Risikoklassifizierung von KI-Anwendungsfällen - AI Act Best Practices
Zum Webinar anmelden

FAQ: Warum du dein DSMS auswendig kennen solltest

von Dennis Kurpierz, Co-Founder & COO
21. März 2022
8 Minuten
DSMS – das sind die heißesten vier Buchstaben seit Inkrafttreten der DSGVO. Zumindest, wenn es nach uns Datenschutz-Fans geht. Doch was steckt hinter dem Begriff und wie bringt dich ein DSMS im Arbeitsalltag weiter? Wir geben aufschlussreiche As auf häufige Qs!
Datenschutz ist keine Selbstverständlichkeit. Tatsächlich handelt es sich um eine komplexe Angelegenheit, die juristisches Fingerspitzengefühl, Know-how und durchdachte Prozesse erfordert. Als Datenschutz­verantwortliche:r kannst du bestimmt ein Lied davon singen. Doch gerade auf den konkreten Plan solltest du beim Datenschutz­management nicht pfeifen. Und im Optimalfall gibt ein effizientes DSMS den Ton in deinem Unternehmen an.

Was ist ein Datenschutz­managementsystem?

Bitte nicht falsch verstehen: Ein Datenschutzmanagementsystem (DSMS) ist keine Software. Es handelt sich um ein Rahmenwerk für den Umgang mit datenschutzrechtlichen Aspekten in Unternehmen. Es geht unter anderem darum, technische und organisatorische Maßnahmen (TOM) auszugestalten, die den Schutz von personenbezogenen Daten gewährleisten.

Dabei definiert ein DSMS nicht nur, wie du als Datenschutz­verantwortliche:r deine tägliche Arbeit ausführst, überprüfst und nachweist. Es geht genauso darum, wie alle Mitarbeiter:innen deines Unternehmens die Interessen und Rechte von Kund:innen, Lieferant:innen, von Kolleg:innen sowie anderen Beteiligten in Bezug auf deren Daten schützen.
Datenschutz-Reifegrad in 4 Schritten ermitteln: Jetzt Checkliste herunterladen

Warum brauchst du ein DSMS?

Tatsächlich schreibt die europäische Datenschutz-Grundverordnung (DSGVO) ein DSMS nicht zwingend vor. Dass du einen datenschutzrechtlichen Rahmen brauchst, lässt sich allerdings aus der gesetzlichen Rechenschaftspflicht für Unternehmen sowie der Umsetzungspflicht von Maßnahmen ableiten.

Hierzu zählen beispielsweise geeignete TOM und ein Verzeichnis der Verarbeitungstätigkeiten (VVT). Die DSGVO berücksichtigt ein effektives DSMS zudem als bußgeld­minderndes Merkmal. In Abwägungsfällen kann es DSGVO-Verstößen sogar vollständig entgegenstehen. Du fährst mit einem durchdachten DSMS also in sichereren Gewässern als ohne.

Ein Datenschutzmanagement­system definiert alle datenschutzrechtlich relevanten Aspekte in deinem Unternehmen. Es dreht sich um rechtliche und sicherheitstechnische Punkte bezüglich der Datenverarbeitung, der Bestimmungen von Zuständigkeiten, Arbeitsabläufen und Verhaltensweisen.

Ein effizientes und umfassendes Datenschutzmanagement ist essenziell für dich, um gesetzeskonform zu arbeiten. Mit einem DSMS entwirfst du dazu einen ganz konkreten Plan. Es ist das individuelle How-to für Datenschutz in deinem Unternehmen: ein wichtiges Rahmenwerk, dass dir langfristig hilft, ein angemessenes Datenschutzniveau sicherzustellen. Nicht zuletzt sorgt ein DSMS für Transparenz und fördert die datenschutzbezogene Zusammenarbeit im ganzen Unternehmen.

„Ein DSMS ist das Fundament, um Datenschutzvorgaben auf allen Ebenen und dauerhaft einzuhalten. Es ist allerdings keine einmalige Angelegenheit. Vielmehr gilt es, Vorgaben und Prozesse regelmäßig zu kontrollieren und anzupassen.“

Was muss ein DSMS beinhalten?

Ein Datenschutzmanagement­system muss alle wichtigen Anforderungen der relevanten Datenschutzgesetze abbilden können. Es geht um Real Talk in puncto DSGVO. Zu klären sind beispielsweise folgende Fragen:

Wie dokumentierst du Datenschutzprozesse?

Wie gehst du mit Betroffenen- oder Behördenanfragen um?

Was passiert bei Verstößen gegen den Datenschutz?

Wie würde eine Datenschutz-Folgenabschätzung (DSFA) erfolgen?

Die DSGVO gibt nicht explizit vor, wie ein DSMS auszusehen hat. Deshalb ziehen Datenschutzspezialist:innen moderne Standards zu Hilfe. Hierzu zählen etwa die Normen ISO 9001 für Qualitäts­managementsysteme, ISO/IEC 27001 für Informationssicherheit und Managementsysteme sowie die darauf aufbauende ISO/IEC 27701 speziell für datenschutz­rechtliche Aspekte. Das sind jetzt viele komplizierte Bezeichnungen. Doch keine Scheu: Die Normen bieten wertvollen Input. Mach dir mal einen Tee und setz dich in Ruhe mit den Leitlinien und Gesetzestexten auseinander. Du bekommst so einen großartigen Überblick, worum es im Datenschutzmanagement geht.

Wie ein DSGVO-konformes DSMS nun ganz praktisch aussieht, lässt sich nicht pauschal beantworten. Das steht dir tatsächlich offen. Die Gesetze und die Normen geben bislang keine Best-Practise-Beispiele vor. Für Datenschutzverantwortliche gilt deshalb: Selbst ist der Mann bzw. die Frau – und genau hier fängt deine Datenschutz-Journey an.

Übrigens: Dein Engagement im Datenschutz kannst du für dein Unternehmen demnächst zertifizieren lassen. Die Deutsche Akkreditierungsstelle (DAkkS) hat diesbezüglich ein neues Akkreditierungsverfahren vorgestellt. Im Rahmen des „Projekts Datenschutz“ reichen aktuell erste Prüfdienstleister Zertifizierungsprogramme ein, die du buchen kannst, sobald sie genehmigt wurden. Mehr dazu liest du hier.

Was sind die wichtigsten Funktionen eines DSMS?

Das DSMS stellt sicher, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Einmal indem es die gesamte Datenschutz-Dokumentation enthält:

VVT

Dienstleistermanagement

Dokumentation technischer und/oder organisatorischer Maßnahmen

Datenschutz-Folgenabschätzung (DSFA)

Zudem enthält es konkrete Prozesse für den Umgang mit Betroffenenanfragen, Datenschutzvorfällen und Behördenanfragen sowie Löschkonzepte. Die wohl wichtigste Funktion, die ein DSMS besonders attraktiv macht, ist seine Monitoring-Funktion. Denn nur mithilfe eines DSMS wird die Einhaltung der datenschutzrechtlichen Vorgaben kontinuierlich überprüft und dadurch lückenlose Datenschutzkonformität hergestellt.

PDCA-Zyklus – der iterative Datenschutz-Kreisel?

Eine bewährte Methode, um ein DSMS zu entwickeln und zu pflegen, ist der sogenannte PDCA-Zyklus. Das ist ein agiles Vorgehensmodell für Managementsysteme. Warum heißt es Zyklus? Weil es neben der Implementation eines DSMS dazu dient, Prüfschleifen zu schaffen, mit denen du dein DSMS langfristig up to date hältst. Es ist ein Kreislauf und sich in vier Phasen gliedert (Der PDCA-Zyklus ist auch im Standard-Datenschutzmodell zu finden). Diese Phasen sollten iterativ wiederholt werden, um das DSMS aktuell zu halten und kontinuierlich zu verbessern:

1. Plan – Planung, Spezifikation

Innerhalb des ersten Zyklus – für die initiale Erstellung eines DSMS – muss zunächst der IST-Zustand festgestellt werden, d.h. die vorhandenen Datenschutzorganisation und -dokumentation erfasst werden. Zudem sollten die Anforderungen an das DSMS formuliert werden. Hierfür ist es sinnvoll, sich einen Überblick über die datenschutzrechtlichen Aufgaben innerhalb des Unternehmens zu verschaffen. Die Aufgaben ergeben sich direkt aus den Anforderungen, die die DSGVO stellt. Sie gilt für alle Verarbeitungsvorgänge personenbezogener Daten, d.h. jede Erhebung, Nutzung, Archivierung oder auch Löschung, erfordert für jede dieser Datenverarbeitungen eine Rechtsgrundlage. Darüber hinaus müssen die datenschutzrechtlichen Grundsätze und Verpflichtungen der DSGVO umgesetzt werden. Zu den wesentlichen Grundsätzen gehören etwa:

Transparenz

Zweckbindung

Datenminimierung

Richtigkeit

Speicherbegrenzung

Integrität und Vertraulichkeit

Rechenschaftspflicht

Wesentliche Pflichten sind die Erstellung eines VVTs, die Durchführung einer DSFA (sofern in Einzelfall erforderlich), Privacy by Design und Privacy by Default, sowie die Gewährleistung der Sicherheit der Verarbeitung.

Diese Anforderungen stellen die Inhalte des DSMS dar. So enthält beispielsweise Angaben dazu wie Datenminimierung sichergestellt wird, Vorgaben zum VVT oder zum Umgang mit Auftragsverarbeitern. Hierfür sollten konkrete Prozesse, Verantwortlichkeiten und Kontrollmaßnahmen definiert werden.

2. Do – Implementierung, Protokollierung

In der Realisierungsphase werden die neuen Vorgaben umgesetzt. Das heißt etwa das VVT angelegt, TOMs umgesetzt oder eine etwaige DSFA durchgeführt. Das DSMS ist nun “Live gegangen” und durchläuft nun weiter den PDCA-Zyklus.

3. Check – Kontrolle, Prüfung, Beurteilung

Es wird während des laufenden Betriebes geprüft und kontrolliert, inwieweit die Soll-Werte den Ist-Werten entsprechen. Sofern eine Abweichung festgestellt wird, wird geprüft, ob dadurch datenschutzrechtliche Vorgaben verletzt werden und es wird geschaut, inwieweit die Vorgaben ggf. wirksamer erfüllt werden können.

4. Act – Verbesserung

Schließlich werden die Defizite bei der Verarbeitung, bei Maßnahmen und Controlling nach Entscheidung des Verantwortlichen verbessert. Nach entsprechender Anweisung beginnt der Zyklus wieder in der Planungsphase.
Obwohl der PDCA-Zyklus namentlich nicht in der DSGVO genannt wird, erkennen geübte DSGVO-Leser:innen die Systematik an vielen Stellen wieder: So spricht Artikel 38 Abs. 2 von der Planung des Ressourcenbedarfs (“Plan”) oder Art. 32 Abs. 1d von der Überprüfung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen (“Check”).

4 Learnings für deine Datenschutz-Praxis

Unsere Erfahrung zeigt: Wer das Thema Datenschutz motiviert angeht, kommt schnell zu guten Ergebnissen. Dazu haben wir noch vier wichtige Praxistipps für dich:

Verstehe Datenschutz als Teamsache:
Du kämpfst als Datenschutz­verantwortliche:r nicht allein auf einer einsamen Insel ums Überleben. Je mehr Kolleg:innen du einbeziehst und je mehr Mitarbeiter:innen aktiv am Datenschutz in eurem Unternehmen teilhaben, desto besser.

Mach nicht alles auf einmal:
Ein DSMS aufzusetzen und zu pflegen, ist viel Arbeit. Gehe deshalb iterativ vor und löse Aufgaben step by step. So verzettelst du dich nicht. Integriere den PDCA-Zyklus in die echten Wertschöpfungsketten deines Unternehmens:

Berücksichtige datenschutzrechtliche Aspekte beispielsweise schon zu Beginn des Produktlebenszyklus in der Discovery-Phase. Damit hast du datenschutztechnisch von Anfang an alles im Blick.

Verstehe Datenschutzmanagement nicht als starren Workflow:
Es geht nicht darum, blind auf Input, Feedback und Freigaben von Abteilungen und Kolleg:innen zu warten. Entwickelt gemeinsam Lösungen und Prozesse und schafft reibungslose Abläufe. Eine DSMS-Software wie caralegal ist dafür das ideale Tool.

Nicht ohne dein Tool: Warum du eine Software zum DSMS brauchst

Normen, PDCA, Prüfschleifen – das alles mag jetzt etwas abstrakt klingen. Du wirst jedoch merken, dass es dir leichtfallen wird, ein DSMS zu erstellen und zu pflegen. Auf alle Fälle empfehlen wir dir bei deiner Arbeit Folgendes: Nutze ein Tool. Eine Datenschutz­management-Software wie caralegal hilft dir dabei, ein DSMS kinderleicht aufzusetzen und dein Rahmenwerk in der Praxis zu umzusetzen.

Zentrales Element ist hierbei die einfache und anwenderorientierte Datenschutz-Dokumentation. Unsere Kund:innen werden von der Software bei deren Datenschutz-Dokumentation unterstützt, das reicht von einer automatischer Schwellwertanalyse zur Risikobewertung, über detaillierte Ermittlungen der Datenschutz-Compliance bis hin zur Identifikation und Dokumentation von Datenschutzvorfällen, vieles davon ist KI-basiert.

Ein modulares Rechte- und Rollensystem ermöglicht zudem die Abbildung internationaler und hochkomplexer Unternehmensstrukturen. Unser Compliance-Dashboard ermöglicht ein übergreifendes Monitoring und Reporting und unterstützt durch die Aufgaben- und Kommentarfunktion auch die Zusammenarbeit aller Nutzer:innen. Ein automatisiertes und digitales DSMS ist langfristig für zukunftsorientierte Unternehmen der beste Weg, ein hohes Datenschutzniveau zu erreichen und effizient zu erhalten.
Auf dieser Seite
Primary Item (H2)

Über den Autor

Dennis Kurpierz
Co-Founder & COO von caralegal
Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Betroffenenanfragen – der Erfolgsguide
Mehr erfahren
7 SDM-Gewährleistungsziele
Mehr erfahren
Auf einen Blick: Schwellwertanalyse
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum