DSMS – das sind die heißesten vier Buchstaben seit Inkrafttreten der DSGVO. Zumindest, wenn es nach uns Datenschutz-Fans geht. Doch was steckt hinter dem Begriff und wie bringt dich ein DSMS im Arbeitsalltag weiter? Wir geben aufschlussreiche As auf häufige Qs!

Datenschutz ist keine Selbstverständlichkeit. Tatsächlich handelt es sich um eine komplexe Angelegenheit, die juristisches Fingerspitzengefühl, Know-how und durchdachte Prozesse erfordert. Als Datenschutz­verantwortliche:r kannst du bestimmt ein Lied davon singen. Doch gerade auf den konkreten Plan solltest du beim Datenschutz­management nicht pfeifen. Und im Optimalfall gibt ein effizientes DSMS den Ton in deinem Unternehmen an.

Was ist ein Datenschutz­managementsystem?

Bitte nicht falsch verstehen: Ein Datenschutzmanagementsystem (DSMS) ist keine Software. Es handelt sich um ein Rahmenwerk für den Umgang mit datenschutzrechtlichen Aspekten in Unternehmen. Es geht unter anderem darum, technische und organisatorische Maßnahmen (TOM) auszugestalten, die den Schutz von personenbezogenen Daten gewährleisten. Dabei definiert ein DSMS nicht nur, wie du als Datenschutz­verantwortliche:r deine tägliche Arbeit ausführst, überprüfst und nachweist. Es geht genauso darum, wie alle Mitarbeiter:innen deines Unternehmens die Interessen und Rechte von Kund:innen, Lieferant:innen, von Kolleg:innen sowie anderen Beteiligten in Bezug auf deren Daten schützen.

Warum brauchst du ein DSMS?

Tatsächlich schreibt die europäische Datenschutz-Grundverordnung (DSGVO) ein DSMS nicht zwingend vor. Dass du einen datenschutzrechtlichen Rahmen brauchst, lässt sich allerdings aus der gesetzlichen Rechenschaftspflicht für Unternehmen sowie der Umsetzungspflicht von Maßnahmen ableiten. Hierzu zählen beispielsweise geeignete TOM und ein Verzeichnis der Verarbeitungstätigkeiten (VVT). Die DSGVO berücksichtigt ein effektives DSMS zudem als bußgeld­minderndes Merkmal. In Abwägungsfällen kann es DSGVO-Verstößen sogar vollständig entgegenstehen. Du fährst mit einem durchdachten DSMS also in sichereren Gewässern als ohne.

Ein Datenschutzmanagement­system definiert alle datenschutzrechtlich relevanten Aspekte in deinem Unternehmen. Es dreht sich um rechtliche und sicherheitstechnische Punkte bezüglich der Datenverarbeitung, der Bestimmungen von Zuständigkeiten, Arbeitsabläufen und Verhaltensweisen. Ein effizientes und umfassendes Datenschutzmanagement ist essenziell für dich, um gesetzeskonform zu arbeiten. Mit einem DSMS entwirfst du dazu einen ganz konkreten Plan. Es ist das individuelle How-to für Datenschutz in deinem Unternehmen: ein wichtiges Rahmenwerk, dass dir langfristig hilft, ein angemessenes Datenschutzniveau sicherzustellen. Nicht zuletzt sorgt ein DSMS für Transparenz und fördert die datenschutzbezogene Zusammenarbeit im ganzen Unternehmen.

Ein DSMS ist das Fundament, um Datenschutzvorgaben auf allen Ebenen und dauerhaft einzuhalten. Es ist allerdings keine einmalige Angelegenheit. Vielmehr gilt es, Vorgaben und Prozesse regelmäßig zu kontrollieren und anzupassen.

Was muss ein DSMS beinhalten?

Ein Datenschutzmanagement­system muss alle wichtigen Anforderungen der relevanten Datenschutzgesetze abbilden können. Es geht um Real Talk in puncto DSGVO. Zu klären sind beispielsweise folgende Fragen:

Die DSGVO gibt nicht explizit vor, wie ein DSMS auszusehen hat. Deshalb ziehen Datenschutzspezialist:innen moderne Standards zu Hilfe. Hierzu zählen etwa die Normen ISO 9001 für Qualitäts­managementsysteme, ISO/IEC 27001 für Informationssicherheit und Managementsysteme sowie die darauf aufbauende ISO/IEC 27701 speziell für datenschutz­rechtliche Aspekte. Das sind jetzt viele komplizierte Bezeichnungen. Doch keine Scheu: Die Normen bieten wertvollen Input. Mach dir mal einen Tee und setz dich in Ruhe mit den Leitlinien und Gesetzestexten auseinander. Du bekommst so einen großartigen Überblick, worum es im Datenschutzmanagement geht.

Wie ein DSGVO-konformes DSMS nun ganz praktisch aussieht, lässt sich nicht pauschal beantworten. Das steht dir tatsächlich offen. Die Gesetze und die Normen geben bislang keine Best-Practise-Beispiele vor. Für Datenschutzverantwortliche gilt deshalb: Selbst ist der Mann bzw. die Frau – und genau hier fängt deine Datenschutz-Journey an.
Übrigens: Dein Engagement im Datenschutz kannst du für dein Unternehmen demnächst zertifizieren lassen. Die Deutsche Akkreditierungsstelle (DAkkS) hat diesbezüglich ein neues Akkreditierungsverfahren vorgestellt. Im Rahmen des „Projekts Datenschutz“ reichen aktuell erste Prüfdienstleister Zertifizierungsprogramme ein, die du buchen kannst, sobald sie genehmigt wurden. Mehr dazu liest du hier.

PDCA-Zyklus – der iterative Datenschutz-Kreisel?

Eine bewährte Methode, um ein DSMS zu entwickeln und zu pflegen, ist der sogenannte PDCA-Zyklus. Das ist ein agiles Vorgehensmodell für Managementsysteme. Warum heißt es Zyklus? Weil es neben der Implementation eines DSMS dazu dient, Prüfschleifen zu schaffen, mit denen du dein DSMS langfristig up to date hältst. Es ist ein Kreislauf, der immer wieder von vorne beginnt und sich in vier Phasen gliedert:

  • Plan: In der Planungsphase stellst du den aktuellen Ist-Zustand fest und steckst rechtliche Anforderungen sowie neue Ziele ab.
  • Do: Daraufhin erfolgt die Umsetzung von Maßnahmen, indem du beispielsweise ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellst oder Mitarbeiter:innen schulst.
  • Check: In dieser Phase kontrolliert du, inwiefern deine Datenschutzaktivitäten erfolgreich sind und dein DSMS den Zielen entspricht.
  • Act: In dieser Phase drehst du an den Stellschrauben, beseitigst Fehler und justierst nach. Dann geht es wieder von vorne los.

Obwohl der PDCA-Zyklus namentlich nicht in der DSGVO genannt wird, erkennen geübte DSGVO-Leser:innen die Systematik an vielen Stellen wieder: So spricht Artikel 38 Abs. 2 von der Planung des Ressourcenbedarfs (“Plan”) oder Art. 32 Abs. 1d von der Überprüfung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen (“Check”).

4 Learnings für deine Datenschutz-Praxis

Unsere Erfahrung zeigt: Wer das Thema Datenschutz motiviert angeht, kommt schnell zu guten Ergebnissen. Dazu haben wir noch vier wichtige Praxistipps für dich:

  1. Verstehe Datenschutz als Teamsache: Du kämpfst als Datenschutzverantwortliche:r nicht allein auf einer einsamen Insel ums Überleben. Je mehr Kolleg:innen du einbeziehst und je mehr Mitarbeiter:innen aktiv am Datenschutz in eurem Unternehmen teilhaben, desto besser.
  2. Mach nicht alles auf einmal: Ein DSMS aufzusetzen und zu pflegen, ist viel Arbeit. Gehe deshalb iterativ vor und löse Aufgaben step by step. So verzettelst du dich nicht.
    Integriere den PDCA-Zyklus in die echten Wertschöpfungsketten deines Unternehmens:
  3. Berücksichtige datenschutzrechtliche Aspekte beispielsweise schon zu Beginn des Produktlebenszyklus in der Discovery-Phase. Damit hast du datenschutztechnisch von Anfang an alles im Blick.
  4. Verstehe Datenschutzmanagement nicht als starren Workflow: Es geht nicht darum, blind auf Input, Feedback und Freigaben von Abteilungen und Kolleg:innen zu warten. Entwickelt gemeinsam Lösungen und Prozesse und schafft reibungslose Abläufe. Eine DSMS-Software ist dafür das ideale Tool.

Nicht ohne dein Tool: Warum du eine Software zum DSMS brauchst

Normen, PDCA, Prüfschleifen – das alles mag jetzt etwas abstrakt klingen. Du wirst jedoch merken, dass es dir leichtfallen wird, ein DSMS zu erstellen und zu pflegen. Auf alle Fälle empfehlen wir dir bei deiner Arbeit Folgendes: Nutze ein Tool. Eine Datenschutz­management-Software wie caralegal hilft dir dabei, ein DSMS kinderleicht aufzusetzen und dein Rahmenwerk in der Praxis zu umzusetzen.