Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

Automatisiertes Datenschutzmanagement – Die wichtigsten Features eines DSMS

von Dennis Kurpierz, Co-Founder & COO
19. Januar 2022
 | 

Nur mithilfe eines funktionierendes Datenschutzmanagement-Systems (DSMS) können Unternehmen die Einhaltung des Datenschutzes für das gesamte Unternehmen sicherstellen. Die wichtigsten Fragen im Rahmen der praktischen Umsetzung haben wir im nachfolgenden FAQ zusammengestellt.

Wie wird ein DSMS erstellt?

Genaue Vorgaben für die Ausgestaltung und Implementierung eines DSMS macht die DSGVO nicht. Für die konkrete Umsetzung kann es hilfreich sein sich am sogenannten PDCA-Zyklus zu orientieren. Dabei handelt es sich um einen bewährten Prozess, der auch in anderen Bereichen des Datenschutzmanagements von den Aufsichtsbehörden vorgeschlagen wird (Er ist auch im Standard-Datenschutzmodell zu finden). Der PDCA-Zyklus ist in die Phasen Plan, Do, Check und Act unterteilt. Diese Phasen sollten iterativ wiederholt werden, um das DSMS aktuell zu halten und kontinuierlich zu verbessern.

1. Plan – Planung, Spezifikation

Innerhalb des ersten Zyklus – für die initiale Erstellung eines DSMS – muss zunächst der IST-Zustand festgestellt werden, d.h. die vorhandenen Datenschutzorganisation und -dokumentation erfasst werden. Zudem sollten die Anforderungen an das DSMS formuliert werden. Hierfür ist es sinnvoll, sich einen Überblick über die datenschutzrechtlichen Aufgaben innerhalb des Unternehmens zu verschaffen. Die Aufgaben ergeben sich direkt aus den Anforderungen, die die DSGVO stellt. Sie gilt für alle Verarbeitungsvorgänge personenbezogener Daten, d.h. jede Erhebung, Nutzung, Archivierung oder auch Löschung, erfordert für jede dieser Datenverarbeitungen eine Rechtsgrundlage. Darüber hinaus müssen die datenschutzrechtlichen Grundsätze und Verpflichtungen der DSGVO umgesetzt werden. Zu den wesentlichen Grundsätzen gehören etwa:

Transparenz

Zweckbindung

Datenminimierung

Richtigkeit

Speicherbegrenzung

Integrität und Vertraulichkeit

Rechenschaftspflicht


Wesentliche Pflichten sind die Erstellung eines VVTs, die Durchführung einer DSFA (sofern in Einzelfall erforderlich), Privacy by Design und Privacy by Default, sowie die Gewährleistung der Sicherheit der Verarbeitung.

Diese Anforderungen stellen die Inhalte des DSMS dar. So enthält beispielsweise Angaben dazu wie Datenminimierung sichergestellt wird, Vorgaben zum VVT oder zum Umgang mit Auftragsverarbeitern. Hierfür sollten konkrete Prozesse, Verantwortlichkeiten und Kontrollmaßnahmen definiert werden.

2. Do – Implementierung, Protokollierung

In der Realisierungsphase werden die neuen Vorgaben umgesetzt. Das heißt etwa das VVT angelegt, TOMs umgesetzt oder eine etwaige DSFA durchgeführt. Das DSMS ist nun “Live gegangen” und durchläuft nun weiter den PDCA-Zyklus.

3. Check – Kontrolle, Prüfung, Beurteilung

Es wird während des laufenden Betriebes geprüft und kontrolliert, inwieweit die Soll-Werte den Ist-Werten entsprechen. Sofern eine Abweichung festgestellt wird, wird geprüft, ob dadurch datenschutzrechtliche Vorgaben verletzt werden und es wird geschaut, inwieweit die Vorgaben ggf. wirksamer erfüllt werden können.

4. Act – Verbesserung

Schließlich werden die Defizite bei der Verarbeitung, bei Maßnahmen und Controlling nach Entscheidung des Verantwortlichen verbessert. Nach entsprechender Anweisung beginnt der Zyklus wieder in der Planungsphase.

Wie wird ein DSMS aktuell gehalten?

Um das DSMS aktuell zu halten, muss einfach der PDCA-Zyklus iterativ durchlaufen werden. In der Phase 1 (Plan) liegt der Fokus nun darauf zu prüfen, ob Anpassung am DSMS vorgenommen werden sollten. Hierfür werden bereits erfolgte Datenschutzverstöße analysiert, aber auch Risiken für künftige Datenschutzverstöße ermittelt und bewertet werden. 

Bei einem hohen Risiko sollte noch vor einem Verstoß damit begonnen werden, die gewonnen Ergebnisse zu nutzen und Verbesserungsmaßnahmen zu implementieren. Sodann werden ganz normal die weiteren Phasen: Do, Check und Act durchlaufen.

Was sind die wichtigsten Funktionen eines DSMS?

Das DSMS stellt sicher, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Einmal indem es die gesamte Datenschutz-Dokumentation enthält:

VVT

Dienstleistermanagement

Dokumentation technischer und/oder organisatorischer Maßnahmen

Datenschutz-Folgenabschätzung (DSFA)

Zudem enthält es konkrete Prozesse für den Umgang mit Betroffenenanfragen, Datenschutzvorfällen und Behördenanfragen sowie Löschkonzepte. Die wohl wichtigste Funktion, die ein DSMS besonders attraktiv macht, ist seine Monitoring-Funktion. Denn nur mithilfe eines DSMS wird die Einhaltung der datenschutzrechtlichen Vorgaben kontinuierlich überprüft und dadurch lückenlose Datenschutzkonformität hergestellt.

Wieso ist ein DSMS auch für den Erfolg von Unternehmen (mit)verantwortlich?

Ein DSMS sorgt für effiziente Prozesse und gute Zusammenarbeit im Team. Durch eindeutige Verantwortlichkeiten, Prozesse und eine einheitliche Dokumentation können die Vorgaben der DSGVO zeitsparend erfüllt werden. Ein funktionierendes DSMS ist auch ein Aushängeschild gegenüber der Kundschaft. Denn es zeigt, dass das Unternehmen die Anforderungen der DSGVO ernst nimmt und vertrauensvoll und gewissenhaft mit den Daten seiner Kundschaft umgeht. 

Dazu gehört etwa, dass Betroffenenanfragen rechtzeitig und vollständig bearbeitet und Datenschutzverstöße sorgfältig geprüft und ggf. gemeldet werden. Außerdem sorgt es auch im Umgang mit den Aufsichtsbehörden für eine gute, vertrauensvolle Zusammenarbeit, eingeleitete Verfahren können schnell und vollständig beantwortet werden. Zuletzt ist bei einem funktionierenden DSMS unwahrscheinlich, dass es zu Verstößen gegen die DSGVO kommt. Damit wird auch das Risiko von behördlichen Bußgeldern minimiert.

Was hat caralegal damit zu tun?

Unsere Software bietet eine digitale und automatisierte Unterstützung für dein DSMS. Zentrales Element ist hierbei die einfache und anwenderorientierte Datenschutz-Dokumentation. Unsere Kund:innen werden von der Software bei deren Datenschutz-Dokumentation unterstützt, das reicht von einer automatischer Schwellwertanalyse zur Risikobewertung, über detaillierte Ermittlungen der Datenschutz-Compliance bis hin zur Identifikation und Dokumentation von Datenschutzvorfällen, vieles davon ist KI-basiert. 

Ein modulares Rechte- und Rollensystem ermöglicht zudem die Abbildung internationaler und hochkomplexer Unternehmensstrukturen. Unser Compliance-Dashboard ermöglicht ein übergreifendes Monitoring und Reporting und unterstützt durch die Aufgaben- und Kommentarfunktion auch die Zusammenarbeit aller Nutzer:innen. Ein automatisiertes und digitales DSMS ist langfristig für zukunftsorientierte Unternehmen der beste Weg, ein hohes Datenschutzniveau zu erreichen und effizient zu erhalten.

Artikelupdate vom 18.01.2022

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Die 7 Gewährleistungsziele des SDM helfen dabei, effektiven Datenschutz zu betreiben.

7 SDM-Gewährleistungsziele

Mehr erfahren
Schwellwertanalyse: Symbolbild aus dem Datenschutzrecht

Auf einen Blick: Schwellwertanalyse

Mehr erfahren
Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren