Datenschutz verstehen – Datenschutzmanagementsystem (DSMS)
Ein Datenschutzmanagement wird definiert als strukturierte Vorgehensweise, um die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch zu organisieren, zu optimieren und zu kontrollieren. Hierbei kommt oftmals eine Datenschutzmanagementsoftware (DSMS) zum Einsatz.
Durch die rasche Digitalisierung und die kontinuierlich steigende Anzahl an Datenmengen sowie die damit einhergehenden organisatorischen Herausforderungen greifen wir in nahezu allen Bereichen immer häufiger auf sogenannte Managementsysteme zurück. Ein wichtiger Aspekt für ein Managementsystem im Bereich des Datenschutzes ist die Einhaltung von rechtlichen Anforderungen der DSGVO. Insbesondere die Rechenschaftspflicht für Unternehmen steht in diesem Zusammenhang im Fokus.
In diesem Beitrag erfahren Sie, wie Sie ein Datenschutzmanagementsystem aufbauen und was Sie dabei beachten müssen.
Inhalt:
- Definition Datenschutzmanagementsystem
- Rechtliche Vorgaben zum Datenschutzmanagementsystem gemäß DSGVO
- Wer kümmert sich um Datenschutzmanagement?
- Aufbau Datenschutzmanagement
- Prozessanalyse aller Verarbeitungen
- Erstellung Verzeichnis von Verarbeitungstätigkeiten
- Technische organisatorische Maßnahmen
- Kontrolle der Auftragsverarbeitungen
- Aufbewahrungs- und Löschkonzepte, Notfallkonzepte
- Datenschutz-Richtlinien
- Prozess über Rechte der Betroffenen
- Datenschutz-Folgenabschätzung
- Status-Gespräche
- Kontrolle & Auditierung
- Anforderungen Datenschutzmanagementsystem
- Datenschutzmanagementsoftware von Keyed
- Welche Bußgelder drohen trotz Datenschutzmanagementsystem?
Definition Datenschutzmanagementsystem
Die Datenschutzorganisation ist die Aufbauorganisation innerhalb eines Unternehmens, die die Einhaltung und Durchsetzung der Datenschutzvorschriften zur Aufgabe hat. Die Datenschutzorganisation ist damit in sämtlichen Unternehmensebenen vertreten und verantwortlich ist hierbei die Geschäftsführung. Zur Datenschutzorganisation kann ein Datenschutzmanagementsystem hilfreich sein.
Ein Datenschutzmanagementsystem (DSMS) ist ein Organisations-Tool, mit dem die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch geplant, organisiert, gesteuert und kontrolliert werden sollen. Neben einer übersichtlichen Organisationsstruktur ist außerdem zu beachten, dass das Risiko, gegen die Rechenschaftspflicht zu verstoßen, unbedingt vermieden werden muss.
Der „Verantwortliche“ ist gem. Art. 31 DSGVO stets dazu verpflichtet, auf Anfrage einer Aufsichtsbehörde, mit dieser bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten und ihr gem. Art. 58 Abs.1 lit. a) und e) DSGVO alle Informationen umgehend bereitzustellen, die für die Erfüllung ihrer Aufsichtspflichten erforderlich sind.
Als Verantwortlicher für die Einhaltung des Datenschutzes sollten Sie dafür sorgen, dass Behörden mittels eines rechtskonformen Datenschutzmanagementsystems die Möglichkeit haben, sich schnell von der Einhaltung des Datenschutzes in Ihrem Unternehmen zu überzeugen. Das DSMS sollte in Ihre Geschäftsprozesse integriert werden, um den Datenschutz langfristig und nachvollziehbar innerhalb Ihrer Unternehmensstruktur zu verankern.
Was ist ein DSMS?
Der Begriff DSMS beschreibt eine systematische Erfüllung der datenschutzrechtlichen Anforderungen. Regelmäßig wird sich bewusst gegen die Verwendung der Abkürzung DMS entschieden, da eine sehr hohe Verwechslungsgefahr mit dem Begriff Dokumentenmanagementsystem vorliegt, für welchen die gleichlautende Abkürzung DMS verwendet wird. Zwar beinhaltet ein umfassendes Datenschutzmanagementsystem auch eine Dokumentenablage, sowie eine fortlaufende Versionierung von Dokumenten, dennoch verfügt z.B. die Software für ein Datenschutzmanagementsystem über deutlich mehr Funktionsumfang speziell zur Einhaltung des Datenschutzes.
Rechtliche Vorgaben zum Datenschutzmanagementsystem gemäß DSGVO
Eine explizite Forderung durch einen Artikel der Datenschutz-Grundverordnung (DSGVO) besteht nicht für ein Datenschutzmanagementsystem. Allerdings lassen sich die rechtlichen Anforderungen für den Betrieb eines DSMS aus einigen Artikeln und Erwägungsgründen ableiten. Grundsätzlich besteht die Pflicht zur Erfüllung der Dokumentationspflichten, der Rechenschaftspflichten und ggf. Anforderungen aus Auftragsverarbeitungsverträgen (AVV). So kommt es, dass es sich neben rechtlichen Anforderungen vor allem aus Effizienz-Gründen anbietet, ein Datenschutzmanagement zu implementieren. Maßgeblich beeinflussen folgende Vorgaben aus der DSGVO das Datenschutzmanagement:
- Erstellung der Dokumentation von Verarbeitungen
- Erstellung, Vereinbarung und Verwaltung von Auftragsverarbeitungen
- Steuerung von technischen und organisatorischen Maßnahmen
- Erstellung und Dokumentation von Berechtigungskonzepten
- Erstellung und Dokumentation von Löschkonzepten
- Durchführung von Datenschutz-Folgenabschätzungen
- Dokumentation von Datenschutzvorfällen
- Verwaltung von Kommunikationen mit Betroffenen
Durch diese Anforderungen leiten sich die Kernfunktionalitäten eines Datenschutzmanagement Systems ab. Hierbei ist vor allem zu beachten, dass für ein wirksames Datenschutzmanagement einige Abteilungen in einem Unternehmen zusammenarbeiten müssen. Somit sind professionelle Datenschutzmanagement Systeme immer mit einer agilen Aufgabensteuerung ausgestattet.
Zur Bewertung der datenschutzrechtlichen Qualität des Datenschutzmanagementsystems kann die ISO 27701 Zertifizierung herangezogen werden. Die Zertifizierung reicht zwar nicht aus, um einer Zertifizierung nach Art. 42 DSGVO zu genügen, allerdings kann sie eine Zertifizierung nach dieser Norm erleichtern. Außerdem kann durch ein entsprechend zertifiziertes DSMS die Transparenz der Datenverarbeitung, die Einhaltung der Datenschutzbestimmungen und die Risikominimierung hinsichtlich Datenschutzverstößen erleichtert werden. Hierdurch wird wiederum eine erhöhte Vertrauensbasis bei Kunden und Geschäftspartnern geschaffen.
Wer kümmert sich um Datenschutzmanagement?
Die rechtlichen Rahmenbedingungen, die mithilfe des Datenschutzmanagementsystems umgesetzt werden sollen, sollten im besten Falle schon durch die Einführung einer Software für das DSMS abgedeckt sein. In der Regel sind für die Implementierung, die Pflege des Datenschutzmanagementsystems, sowie die Optimierung hiervon die Datenschutzbeauftragten verantwortlich. Die datenschutzrechtliche Verantwortung liegt selbstverständlich bei der Geschäftsführung, diese hat oftmals aber keine Kapazitäten, die komplexen Anforderungen in der Praxis umzusetzen. Unterstützt wird der betriebliche Datenschutzbeauftragte i.d.R. durch zahlreiche Datenschutzkoordinatoren, welche bei der Dokumentationspflege unterstützen. Daher ist es umso wichtiger, dass eine Software für Datenschutzmanagementsysteme (DSMS) ein intelligentes Aufgabenmanagement beinhaltet.
Aufbau Datenschutzmanagement
Wie sollte ein DSMS aufgebaut sein und welche Komponenten sollte es beinhalten? Ein Datenschutzmanagement besteht aus vielen verschiedenen Prozessen, welche individuell nach Unternehmen und Branche variieren können. Daher hat die folgende Aufzählung keinen Anspruch auf abschließende Vollständigkeit. Gerne können Sie von Datenschutzbeauftragten hier mehr über Ihre Branche erfahren.
Der Aufbau eines DSMS erfolgt nach der PDCA-Methode. Diese beinhaltet die Anforderung eines systematischen Aufbaus mit stetiger Möglichkeit zur Verbesserung. Hierbei sollen sowohl der jeweilige Prozess, als auch das System als solches den PDCA-Zyklus durchlaufen. Dies ist von großer Wichtigkeit, da gesetzliche Vorgaben und Technologien sich schnell verändern und entwickeln und daher stets gewährleistet sein muss, dass diese Veränderung in das DSMS implementiert werden.
Der PDCA-Zyklus besteht aus vier Phasen: Plan (Analyse und Abgleich der Ist- und Soll-Situation hinsichtlich der Verarbeitungsprozesse), Do (Ausführungsphase, in der die Ergebnisse der Analyse umgesetzt und dokumentiert werden), Check (Überprüfung der Umsetzung hinsichtlich der datenschutzrechtlichen Wirksamkeit), Act (Optimierung der in der Check-Phase festgestellten Mängel). Zu den einzelnen Themenbereichen innerhalb derer der PDCA-Zyklus durchlaufen wird im nachfolgenden Genaueres.
Prozess-Analyse aller Verarbeitungen
Nachdem Sie in Ihrem Unternehmen alle schützenswerten Prozesse analysiert und bewertet haben, sollten Sie in Ihr DSMS eine Datenschutzagenda implementieren. Anhand dieser Agenda werden alle datenschutzrechtlichen Anforderungen kategorisiert und priorisiert, bevor die Umsetzung der Inhalte der Datenschutzagenda beginnt. Auf diese Weise behalten Sie dauerhaft die Übersicht über die datenschutzrechtlichen Themen und sehen auf einen Blick, welche Aufgaben im Datenschutz noch umgesetzt werden müssen.
Erstellung Verzeichnis von Verarbeitungstätigkeiten
Die mitunter wichtigste Komponente eines DSMS ist ein umfangreiches Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO – hier müssen alle Verarbeitungen von personenbezogenen Daten nach den Vorgaben des Art. 30 DSGVO genau beschrieben werden. Was bei der Erstellung eines Verarbeitungsverzeichnisses zu beachten ist, lesen Sie in diesem Beitrag.
Technische organisatorische Maßnahmen
Ein weiterer wichtiger Teil eines Datenschutzmanagement-Systems sollte eine aktuelle Übersicht der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO sein. Die TOM und deren Dokumentation spielen eine signifikante und verpflichtende Rolle. Sie sind deshalb so wichtig, weil sie die Sicherheit der Daten Ihres Unternehmens definieren. Sauber und vollständig dokumentierte TOM tragen dazu bei und belegen, dass angemessene Maßnahmen für ausreichenden Schutz implementiert wurden. Eine umfassende Beschreibung und Beispiele von TOM finden Sie hier.
Kontrolle der Auftragsverarbeitungen
Die Zusammenarbeit mit Auftragsverarbeitern – Dienstleistern, die für Ihr Unternehmen personenbezogene Daten in Ihrem Auftrag verarbeiten und dabei weisungsgebunden handeln – ist in Art. 28 DSGVO verankert und hat gleichzeitig eine hohe Relevanz in der Praxis. In diesem Blogbeitrag erfahren Sie, wie ein DSGVO-konformer Auftragsverarbeitungsvertrag gestaltet sein muss und was Sie dabei beachten müssen.
Aufbewahrungs- und Löschkonzepte, Notfallkonzepte
Vorgaben für Aufbewahrungsfristen von Geschäftsaufzeichnungen im Unternehmen lassen sich aus unterschiedlichen Gesetzen und Vorschriften ableiten. Die wohl bekannteste Vorschrift ist die Verpflichtung zur Aufbewahrung von Geschäftsunterlagen für Kaufleute aus den §§ 238, 257, 261 des Handelsgesetzbuchs (HGB). Seit Einführung der DSGVO ist für Unternehmer eine weitere Herausforderung dazu gekommen, denn gem. Art. 5 i.V.m. Art. 6 DSGVO dürfen personenbezogene Daten nur verarbeitet und so lange gespeichert werden, wie hierfür eine Rechtsgrundlage, d.h. z.B. eine gesetzliche Aufbewahrungsfrist besteht.
Insofern sollte Ihr DSMS die einschlägigen Aufbewahrungsfristen berücksichtigen und ein geeignetes Löschkonzept für alle relevanten Prozesse beinhalten.
Datenschutz-Richtlinien
Richtlinien für den Umgang mit personenbezogenen Daten sollten ebenfalls in einem DSMS enthalten sein. Hier ist wichtig, dass alle festgelegten Richtlinien ordnungsgemäß dokumentiert und für alle Mitarbeiter zugänglich gemacht werden. Ferner sollten die Mitarbeiter regelmäßig über deren Inhalt informiert werden. Dokumente, wie beispielsweise eine „Verpflichtung auf das Datengeheimnis“ oder auch eine „IT-Nutzungsvereinbarung“, sind ein wichtiger Bestandteil von Datenschutzrichtlinien.
Prozess über Rechte der Betroffenen
Es gibt eine Vielzahl an sogenannten Betroffenenrechten, vgl. Art. 12 -23 DSGVO. In der Praxis am relevantesten ist beispielsweise das Auskunftsrecht gem. Art 15 DSGVO oder auch das „Recht auf Vergessenwerden“, sprich das Recht auf Löschung der eigenen Daten gem. Art 17 DSGVO. Für alle Betroffenenrechte sollten Prozesse im DSMS definiert werden, damit diese qualifiziert und zeitnah erfüllt werden können.
Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung (DSFA) ist ein neues Verfahren und ist in Art. 35 DSGVO geregelt. Vielleicht ist Ihnen aus dem alten BDSG die Vorabkontrolle noch bekannt, welche ein ähnliches Instrument gewesen ist. Bei der DSFA handelt es sich um eine Risikoanalyse bzw. Risikoabschätzung, die im Voraus vor der jeweiligen Datenverarbeitung durchgeführt werden muss. Mehr zum Thema DSFA können Sie in unserem Blogbeitrag lesen.
Status-Gespräche
Für eine fortlaufende und permanente Kontrolle der datenschutzrechtlichen Themen in Ihrem Unternehmen bietet sich zunächst ein Datenschutz-Audit an – dazu später mehr. Ein weiteres Hilfsmittel, um den datenschutzrechtlichen Status quo eines Unternehmens zu ermitteln, können sogenannte Status-Gespräche sein. Diese können quartalsweise oder in anderen Zeitabschnitten erfolgen und sollten unbedingt dokumentiert und im DSMS abgelegt werden.
Schulung der Mitarbeiter
Das Unternehmen und damit die verantwortliche Stelle ist gem. Art. 5 Abs. 2 DSGVO für die Einhaltung des Datenschutzes verantwortlich und muss die Einhaltung auch nachweisen können. Damit auch Mitarbeiter der verantwortlichen Stellen genau wissen, ob und wie sie personenbezogene Daten verarbeiten dürfen, müssen sie bezüglich der gesetzlichen datenschutzrechtlichen Anforderungen und unter Umständen auch bezüglich der unternehmensinternen datenschutzrechtlichen Vorgaben entsprechend geschult werden.
Um Ihre Mitarbeiter in Sachen Datenschutz und anderen Compliance-Themen flexibel und kostengünstig zu schulen, empfehlen wir Ihnen die E-Learning-Plattform Mitarbeiterschule.
Kontrolle & Auditierung
Um die „Rechenschaftspflicht“ aus Art. 5 Abs. 2 DSGVO dauerhaft erfüllen zu können, sollten alle Datenschutz-Prozesse im DSMS dokumentiert, fortlaufend kontrolliert und auditiert werden.
Hierbei bietet es sich an, in gewissen Zeitabständen einschlägige Verfahren zu prüfen und vor allem immer wieder hinsichtlich wichtiger Themen zu informieren und zu sensibilisieren. Kontrollen oder Datenschutzaudits sollten stets in Berichten oder in Checklisten schriftlich fixiert werden.
Anforderungen Datenschutzmanagementsoftware
Für eine strukturierte und gut organisierte Umsetzung der datenschutzrechtlichen Anforderungen aus DSGVO und anderen Vorschriften ist ein DSMS nahezu unverzichtbar. Daher gibt es einige softwaregestützte Lösungen, welche eine Datenschutzmanagementsoftware abbilden.
Durch die Vielzahl an Anforderungen ist es umso wichtiger, dass Unternehmen auf das richtige Datenschutzmanagement setzen. Es muss von der Dokumentation über die Korrespondenzen bis hin zu Auditberichten alle Themen abdecken und sollte als zentrales Datenschutz-Organisationstool genutzt werden. Aber was sollte eine Datenschutzmanagementsoftware können?
-
- Intuitive Bedienung: Eine einfache Benutzung eines DSMS ist elementar, weil oftmals Koordinatoren im Datenschutzmanagement nur unregelmäßig interagieren müssen. Natürlich profitiert die Geschäftsführung und der Datenschutzbeauftragte maßgeblich von einer einfachen Bedienung.
- Steuerung von Aufgaben: Innerhalb eines DSMS werden Risiken erkannt und bewertet. Umso wichtiger ist es, dass ein DSMS automatisch daraus Aufgaben generieren kann.
- Effiziente Erstellung von Dokumentationen: Es müssen Vorlagen für jegliche Dokumentationen vorhanden sein, sodass die Aufwände für ein Unternehmen möglichst gering gehalten werden.
- Auftragsverarbeiter verwalten: Nicht nur das Erstellen von Auftragsverarbeitungsverträgen (AVV), sondern auch die Verwaltung von Dienstleistern und Wiedervorlagen für Kontrollen müssen gewährleistet werden.
- Strukturierte Auditpläne: Zur Überprüfung von Maßnahmen ist ein strukturiertes Vorgehen unabdingbar, welches ein DSMS unterstützen muss.
- Durchführung der Datenschutz-Folgenabschätzungen: Gerade im Bereich der Datenschutz-Folgenabschätzungen gewinnen intelligente Datenschutzmanagement-Lösungen an Bedeutung, welche sog. “wenn, dann”-Funktionen abbilden können.
- Exportfunktionen: Sämtliche Dokumentation sollte einfach exportfähig (Word und PDF) sein für die Beantwortung von Anfragen jeglicher Art.
- Technische und organisatorische Maßnahmen: Die Steuerung und Verwaltung von verschiedenen Versionen der technischen und organisatorischen Maßnahmen sind vor allem für Auftragsverarbeiter extrem relevant.
- Freigaben via Link: Auch externe Personen müssen unter Umständen in ein Datenschutzmanagement einbezogen werden, daher sollte das DSMS über eine Linkfreigabe für einzelne Bereiche verfügen.
Was sind die Ziele des Datenschutzmanagementsystems?
Die Einhaltung der Datenschutzvorschriften ist vor allem aus bürokratischer Hinsicht für Unternehmen oftmals eine Herausforderung, besonders im Hinblick auf die Einhaltung von Nachweispflichten. Diese grundsätzlichen Ziele werden beim Einsatz eines DSMS verfolgt:
- Die fortlaufende Kontrolle der Wirksamkeit von Sicherheitsmaßnahmen im Unternehmen.
- Die Gewährleistung von definierten Prozessen für die Bearbeitung von allen Anforderungen der DSGVO, welche eine Löschfrist beinhalten. Zum Beispiel kommt hier die Meldepflicht von Datenschutzverletzungen ins Spiel, welche in der Regel innerhalb von 72 Stunden gemeldet werden müssen.
- Der performante Erhalt einer qualitativen Übersicht aller datenschutzrechtlichen Aufgaben.
- Automatisierung von datenschutzrechtlichen und insbesondere wiederkehrenden Prozessen und Aufgaben.
Datenschutzmanagementsoftware von Keyed
Durch unsere tägliche Arbeit als externe Datenschutzbeauftragte für mittlerweile mehr als 250 Unternehmen, sind wir stark darauf angewiesen ein intelligentes Datenschutzmanagementsystem einzusetzen. Hierbei haben wir uns zu einer eigenen Entwicklung entschieden, um möglichst alle Anforderungen effizient abzudecken. Das DSMS von Keyed besitzt einige intelligente Funktionen, sodass die tägliche Arbeit von Datenschutzbeauftragten extrem erleichtert wird. Grundsätzlich empfiehlt sich der Einsatz von unserem DSMS für Konzerndatenschutzbeauftragte oder Datenschutzbeauftragte von Unternehmensgruppen, da unser System für diese Anforderungen erschaffen worden ist. Die wichtigsten Funktionen sind folgende:
- Vertragsverwaltung für Auftragsverarbeitungen
- Monitoring von Datenschutz-Maßnahmen
- Automatische Risikobewertungen
- Erstellung und Verwaltung von Verarbeitungstätigkeiten
- Erstellung der technischen und organisatorischen Maßnahmen
- Datenschutzerklärungs-Generator
- Auditierungen inkl. Berichtsgenerator
- Kommunikation mit Aufsichtsbehörden
- Kommunikation mit Betroffenen inkl. Auskunftsersuchen
- Erstellung von Rollen- & Berechtigungskonzepten
- Erstellung von Löschkonzepten
- Aufgabensteuerung mit Kanban-Boards
- Mehr Mandantenfähigkeit
- Automatischer Jahresbericht als Export
Welche Bußgelder drohen trotz Datenschutzmanagementsystem?
Grundsätzlich werden die Rechtsbehelfe, Bußgelder und Sanktionen im Rahmen der Datenschutz-Grundverordnung in den Artikel 77 – 84 geregelt. Der Einsatz eines Datenschutzmanagements als Solches verhindert selbstverständlich kein Bußgeld. Unternehmen, welche allerdings ein Datenschutzmanagement aufbauen im Sinne der oben genannten Anforderungen, können davon ausgehen, dass die Höhe von Bußgeldern maßgeblich beeinflusst werden kann. Wer als Unternehmen in den Punkten Erfüllung der Rechenschaftspflichten, konforme Vorhaltung von Dokumentationen gut aufgestellt ist durch ein DSMS, der wird in einem möglichen Bußgeldverfahren sicherlich rücksichtsvoller behandelt von den Aufsichtsbehörden.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.