Nur mithilfe eines funktionierendes Datenschutzmanagement-Systems (DSMS) können Unternehmen die Einhaltung des Datenschutzes für das gesamte Unternehmen sicherstellen. Die wichtigsten Fragen im Rahmen der praktischen Umsetzung haben wir im nachfolgenden FAQ zusammengestellt.
Genaue Vorgaben für die Ausgestaltung und Implementierung eines DSMS macht die DSGVO nicht. Für die konkrete Umsetzung kann es hilfreich sein sich am sogenannten PDCA-Zyklus zu orientieren. Dabei handelt es sich um einen bewährten Prozess, der auch in anderen Bereichen des Datenschutzmanagements von den Aufsichtsbehörden vorgeschlagen wird (Er ist auch im Standard-Datenschutzmodell zu finden). Der PDCA-Zyklus ist in die Phasen Plan, Do, Check und Act unterteilt. Diese Phasen sollten iterativ wiederholt werden, um das DSMS aktuell zu halten und kontinuierlich zu verbessern.
Innerhalb des ersten Zyklus – für die initiale Erstellung eines DSMS – muss zunächst der IST-Zustand festgestellt werden, d.h. die vorhandenen Datenschutzorganisation und -dokumentation erfasst werden. Zudem sollten die Anforderungen an das DSMS formuliert werden. Hierfür ist es sinnvoll, sich einen Überblick über die datenschutzrechtlichen Aufgaben innerhalb des Unternehmens zu verschaffen. Die Aufgaben ergeben sich direkt aus den Anforderungen, die die DSGVO stellt. Sie gilt für alle Verarbeitungsvorgänge personenbezogener Daten, d.h. jede Erhebung, Nutzung, Archivierung oder auch Löschung, erfordert für jede dieser Datenverarbeitungen eine Rechtsgrundlage. Darüber hinaus müssen die datenschutzrechtlichen Grundsätze und Verpflichtungen der DSGVO umgesetzt werden. Zu den wesentlichen Grundsätzen gehören etwa:
Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit
Rechenschaftspflicht
Wesentliche Pflichten sind die Erstellung eines VVTs, die Durchführung einer DSFA (sofern in Einzelfall erforderlich), Privacy by Design und Privacy by Default, sowie die Gewährleistung der Sicherheit der Verarbeitung.
Diese Anforderungen stellen die Inhalte des DSMS dar. So enthält beispielsweise Angaben dazu wie Datenminimierung sichergestellt wird, Vorgaben zum VVT oder zum Umgang mit Auftragsverarbeitern. Hierfür sollten konkrete Prozesse, Verantwortlichkeiten und Kontrollmaßnahmen definiert werden.
In der Realisierungsphase werden die neuen Vorgaben umgesetzt. Das heißt etwa das VVT angelegt, TOMs umgesetzt oder eine etwaige DSFA durchgeführt. Das DSMS ist nun “Live gegangen” und durchläuft nun weiter den PDCA-Zyklus.
Es wird während des laufenden Betriebes geprüft und kontrolliert, inwieweit die Soll-Werte den Ist-Werten entsprechen. Sofern eine Abweichung festgestellt wird, wird geprüft, ob dadurch datenschutzrechtliche Vorgaben verletzt werden und es wird geschaut, inwieweit die Vorgaben ggf. wirksamer erfüllt werden können.
Schließlich werden die Defizite bei der Verarbeitung, bei Maßnahmen und Controlling nach Entscheidung des Verantwortlichen verbessert. Nach entsprechender Anweisung beginnt der Zyklus wieder in der Planungsphase.
Um das DSMS aktuell zu halten, muss einfach der PDCA-Zyklus iterativ durchlaufen werden. In der Phase 1 (Plan) liegt der Fokus nun darauf zu prüfen, ob Anpassung am DSMS vorgenommen werden sollten. Hierfür werden bereits erfolgte Datenschutzverstöße analysiert, aber auch Risiken für künftige Datenschutzverstöße ermittelt und bewertet werden.
Bei einem hohen Risiko sollte noch vor einem Verstoß damit begonnen werden, die gewonnen Ergebnisse zu nutzen und Verbesserungsmaßnahmen zu implementieren. Sodann werden ganz normal die weiteren Phasen: Do, Check und Act durchlaufen.
Das DSMS stellt sicher, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Einmal indem es die gesamte Datenschutz-Dokumentation enthält:
VVT
Dienstleistermanagement
Dokumentation technischer und/oder organisatorischer Maßnahmen
Datenschutz-Folgenabschätzung (DSFA)
Zudem enthält es konkrete Prozesse für den Umgang mit Betroffenenanfragen, Datenschutzvorfällen und Behördenanfragen sowie Löschkonzepte. Die wohl wichtigste Funktion, die ein DSMS besonders attraktiv macht, ist seine Monitoring-Funktion. Denn nur mithilfe eines DSMS wird die Einhaltung der datenschutzrechtlichen Vorgaben kontinuierlich überprüft und dadurch lückenlose Datenschutzkonformität hergestellt.
Ein DSMS sorgt für effiziente Prozesse und gute Zusammenarbeit im Team. Durch eindeutige Verantwortlichkeiten, Prozesse und eine einheitliche Dokumentation können die Vorgaben der DSGVO zeitsparend erfüllt werden. Ein funktionierendes DSMS ist auch ein Aushängeschild gegenüber der Kundschaft. Denn es zeigt, dass das Unternehmen die Anforderungen der DSGVO ernst nimmt und vertrauensvoll und gewissenhaft mit den Daten seiner Kundschaft umgeht.
Dazu gehört etwa, dass Betroffenenanfragen rechtzeitig und vollständig bearbeitet und Datenschutzverstöße sorgfältig geprüft und ggf. gemeldet werden. Außerdem sorgt es auch im Umgang mit den Aufsichtsbehörden für eine gute, vertrauensvolle Zusammenarbeit, eingeleitete Verfahren können schnell und vollständig beantwortet werden. Zuletzt ist bei einem funktionierenden DSMS unwahrscheinlich, dass es zu Verstößen gegen die DSGVO kommt. Damit wird auch das Risiko von behördlichen Bußgeldern minimiert.
Unsere Software bietet eine digitale und automatisierte Unterstützung für dein DSMS. Zentrales Element ist hierbei die einfache und anwenderorientierte Datenschutz-Dokumentation. Unsere Kund:innen werden von der Software bei deren Datenschutz-Dokumentation unterstützt, das reicht von einer automatischer Schwellwertanalyse zur Risikobewertung, über detaillierte Ermittlungen der Datenschutz-Compliance bis hin zur Identifikation und Dokumentation von Datenschutzvorfällen, vieles davon ist KI-basiert.
Ein modulares Rechte- und Rollensystem ermöglicht zudem die Abbildung internationaler und hochkomplexer Unternehmensstrukturen. Unser Compliance-Dashboard ermöglicht ein übergreifendes Monitoring und Reporting und unterstützt durch die Aufgaben- und Kommentarfunktion auch die Zusammenarbeit aller Nutzer:innen. Ein automatisiertes und digitales DSMS ist langfristig für zukunftsorientierte Unternehmen der beste Weg, ein hohes Datenschutzniveau zu erreichen und effizient zu erhalten.
Artikelupdate vom 18.01.2022
Link kopieren