Preise
Login
Demo vereinbaren
Risikoklassifizierung von KI-Anwendungsfällen - AI Act Best Practices
Zum Webinar anmelden

FAQ: Warum Sie Ihr DSMS auswendig kennen sollten

DSMS – das sind die heißesten vier Buchstaben seit Inkrafttreten der DSGVO. Zumindest, wenn es nach uns Datenschutz-Fans geht. Doch was steckt hinter dem Begriff und wie bringt Sie ein DSMS im Arbeitsalltag weiter? Wir geben aufschlussreiche As auf häufige Qs!
21. März 2022
8 Minuten
von Dennis Kurpierz, Co-Founder & COO
Datenschutz ist keine Selbstverständlichkeit. Tatsächlich handelt es sich um eine komplexe Angelegenheit, die juristisches Fingerspitzengefühl, Know-how und durchdachte Prozesse erfordert. Als Datenschutz­verantwortliche:r können Sie bestimmt ein Lied davon singen. Doch gerade auf den konkreten Plan sollten Sie beim Datenschutz­management nicht pfeifen. Und im Optimalfall gibt ein effizientes DSMS den Ton in Ihrem Unternehmen an.

Was ist ein Datenschutz­managementsystem?

Bitte verstehen Sie nicht falsch: Ein Datenschutzmanagementsystem (DSMS) ist keine Software. Es handelt sich um ein Rahmenwerk für den Umgang mit datenschutzrechtlichen Aspekten in Unternehmen. Es geht unter anderem darum, technische und organisatorische Maßnahmen (TOM) auszugestalten, die den Schutz von personenbezogenen Daten gewährleisten.

Dabei definiert ein DSMS nicht nur, wie Sie als Datenschutz­verantwortliche:r Ihre tägliche Arbeit ausführen, überprüfen und nachweisen. Es geht genauso darum, wie alle Mitarbeiter:innen Ihres Unternehmens die Interessen und Rechte von Kund:innen, Lieferant:innen, von Kolleg:innen sowie anderen Beteiligten in Bezug auf deren Daten schützen.
Datenschutz-Reifegrad in 4 Schritten ermitteln: Jetzt Checkliste herunterladen

Warum brauchen Sie ein DSMS?

Tatsächlich schreibt die europäische Datenschutz-Grundverordnung (DSGVO) ein DSMS nicht zwingend vor. Dass Sie einen datenschutzrechtlichen Rahmen brauchen, lässt sich allerdings aus der gesetzlichen Rechenschaftspflicht für Unternehmen sowie der Umsetzungspflicht von Maßnahmen ableiten.

Hierzu zählen beispielsweise geeignete TOM und ein Verzeichnis der Verarbeitungstätigkeiten (VVT). Die DSGVO berücksichtigt ein effektives DSMS zudem als bußgeld­minderndes Merkmal. In Abwägungsfällen kann es DSGVO-Verstößen sogar vollständig entgegenstehen. Sie fahren mit einem durchdachten DSMS also in sichereren Gewässern als ohne.

Ein Datenschutzmanagement­system definiert alle datenschutzrechtlich relevanten Aspekte in Ihrem Unternehmen. Es dreht sich um rechtliche und sicherheitstechnische Punkte bezüglich der Datenverarbeitung, der Bestimmungen von Zuständigkeiten, Arbeitsabläufen und Verhaltensweisen.

Ein effizientes und umfassendes Datenschutzmanagement ist essentiell für Sie, um gesetzeskonform zu arbeiten. Mit einem DSMS entwerfen Sie dazu einen ganz konkreten Plan. Es ist das individuelle How-to für Datenschutz in Ihrem Unternehmen: ein wichtiges Rahmenwerk, dass Ihnen langfristig hilft, ein angemessenes Datenschutzniveau sicherzustellen. Nicht zuletzt sorgt ein DSMS für Transparenz und fördert die datenschutzbezogene Zusammenarbeit im ganzen Unternehmen.

„Ein DSMS ist das Fundament, um Datenschutzvorgaben auf allen Ebenen und dauerhaft einzuhalten. Es ist allerdings keine einmalige Angelegenheit. Vielmehr gilt es, Vorgaben und Prozesse regelmäßig zu kontrollieren und anzupassen.“

Was muss ein DSMS beinhalten?

Ein Datenschutzmanagement­system muss alle wichtigen Anforderungen der relevanten Datenschutzgesetze abbilden können. Es geht um Real Talk in puncto DSGVO. Zu klären sind beispielsweise folgende Fragen:

Wie dokumentieren Sie Datenschutzprozesse?

Wie gehen Sie mit Betroffenen- oder Behördenanfragen um?

Was passiert bei Verstößen gegen den Datenschutz?

Wie würde eine Datenschutz-Folgenabschätzung (DSFA) erfolgen?

Die DSGVO gibt nicht explizit vor, wie ein DSMS auszusehen hat. Deshalb ziehen Datenschutzspezialist:innen moderne Standards zu Hilfe. Hierzu zählen etwa die Normen ISO 9001 für Qualitäts­managementsysteme, ISO/IEC 27001 für Informationssicherheit und Managementsysteme sowie die darauf aufbauende ISO/IEC 27701 speziell für datenschutz­rechtliche Aspekte. Das sind jetzt viele komplizierte Bezeichnungen. Doch haben Sie keine Scheu: Die Normen bieten wertvollen Input. Machen Sie sich mal einen Tee und setzen sich in Ruhe mit den Leitlinien und Gesetzestexten auseinander. Sie bekommen so einen großartigen Überblick, worum es im Datenschutzmanagement geht.

Wie ein DSGVO-konformes DSMS nun ganz praktisch aussieht, lässt sich nicht pauschal beantworten. Das steht Ihnen tatsächlich offen. Die Gesetze und die Normen geben bislang keine Best-Practise-Beispiele vor. Für Datenschutzverantwortliche gilt deshalb: Selbst ist der Mann bzw. die Frau – und genau hier fängt deine Datenschutz-Journey an.

Übrigens: Ihr Engagement im Datenschutz können Sie für Ihr Unternehmen demnächst zertifizieren lassen. Die Deutsche Akkreditierungsstelle (DAkkS) hat diesbezüglich ein neues Akkreditierungsverfahren vorgestellt. Im Rahmen des „Projekts Datenschutz“ reichen aktuell erste Prüfdienstleister Zertifizierungsprogramme ein, die Sie buchen können, sobald sie genehmigt wurden. Mehr dazu können Sie hier lesen.

Was sind die wichtigsten Funktionen eines DSMS?

Das DSMS stellt sicher, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Einmal indem es die gesamte Datenschutz-Dokumentation enthält:

VVT

Dienstleistermanagement

Dokumentation technischer und/oder organisatorischer Maßnahmen

Datenschutz-Folgenabschätzung (DSFA)

Zudem enthält es konkrete Prozesse für den Umgang mit Betroffenenanfragen, Datenschutzvorfällen und Behördenanfragen sowie Löschkonzepte. Die wohl wichtigste Funktion, die ein DSMS besonders attraktiv macht, ist seine Monitoring-Funktion. Denn nur mithilfe eines DSMS wird die Einhaltung der datenschutzrechtlichen Vorgaben kontinuierlich überprüft und dadurch lückenlose Datenschutzkonformität hergestellt.

PDCA-Zyklus – der iterative Datenschutz-Kreisel?

Eine bewährte Methode, um ein DSMS zu entwickeln und zu pflegen, ist der sogenannte PDCA-Zyklus. Das ist ein agiles Vorgehensmodell für Managementsysteme. Warum heißt es Zyklus? Weil es neben der Implementation eines DSMS dazu dient, Prüfschleifen zu schaffen, mit denen Sie Ihr DSMS langfristig up to date halten. Es ist ein Kreislauf und gliedert sich in vier Phasen (Der PDCA-Zyklus ist auch im Standard-Datenschutzmodell zu finden). Diese Phasen sollten iterativ wiederholt werden, um das DSMS aktuell zu halten und kontinuierlich zu verbessern:

1. Plan – Planung, Spezifikation

Innerhalb des ersten Zyklus – für die initiale Erstellung eines DSMS – muss zunächst der IST-Zustand festgestellt werden, d. h. die vorhandene Datenschutzorganisation und -dokumentation erfasst werden. Zudem sollten die Anforderungen an das DSMS formuliert werden. Hierfür ist es sinnvoll, sich einen Überblick über die datenschutzrechtlichen Aufgaben innerhalb des Unternehmens zu verschaffen. Die Aufgaben ergeben sich direkt aus den Anforderungen, die die DSGVO stellt. Sie gilt für alle Verarbeitungsvorgänge personenbezogener Daten, d.h. jede Erhebung, Nutzung, Archivierung oder auch Löschung, erfordert für jede dieser Datenverarbeitungen eine Rechtsgrundlage. Darüber hinaus müssen die datenschutzrechtlichen Grundsätze und Verpflichtungen der DSGVO umgesetzt werden. Zu den wesentlichen Grundsätzen gehören etwa:

Transparenz

Zweckbindung

Datenminimierung

Richtigkeit

Speicherbegrenzung

Integrität und Vertraulichkeit

Rechenschaftspflicht

Wesentliche Pflichten sind die Erstellung eines VVTs, die Durchführung einer DSFA (sofern in Einzelfall erforderlich), Privacy by Design und Privacy by Default, sowie die Gewährleistung der Sicherheit der Verarbeitung.

Diese Anforderungen stellen die Inhalte des DSMS dar. So enthalten beispielsweise Angaben dazu, wie Datenminimierung sichergestellt wird, Vorgaben zum VVT oder zum Umgang mit Auftragsverarbeitern. Hierfür sollten konkrete Prozesse, Verantwortlichkeiten und Kontrollmaßnahmen definiert werden.

2. Do – Implementierung, Protokollierung

In der Realisierungsphase werden die neuen Vorgaben umgesetzt. Das heißt, etwa das VVT angelegt, TOMs umgesetzt oder eine etwaige DSFA durchgeführt. Das DSMS ist nun “Live gegangen” und durchläuft nun weiter den PDCA-Zyklus.

3. Check – Kontrolle, Prüfung, Beurteilung

Es wird während des laufenden Betriebes geprüft und kontrolliert, inwieweit die Soll-Werte den Ist-Werten entsprechen. Sofern eine Abweichung festgestellt wird, wird geprüft, ob dadurch datenschutzrechtliche Vorgaben verletzt werden und es wird geschaut, inwieweit die Vorgaben ggf. wirksamer erfüllt werden können.

4. Act – Verbesserung

Schließlich werden die Defizite bei der Verarbeitung, bei Maßnahmen und Controlling nach Entscheidung des Verantwortlichen verbessert. Nach entsprechender Anweisung beginnt der Zyklus wieder in der Planungsphase.
Obwohl der PDCA-Zyklus namentlich nicht in der DSGVO genannt wird, erkennen geübte DSGVO-Leser:innen die Systematik an vielen Stellen wieder: So spricht Artikel 38 Absatz 2 von der Planung des Ressourcenbedarfs (“Plan”) oder Art. 32 Absatz 1d von der Überprüfung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen (“Check”).

4 Learnings für deine Datenschutz-Praxis

Unsere Erfahrung zeigt: Wer das Thema Datenschutz motiviert angeht, kommt schnell zu guten Ergebnissen. Dazu haben wir noch vier wichtige Praxistipps für Sie:

Verstehen Sie Datenschutz als Teamsache:
Sie kämpfen als Datenschutz­verantwortliche:r nicht allein auf einer einsamen Insel ums Überleben. Je mehr Kolleg:innen Sie einbeziehen und je mehr Mitarbeiter:innen aktiv am Datenschutz in Ihrem Unternehmen teilhaben, desto besser.

Machen Sie nicht alles auf einmal:
Ein DSMS aufzusetzen und zu pflegen, ist viel Arbeit. Gehen Sie deshalb iterativ vor und lösen Aufgaben step by step. So verzetteln Sie sich nicht. Integrieren Sie den PDCA-Zyklus in die echten Wertschöpfungsketten Ihres Unternehmens:

Berücksichtigen Sie datenschutzrechtliche Aspekte beispielsweise schon zu Beginn des Produktlebenszyklus in der Discovery-Phase. Damit haben Sie datenschutztechnisch von Anfang an alles im Blick.

Verstehen Sie Datenschutzmanagement nicht als starren Workflow:
Es geht nicht darum, blind auf Input, Feedback und Freigaben von Abteilungen und Kolleg:innen zu warten. Entwickeln Sie gemeinsam Lösungen und Prozesse und schaffen reibungslose Abläufe. Eine DSMS-Software wie caralegal ist dafür das ideale Tool.

Nicht ohne Ihr Tool: Warum Sie eine Software zum DSMS brauchen

Normen, PDCA, Prüfschleifen – das alles mag jetzt etwas abstrakt klingen. Sie werden jedoch merken, dass es Ihnen leicht fallen wird, ein DSMS zu erstellen und zu pflegen. Auf alle Fälle empfehlen wir Ihnen bei Ihrer Arbeit Folgendes: Nutzen Sie ein Tool. Eine Datenschutz­management-Software wie caralegal hilft Ihnen dabei, ein DSMS kinderleicht aufzusetzen und Ihr Rahmenwerk in die Praxis zu umzusetzen.

Zentrales Element ist hierbei die einfache und anwenderorientierte Datenschutz-Dokumentation. Unsere Kund:innen werden von der Software bei deren Datenschutz-Dokumentation unterstützt, das reicht von einer automatischer Schwellwertanalyse zur Risikobewertung, über detaillierte Ermittlungen der Datenschutz-Compliance bis hin zur Identifikation und Dokumentation von Datenschutzvorfällen, vieles davon ist KI-basiert.

Ein modulares Rechte- und Rollensystem ermöglicht zudem die Abbildung internationaler und hochkomplexer Unternehmensstrukturen. Unser Compliance-Dashboard ermöglicht ein übergreifendes Monitoring und Reporting und unterstützt durch die Aufgaben- und Kommentarfunktion auch die Zusammenarbeit aller Nutzer:innen. Ein automatisiertes und digitales DSMS ist langfristig für zukunftsorientierte Unternehmen der beste Weg, ein hohes Datenschutzniveau zu erreichen und effizient zu erhalten.
Auf dieser Seite
Primary Item (H2)

Über den Autor

Dennis Kurpierz
Co-Founder & COO von caralegal
Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Das Whitepaper beschreibt, wie ein bestehendes Datenschutzmanagementsystem zu einem integrierten KI-Governance-System ausgebaut werden kann.
,
KI-VO & DSGVO: Wie Unternehmen Synergien klug nutzen können
Mehr erfahren
Die 12 besten OneTrust Alternativen für Ihr Datenschutzmanagement im Jahr 2025
Mehr erfahren
Liste mit den Top 5 Trends im Datenschutz 2025
,
Datenschutz 2025: Die Top 5 Entwicklungen auf einen Blick
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2025 caralegal GmbH
DatenschutzerklärungImpressum
Cookie-Einstellungen