Was ist ein Datenschutz-Management?

Datenschutz verstehen – Datenschutz-Management

Durch die rasche Digitalisierung und der kontinuierlich steigenden Anzahl an Datenmengen sowie der damit einhergehenden organisatorischen Herausforderungen, greifen wir in nahezu allen Bereichen immer häufiger auf sogenannte Management-Systeme zurück. Ein wichtiger Aspekt für ein Management-System im Bereich des Datenschutzes ist neben der Usability die Einhaltung von rechtlichen Anforderungen der DSGVO. Insbesondere die Rechenschaftspflicht „Rechenschaftspflicht“ gem. Art. 5 Abs. 2 DSGVO steht in diesem Zusammenhang im Fokus.

Ein gesetzeskonformes Datenschutz-Management-System sollte alle Dokumentations- und Nachweispflichten erfüllen, sodass Sie jederzeit auf Kontrollen oder Fragen seitens der Aufsichtsbehörden oder Ihrer Kunden reagieren können.

In diesem Beitrag erfahren Sie, wie Sie ein Datenschutz-Management aufbauen und was Sie dabei beachten müssen.

 

Definition Datenschutz-Management

Ein DSMS ist ein Organisations-Tool mit dem die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch geplant, organisiert, gesteuert und kontrolliert werden sollen. Neben einer übersichtlichen Organisationsstruktur ist außerdem zu beachten, dass das Risiko, gegen die Rechenschaftspflicht zu verstoßen, unbedingt vermieden werden muss.

Der „Verantwortliche“ ist gem. Art. 31 DSGVO stets dazu verpflichtet, auf Anfrage einer Aufsichtsbehörde mit dieser bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten und ihr gem. Art. 58 Abs.1 lit. a) und e) DSGVO alle Informationen umgehend bereitzustellen, die für die Erfüllung ihrer Aufsichtspflichten erforderlich sind.

Ansonsten besteht die Gefahr, die Aufmerksamkeit der Aufsichtsbehörde auf sich zu ziehen und empfindliche Bußgelder gem. Art. 83 ff. DSGVO zu riskieren, sofern beispielsweise die Dokumentationspflichten der DSGVO nicht erfüllt werden. Näheres zur Höhe der Bußgelder finden Sie hier

Als Verantwortlicher für die Einhaltung des Datenschutzes sollten Sie dafür sorgen, dass Behörden mittels eines rechtskonformen Datenschutz-Management-Systems die Möglichkeit haben, sich schnell von der Einhaltung des Datenschutzes in Ihrem Unternehmen zu überzeugen. Das Datenschutz-Management-System (DSMS) sollte in Ihre Geschäftsprozesse integriert werden, um den Datenschutz langfristig und nachvollziehbar innerhalb Ihrer Unternehmensstruktur zu verankern.

 

Aufbau Datenschutz-Management

Wie sollte ein DSMS aufgebaut sein und welche Komponenten sollte es beinhalten? Ein Datenschutz-Management besteht aus vielen verschiedenen Prozessen, welche individuell nach Unternehmen und Branche variieren können. Daher hat die folgende Aufzählung keinen Anspruch auf abschließende Vollständigkeit. Gerne können Sie von Datenschutzbeauftragten hier mehr zu Ihrer Branche erfahren.

Prozess-Analyse aller Verarbeitungen

Nach dem Sie in Ihrem Unternehmen alle schützenswerten Prozesse analysiert und bewertet haben, sollten Sie in Ihr DSMS eine Datenschutzagenda implementieren. Anhand dieser Agenda werden alle datenschutzrechtlichen Anforderungen kategorisiert und priorisiert, bevor Umsetzung der Inhalte der Datenschutzagenda beginnt. Auf diese Weise behalten Sie dauerhaft die Übersicht über die datenschutzrechtlichen Themen und sehen auf einem Blick, welche Aufgaben im Datenschutz noch umgesetzt werden müssen.

Erstellung Verzeichnis von Verarbeitungstätigkeiten

Mitunter wichtigste Komponente eines DSMS ist ein umfangreiches Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO – hier müssen alle Verarbeitungen von personenbezogenen Daten nach den Vorgaben des Art. 30 DSGVO genau beschrieben werden. Was bei der Erstellung eines Verarbeitungsverzeichnis zu beachten ist, lesen Sie in diesem Beitrag.

Technische organisatorische Maßnahmen

Ein weiterer wichtiger Teil eines Datenschutz-Management-Systems sollte eine aktuelle Übersicht der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO sein. Die TOM und deren Dokumentation spielen eine signifikante und verpflichtende Rolle. Sie sind deshalb so wichtig, weil sie die Sicherheit der Daten Ihres Unternehmens definieren. Sauber und vollständig dokumentierte TOM tragen dazu bei und belegen, dass angemessene Maßnahmen für ausreichenden Schutz implementiert wurden. Eine umfassende Beschreibung und Beispiele von TOM finden Sie hier.

Kontrolle der Auftragsverarbeitungen

Die Zusammenarbeit mit Auftragsverarbeitern – Dienstleistern die für Ihr Unternehmen personenbezogene Daten in Ihrem Auftrag verarbeiten und dabei weisungsgebunden handeln – ist in Art. 28 DSGVO verankert und hat gleichzeitig eine hohe Relevanz in der Praxis. Sofern Sie einen Auftragsverarbeiter in Anspruch nehmen, muss ein Auftragsverarbeitungsvertrag nach Maßgabe des Art. 28 DSGVO vereinbart werden. In diesem Auftragsverarbeitungsvertrag werden Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt, vgl. Art. 28 Abs. 3 DSGVO. Ein klassisches Beispiel eines Auftragsverarbeiters ist eine externe Lohn- und Gehaltsabrechnung. In diesem Blogbeitrag erfahren Sie, wie ein DSGVO-konformer Auftragsverarbeitungsvertrag gestaltet sein muss und was Sie dabei beachten müssen.

Aufbewahrungs- und Löschkonzepte, Notfallkonzepte

Vorgaben für Aufbewahrungsfristen von Geschäftsaufzeichnungen im Unternehmen lassen sich aus unterschiedlichen Gesetzen und Vorschriften ableiten. Die wohl bekannteste Vorschrift ist die Verpflichtung zur Aufbewahrung von Geschäftsunterlagen für Kaufleute aus den §§ 238, 257, 261 des Handelsgesetzbuchs (HGB). Seit Einführung der DSGVO ist für Unternehmer eine weitere Herausforderung dazu gekommen, denn gem. Art. 5 i.V.m. Art. 6 DSGVO dürfe personenbezogen Daten nur verarbeitet und so lange gespeichert werden, wenn hierfür eine Rechtsgrundlage, z.B. eine gesetzliche Aufbewahrungsfrist, besteht.

Insofern sollte Ihr DSMS die einschlägigen Aufbewahrungsfristen berücksichtigen und ein geeignetes Löschkonzept für alle relevanten Prozesse beinhalten.

Datenschutz-Richtlinien

Richtlinien für den Umgang mit personenbezogenen Daten sollten ebenfalls in einem DSMS enthalten sein. Hier ist wichtig, dass alle festgelegten Richtlinien ordnungsgemäß dokumentiert und für alle Mitarbeiter zugänglich gemacht werden. Ferner sollten die Mitarbeiter regelmäßig über deren Inhalt informiert werden. Dokumente, wie beispielsweise eine „Verpflichtung auf das Datengeheimnis“ oder auch eine „IT-Nutzungsvereinbarung“, sind ein wichtiger Bestandteil von Datenschutzrichtlinien.

Prozess über Rechte der Betroffenen

Es gibt eine Vielzahl an sogenannten Betroffenenrechten, vgl. Art. 12 -23 DSGVO. In der Praxis am relevantesten ist beispielsweise das Auskunftsrecht gem. Art 15 DSGVO oder auch das „Recht auf Vergessenwerden“, sprich das Recht auf Löschung der eigenen Daten gem. Art 17 DSGVO. Für alle Betroffenenrechte sollten Prozesse im DSMS definiert werden, damit diese qualifiziert und zeitnah erfüllt werden können.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) ist ein neues Verfahren und ist in Art. 35 DSGVO geregelt. Vielleicht ist Ihnen aus dem alten BDSG die Vorabkontrolle noch bekannt, welche ein ähnliches Instrument gewesen ist. Bei der DSFA handelt es sich um eine Risikoanalyse bzw. Risikoabschätzung, die im Voraus vor der jeweiligen Datenverarbeitung durchgeführt werden muss.

Die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung hängt von der der jeweiligen Verarbeitung ab. Für welche Verarbeitung die DSFA einschlägig sein soll, zählt Art. 35 Abs. 1 S.1 DSGVO im Anschluss auf – die Auflistung aus Art. 35 DSGVO ist allerdings nicht abschließend. Eine DSFA muss beispielsweise immer dann durchgeführt werden, wenn die geplante Verarbeitungstätigkeit in die Positiv-Liste der Aufsichtsbehörden fällt. Ihr DSMS sollte in jedem Fall eine geeignete Vorlage für das komplexe Thema DSFA beinhalten. Mehr zum Thema DSFA können Sie in unserem Blogbeitrag lesen.

Status-Gespräche

Für eine fortlaufende und permanente Kontrolle der datenschutzrechtlichen Themen in Ihrem Unternehmen bietet sich zunächst ein Datenschutz-Audit an – dazu später mehr. Ein weiteres Hilfsmittel, um den datenschutzrechtlichen Status quo eines Unternehmens zu ermitteln, können sogenannte Status-Gespräche sein. Diese können quartalsweise oder in anderen Zeitabschnitten erfolgen und sollten unbedingt dokumentiert und im DSMS abgelegt werden.

Schulung der Mitarbeiter

Das Unternehmen und damit die die verantwortliche Stelle, ist gem. Art. 5 Abs. 2 DSGVO für die Einhaltung des Datenschutzes verantwortlich und muss die Einhaltung auch nachweisen können. Damit auch Mitarbeiter der verantwortlichen Stellen genau wissen, ob und wie sie personenbezogene Daten verarbeiten dürfen, müssen sie bezüglich der gesetzlichen datenschutzrechtlichen Anforderungen und unter Umständen auch bezüglich der unternehmensinternen datenschutzrechtlichen Vorgaben entsprechend geschult werden.

Um Ihre Mitarbeiter in Sachen Datenschutz und anderen Compliance-Themen flexibel und kostengünstig zu schulen, empfehlen wir Ihnen die E-Learning-Plattform Mitarbeiterschule.

Kontrolle & Auditierung

Um die „Rechenschaftspflicht“ aus Art. 5 Abs. 2 DSGVO dauerhaft erfüllen zu können, sollten alle Datenschutz-Prozesse im DSMS dokumentiert, fortlaufend kontrolliert und auditiert werden.

Hierbei bietet es sich an, in gewissen Zeitabständen einschlägige Verfahren zu prüfen und vor allem immer wieder hinsichtlich wichtiger Themen zu informieren und zu sensibilisieren. Kontrollen oder Datenschutzaudits sollten stets in Berichten oder in Checklisten schriftlich fixiert werden.

 

Datenschutz-Management Software

Für eine strukturierte und gut organisierte Umsetzung der datenschutzrechtlichen Anforderungen aus DSGVO und anderen Vorschriften ist ein DSMS nahezu unverzichtbar.

Es muss von der Dokumentation über die Korrespondenzen bis hin zu Auditberichten alle Themen abdecken und sollte als zentrales Datenschutz-Organisationstool genutzt werden. Aber was sollte eine Datenschutz-Management-Software können?

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN