Wenn es um Datenschutzmanagementsysteme (DSMS) geht, herrscht oft Unklarheit darüber, was diese konkret beinhalten und bedeuten. Zunächst handelt es sich dabei um nichts anderes als die Gesamtheit aller datenschutzrechtlich relevanten Maßnahmen, die aus den gesetzlichen Vorgaben abgeleitet werden.

Darunter fallen insbesondere das Vorhalten und Pflegen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT), die Umsetzung und Dokumentation technischer und organisatorischer Maßnahmen (TOMs), ein ausreichendes Dienstleistermanagement, der korrekte Umgang mit Datenschutzvorfällen, die Datenschutz-Folgenabschätzung (DSFA) und die Wahrung von Betroffenenrechten.

Genaue Vorgaben für die Ausgestaltung oder Implementierung eines DSMS kennt die Datenschutz-Grundverordnung (DSGVO) allerdings nicht.

Aufbau und Struktur eines effizienten DSMS

Es bedarf eines DSMS vor allem, um der aus Art. 5 Abs. 2 DSGVO abgeleiteten Rechenschaftspflicht gerecht zu werden. Der oder die Verantwortliche ist danach für die Einhaltung der in Art. 5 Abs. 1 DSGVO festgelegten Grundsätze verantwortlich. Diese umfassen die gesetzlichen Ziele der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit der Daten, der Speicherbegrenzung sowie der Integrität und Vertraulichkeit.

Um Datenverarbeitung in Unternehmen also rechtskonform zu gestalten, bedarf es zur Umsetzung entsprechender Maßnahmen eines DSMS. Ein fehlerhaftes oder gar fehlendes DSMS erhöht mithin das Risiko von behördlichen Bußgeldern. Ein klares und vollständiges DSMS wird sogar als bußgeldmindernder Faktor berücksichtigt. Unter Umständen kann so dem Vorwurf des fahrlässigen Verstoßes gegen die DSGVO ganz entgegengetreten werden.

Der Aufbau eines DSMS kann sich gut am sogenannten PDCA-Zyklus orientieren. Der iterative vierphasige Prozess für Lernen und Verbesserung soll ermöglichen, das DSMS systematisch aufzubauen und kontinuierlich zu verbessern.

Der Zyklus teilt sich in die Schritte Plan, Do, Check und Act, was so grundsätzlich in den Verantwortlichkeiten des für die Verarbeitung Verantwortlichen in Art. 24 DSGVO abgebildet ist. Der beschriebene PDCA-Zyklus findet sich aufgrund der Eignung für ein DSMS auch im Standard-Datenschutzmodell der Datenschutzkonferenz (DSK) wieder.

a. Plan

In der Planungsphase sollte eine Auswahl aller relevanten Daten, IT-Systeme und Prozesse stattfinden, um datenschutzrechtskonforme Verarbeitungstätigkeiten sicherzustellen. Funktionale Anforderungen werden hier aus den gesetzlichen hergeleitet. Zudem sollte nach einer Schwellwertanalyse bei voraussichtlich hohem Risiko eine DSFA stattfinden.

b. Do

In der Realisierungsphase werden die Soll-Werte, sprich die empfohlenen Maßnahmen, aus der Planungsphase umgesetzt. Die Verarbeitungsfunktionen und die TOMs werden ebenso wie die Herstellung der Verfügbarkeit unter Berücksichtigung einer etwaigen DSFA implementiert.

c. Check

In der dritten Phase wird während des laufenden Betriebes geprüft und kontrolliert, inwieweit die Soll-Werte den Ist-Werten entsprechen. Die Prüfergebnisse werden hinsichtlich der Erfüllung rechtlicher Vorgaben und der Wirksamkeit der Maßnahmen beurteilt.

d. Act

Schließlich werden Defizite bei der Verarbeitung, bei Maßnahmen und Controlling nach Entscheidung des Verantwortlichen verbessert. Nach entsprechender Anweisung beginnt der Zyklus wieder in der Planungsphase.

2. Implementierung eines DSMS

Zur tatsächlichen Implementierung eines funktionierenden DSMS sind insbesondere klar definierte Prozesse, eindeutig gestaltete Verantwortlichkeiten und entsprechende Kontrollmaßnahmen notwendig.

a. Prozesse

Zu den wichtigsten Prozessen gehören unter anderem das Erstellen und Pflegen eines Verarbeitungsverzeichnisses (VVT). Dieses enthält den Großteil der für die Erfüllung der Rechenschaftspflicht erforderlichen Dokumentation.

Wichtig zur Wahrung von Betroffenenrechten ist die Bearbeitung von Betroffenenanfragen und die Etablierung eines Beschwerdemanagements. Auch der Umgang mit Datenschutzvorfällen und die Umsetzung des Beschäftigtendatenschutzes gehören zu den zu etablierenden Prozessen. Regelmäßige Schulungen von Mitarbeiter:innen sensibilisieren diese im Umgang mit personenbezogenen Daten und schärfen das Risikobewusstsein bezüglich des Umgangs mit und der Verletzung von datenschutzrechtlichen Vorschriften.

b. Verantwortlichkeiten

Zur effektiven Gestaltung von Prozessen gehört auch die eindeutige Festlegung von Verantwortlichkeiten. Auch auf Team- und Abteilungsebene muss dies klar definiert sein.

Unterstützend kann hier die Benennung sogenannter Datenschutzkoordinator:innen in den Teams und Abteilungen erfolgen. Dies ermöglicht die fachspezifische Einschätzung von Sachverhalten und anfallenden Themen mit Datenschutzbezug in enger Zusammenarbeit mit dem / der Datenschutzbeauftragten. Gerade in großen Unternehmen ist nur so eine adäquate Einschätzung der datenschutzrechtlichen Situation möglich.

c. Kontrollmaßnahmen

Durch wiederkehrende Prüfprozesse und interne Audits kann eine regelmäßige Compliance-Prüfung der festgelegten Prozesse und Verantwortlichkeiten sichergestellt werden. Wichtig ist hier insbesondere die turnusmäßige Kontrolle, um ein ausreichendes Datenschutzniveau auch dauerhaft zu gewährleisten.

Ermöglicht durch die beschriebenen Maßnahmen ist das langfristige und dauerhafte Ziel die ständige Qualitätsverbesserung des DSMS.

duedilligence dsms caralegal

3. Vorteile und Chancen eines automatisierten und digitalen DSMS

Immer noch setzen viele Unternehmen ihr DSMS manuell mit Hilfe von Textverarbeitungs- oder Tabellenkalkulationsprogrammen um. Allerdings beinhaltet dies oft Herausforderungen wie dezentrale Dokumentation, unklare Strukturen und nicht klar festgelegte Verantwortlichkeiten. Es fehlt die Single Source of Truth, sprich ein korrekter allgemeingültiger Datenbestand. Insbesondere im Change-Management kann dies massive Probleme verursachen. Nötig werdende Anpassungen sind umständlich, wenn unterschiedliche Dokumentationen wie das Verarbeitungsverzeichnis oder erforderliche DSFAs nur getrennt und dezentral zu finden sind. Gerade bei größeren Unternehmen kann dies zu unübersichtlichen und nur mit viel Arbeitsaufwand zu überwindenden Situationen führen.

Eine effizientere Lösung bietet hier ein digitales Datenschutzmanagement. Es bietet unter anderem die Möglichkeit automatisierter Prozesse sowie eine zentrale Steuerung dieser. Auch ist neben einer zentralen Speicherung eine intelligente Verwaltung aller datenschutzrechtlich relevanten Informationen möglich.

So kann zum Beispiel durch eine automatisierte Schwellwertanalyse eine Risikobewertung stattfinden, die sonst manuell hätte durchgeführt werden müssen. Durch die Synchronisierung der Daten ist zudem sichergestellt, dass bei jedem Zugriff ein aktueller Datensatz aufgerufen wird. All das führt zu einer geringeren Fehleranfälligkeit im DSMS und damit zum einfacheren Einhalten der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

a. Verknüpfung von DSMS-Elementen

Insbesondere die Verknüpfung der verschiedenen vorgestellten Elemente eines automatisierten DSMS bietet die Chance, den Arbeitsaufwand durch ein zentrales Tool zu verringern und die verschiedenen Workflows zu zentralisieren und weitestmöglich zusammenzulegen.

Die wichtigste Rolle spielt hier ebenfalls das VVT. Bei entsprechender Gestaltung bietet die Digitalisierung und Automatisierung eines solchen Tools die Möglichkeit eines zentralen Managements von Dienstleistern, datenschutzrelevanten Anwendungen, Betroffenen- und Behördenanfragen, Datenschutzvorfällen, DSFAs und TOM. Für ein digitales DSMS kann das VVT als Datenbasis dienen, um etwa DSFAs zu erstellen, die Datensätze der Dienstleister und Anwendungen zu pflegen oder die Prozesse für Betroffenen- und Behördenanfragen zu optimieren. Somit wird eine Verknüpfung einzelner DSMS-Bestandteile untereinander möglich.

b. caralegal

Um Unternehmen beim Datenschutzmanagement zu entlasten, ist caralegal von der ISiCO Datenschutz GmbH und Schürmann Rosenthal Dreyer Rechtsanwälte ausgegründet worden. Die IT-Anwendung unterstützt als KI-basierte Lösung Unternehmen bei der Umsetzung von datenschutzrechtlichen Vorgaben. Mittels der Übernahme immer größerer Teile des datenschutzrechtlichen Prüfungsaufwandes schafft es caralegal der sich regelmäßig ändernden Rechtslage im Bereich Datenschutz und IT jederzeit gerecht werden.

Durch ein Compliance Dashboard ist ein unternehmensübergreifendes Monitoring und Reporting des Datenschutzniveaus möglich. Ermöglicht wird so die kollaborative Zusammenarbeit aller Shareholder mit Aufgaben- und Kommentarfunktion. Eine klare Rechte- und Rollenverteilung mit einer auf Anwender:innen zugeschnittenen Oberfläche wird möglich. Das VVT ermöglicht die einfache Dokumentation von Verarbeitungen personenbezogener Daten durch einen intuitiven Workflow. Es ermöglicht daneben eine Risikominimierung durch die automatische Bestimmung der Erforderlichkeit einer DSFA mittels automatisierter Schwellwertbestimmung. Anschließend erfolgt die automatische Erstellung des gesetzlich erforderlichen Dokuments der DSFA durch die im gemeinsamen Workflow im VVT eingetragenen Daten. Durch das Dienstleistermanagement ist ein aktiver Support bei der Verwaltung der Auftragsverarbeiter jederzeit verknüpft möglich.

Die Anwendung ermöglicht eine übersichtliche Verwaltung der getroffenen TOM ebenso wie eine direkte Verknüpfung dieser an die DSFAs. Um das Bewusstsein von Mitarbeiter:innen für Datenschutz auch dauerhaft zu schärfen, ermöglicht caralegal einen Überblick über die absolvierten Schulungen.

Mit großen Kosten- und Zeitersparnissen bietet caralegal somit ein zuverlässiges Tool, um die Datenschutz-Compliance von Unternehmen nach der DSGVO sicherzustellen.

4. Fazit

Ein automatisiertes und digitales DSMS ist langfristig für zukunftsorientierte Unternehmen der wohl einzig gangbare Weg, um ein hohes Datenschutzniveau zu erreichen und effizient zu erhalten. Es folgt daraus ein reduzierter Zeitaufwand und eine Arbeitserleichterung für die Datenschutzkoordinator:innen und Datenschutzbeauftragten. Durch eine permanente Überprüfung der Datenschutzstandards und die Möglichkeit der flexiblen Anpassung der Einträge wird die Pflege des DSMS erleichtert.

Aufgrund der strengen gesetzlichen Vorgaben und der oft hochkomplexen Datenverarbeitung empfiehlt sich die Etablierung eines digitalen Datenschutzmanagementsystems unter Rückgriff auf eine Softwarelösung, die die nötigen Prozesse weitestmöglich automatisiert. So kann das zentralisierte und automatisierte DSMS auf Dauer alle wesentlichen Funktionalitäten zur Abbildung einer effizienten Datenschutzkonformität bieten.