben im Datenschutz noch umgesetzt werden müssen.

Erstellung Verzeichnis von Verarbeitungstätigkeiten

Mitunter wichtigste Komponente eines DSMS ist ein umfangreiches Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO – hier müssen alle Verarbeitungen von personenbezogenen Daten nach den Vorgaben des Art. 30 DSGVO genau beschrieben werden. Was bei der Erstellung eines Verarbeitungsverzeichnisses zu beachten ist, lesen Sie in diesem Beitrag.

Technische organisatorische Maßnahmen

Ein weiterer wichtiger Teil eines Datenschutzmanagement-Systems sollte eine aktuelle Übersicht der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO sein. Die TOM und deren Dokumentation spielen eine signifikante und verpflichtende Rolle. Sie sind deshalb so wichtig, weil sie die Sicherheit der Daten Ihres Unternehmens definieren. Sauber und vollständig dokumentierte TOM tragen dazu bei und belegen, dass angemessene Maßnahmen für ausreichenden Schutz implementiert wurden. Eine umfassende Beschreibung und Beispiele von TOM finden Sie hier.

Kontrolle der Auftragsverarbeitungen

Die Zusammenarbeit mit Auftragsverarbeitern – Dienstleistern die für Ihr Unternehmen personenbezogene Daten in Ihrem Auftrag verarbeiten und dabei weisungsgebunden handeln – ist in Art. 28 DSGVO verankert und hat gleichzeitig eine hohe Relevanz in der Praxis. In diesem Blogbeitrag erfahren Sie, wie ein DSGVO-konformer Auftragsverarbeitungsvertrag gestaltet sein muss und was Sie dabei beachten müssen.

Aufbewahrungs- und Löschkonzepte, Notfallkonzepte

Vorgaben für Aufbewahrungsfristen von Geschäftsaufzeichnungen im Unternehmen lassen sich aus unterschiedlichen Gesetzen und Vorschriften ableiten. Die wohl bekannteste Vorschrift ist die Verpflichtung zur Aufbewahrung von Geschäftsunterlagen für Kaufleute aus den §§ 238, 257, 261 des Handelsgesetzbuchs (HGB). Seit Einführung der DSGVO ist für Unternehmer eine weitere Herausforderung dazu gekommen, denn gem. Art. 5 i.V.m. Art. 6 DSGVO dürfe personenbezogen Daten nur verarbeitet und so lange gespeichert werden, wenn hierfür eine Rechtsgrundlage, z.B. eine gesetzliche Aufbewahrungsfrist, besteht.

Insofern sollte Ihr DSMS die einschlägigen Aufbewahrungsfristen berücksichtigen und ein geeignetes Löschkonzept für alle relevanten Prozesse beinhalten.

Datenschutz-Richtlinien

Richtlinien für den Umgang mit personenbezogenen Daten sollten ebenfalls in einem DSMS enthalten sein. Hier ist wichtig, dass alle festgelegten Richtlinien ordnungsgemäß dokumentiert und für alle Mitarbeiter zugänglich gemacht werden. Ferner sollten die Mitarbeiter regelmäßig über deren Inhalt informiert werden. Dokumente, wie beispielsweise eine „Verpflichtung auf das Datengeheimnis“ oder auch eine „IT-Nutzungsvereinbarung“, sind ein wichtiger Bestandteil von Datenschutzrichtlinien.

Prozess über Rechte der Betroffenen

Es gibt eine Vielzahl an sogenannten Betroffenenrechten, vgl. Art. 12 -23 DSGVO. In der Praxis am relevantesten ist beispielsweise das Auskunftsrecht gem. Art 15 DSGVO oder auch das „Recht auf Vergessenwerden“, sprich das Recht auf Löschung der eigenen Daten gem. Art 17 DSGVO. Für alle Betroffenenrechte sollten Prozesse im DSMS definiert werden, damit diese qualifiziert und zeitnah erfüllt werden können.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) ist ein neues Verfahren und ist in Art. 35 DSGVO geregelt. Vielleicht ist Ihnen aus dem alten BDSG die Vorabkontrolle noch bekannt, welche ein ähnliches Instrument gewesen ist. Bei der DSFA handelt es sich um eine Risikoanalyse bzw. Risikoabschätzung, die im Voraus vor der jeweiligen Datenverarbeitung durchgeführt werden muss. Mehr zum Thema DSFA können Sie in unserem Blogbeitrag lesen.

Status-Gespräche

Für eine fortlaufende und permanente Kontrolle der datenschutzrechtlichen Themen in Ihrem Unternehmen bietet sich zunächst ein Datenschutz-Audit an – dazu später mehr. Ein weiteres Hilfsmittel, um den datenschutzrechtlichen Status quo eines Unternehmens zu ermitteln, können sogenannte Status-Gespräche sein. Diese können quartalsweise oder in anderen Zeitabschnitten erfolgen und sollten unbedingt dokumentiert und im DSMS abgelegt werden.

Schulung der Mitarbeiter

Das Unternehmen und damit die verantwortliche Stelle, ist gem. Art. 5 Abs. 2 DSGVO für die Einhaltung des Datenschutzes verantwortlich und muss die Einhaltung auch nachweisen können. Damit auch Mitarbeiter der verantwortlichen Stellen genau wissen, ob und wie sie personenbezogene Daten verarbeiten dürfen, müssen sie bezüglich der gesetzlichen datenschutzrechtlichen Anforderungen und unter Umständen auch bezüglich der unternehmensinternen datenschutzrechtlichen Vorgaben entsprechend geschult werden.

Um Ihre Mitarbeiter in Sachen Datenschutz und anderen Compliance-Themen flexibel und kostengünstig zu schulen, empfehlen wir Ihnen die E-Learning-Plattform Mitarbeiterschule.

Kontrolle & Auditierung

Um die „Rechenschaftspflicht“ aus Art. 5 Abs. 2 DSGVO dauerhaft erfüllen zu können, sollten alle Datenschutz-Prozesse im DSMS dokumentiert, fortlaufend kontrolliert und auditiert werden.

Hierbei bietet es sich an, in gewissen Zeitabständen einschlägige Verfahren zu prüfen und vor allem immer wieder hinsichtlich wichtiger Themen zu informieren und zu sensibilisieren. Kontrollen oder Datenschutzaudits sollten stets in Berichten oder in Checklisten schriftlich fixiert werden.

Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

 

Datenschutzmanagement Software

Für eine strukturierte und gut organisierte Umsetzung der datenschutzrechtlichen Anforderungen aus DSGVO und anderen Vorschriften ist ein DSMS nahezu unverzichtbar. Daher gibt es einige softwaregestützte Lösungen, welche ein Datenschutzmanagement abbilden. 

Durch die Vielzahl an Anforderungen ist es umso wichtiger, dass Unternehmen auf das richtige Datenschutzmanagement setzen. Es muss von der Dokumentation über die Korrespondenzen bis hin zu Auditberichten alle Themen abdecken und sollte als zentrales Datenschutz-Organisationstool genutzt werden. Aber was sollte eine Datenschutzmanagement-Software können?

    • Intuitive Bedienung: Eine einfache Benutzung eines DSMS ist elementar, weil oftmals Koordinatoren im Datenschutzmanagement nur unregelmäßig interagieren müssen. Natürlich profitiert die Geschäftsführung und der Datenschutzbeauftragte maßgeblich von einer einfachen Bedienung.
    • Steuerung von Aufgaben: Innerhalb eines DSMS werden Risiken erkannt und bewertet. Umso wichtiger ist es, dass ein DSMS automatisch daraus Aufgaben generieren kann.
    • Effiziente Erstellung von Dokumentationen: Es müssen Vorlagen für jegliche Dokumentationen vorhanden sein, sodass die Aufwände für ein Unternehmen möglichst gering gehalten werden.
    • Auftragsverarbeiter verwalten: Nicht nur das Erstellen von Auftragsverarbeitungsverträgen (AVV), sondern auch die Verwaltung von Dienstleistern und Wiedervorlagen für Kontrollen müssen gewährleistet werden.
    • Strukturierte Auditpläne: Zur Überprüfung von Maßnahmen ist ein strukturiertes Vorgehen unabdingbar, welches ein DSMS unterstützen muss.
    • Durchführung der Datenschutz-Folgenabschätzungen: Gerade im Bereich der Datenschutz-Folgenabschätzungen gewinnen intelligente Datenschutzmanagement Lösungen an Bedeutung, welche sog. „wenn, dann“-Funktionen abbilden können.
    • Exportfunktionen: Sämtliche Dokumentation sollte einfach exportfähig (Word und PDF) sein für die Beantwortung von Anfragen jeglicher Art.
    • Technische und organisatorische Maßnahmen: Die Steuerung und Verwaltung von verschiedenen Versionen der technischen und organisatorischen Maßnahmen ist vor allem für Auftragsverarbeiter extrem relevant.
    • Freigaben via Link: Auch externe Personen müssen unter Umständen in ein Datenschutzmanagement einbezogen werden, daher sollte das DSMS über eine Linkfreigabe für einzelne Bereiche verfügen.

Was sind die Ziele einer Datenschutzmanagement Software?

Der Einsatz von einem Datenschutzmanagement im Unternehmen geht mit der Einhaltung der Grundsätze der Datenschutz-Grundverordnung einher. Insbesondere die Erfüllung von Nachweispflichten stellt Unternehmen vor große Herausforderungen – hier helfen Softwarelösungen für Datenschutzmanagement. Diese grundsätzlichen Ziele werden beim Einsatz eines DSMS verfolgt:

  • Die fortlaufende Kontrolle der Wirksamkeit von Sicherheits-Maßnahmen im Unternehmen.
  • Die Gewährleistung von definierten Prozessen für die Bearbeitung von allen Anforderungen der DSGVO, welche eine Löschfrist beinhalten. Zum Beispiel kommt hier die Meldepflicht von Datenschutzverletzungen ins Spiel, welche in der Regel innerhalb von 72 Stunden gemeldet werden müssen.
  • Der performante Erhalt einer qualitativen Übersicht aller datenschutzrechtlichen Aufgaben.
 

Datenschutzmanagement von Keyed

Durch unsere tägliche Arbeit als externe Datenschutzbeauftragte für mittlerweile mehr als 250 Unternehmen, sind wir stark darauf angewiesen ein intelligentes Datenschutzmanagement einzusetzen. Hierbei haben wir uns zu einer eigenen Entwicklung entschieden, um möglichst alle Anforderungen effizient abzudecken. Das DSMS von Keyed besitzt einige intelligente Funktionen, sodass die tägliche Arbeit von Datenschutzbeauftragten extrem erleichtert wird. Grundsätzlich empfiehlt sich der Einsatz von unserem DSMS für Konzerndatenschutzbeauftragte oder Datenschutzbeauftragte von Unternehmensgruppen, da unser System für diese Anforderungen erschaffen worden ist. Die wichtigsten Funktionen sind folgende:

  • Vertragsverwaltung für Auftragsverarbeitungen
  • Monitoring von Datenschutz-Maßnahmen
  • Automatische Risikobewertungen
  • Erstellung und Verwaltung von Verarbeitungstätigkeiten
  • Erstellung der technischen und organisatorischen Maßnahmen
  • Datenschutzerklärungs-Generator
  • Auditierungen inkl. Berichtsgenerator
  • Kommunikation mit Aufsichtsbehörden
  • Kommunikation mit Betroffenen inkl. Auskunftsersuchen
  • Erstellung von Rollen- & Berechtigungskonzepten
  • Erstellung von Löschkonzepten
  • Aufgabensteuerung mit Kanban-Boards
  • Mehr Mandantenfähigkeit
  • Automatischer Jahresbericht als Export
 

Welche Bußgelder drohen trotz Datenschutzmanagementsystem?

Grundsätzlich werden die Rechtsbehelfe, Bußgelder und Sanktionen im Rahmen der Datenschutz-Grundverordnung in den Artikel 77 – 84 geregelt. Der Einsatz eines Datenschutzmanagements als Solches verhindert selbstverständlich kein Bußgeld. Unternehmen, welche allerdings ein Datenschutzmanagement aufbauen im Sinne der oben genannten Anforderungen, können davon ausgehen, dass die Höhe von Bußgeldern maßgeblich beeinflusst werden kann. Wer als Unternehmen in den Punkten Erfüllung der Rechenschaftspflichten, konforme Vorhaltung von Dokumentationen gut aufgestellt ist durch ein DSMS, der wird in einem möglichen Bußgeldverfahren sicherlich rücksichtsvoller behandelt von den Aufsichtsbehörden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

    Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

    Persönliche Angaben

    Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

    Zusätzliche Informationen

    Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

     
    ANGEBOT ERHALTEN