15.07.2021

Aufbau und Struktur eines effizienten DSMS

Unternehmen sollten auf ein umfassendes Datenschutzmanagementsystem (DSMS) setzen, um die Übersicht im Datenschutz zu behalten und keine Rechtsverstöße mit Bußgeldern zu riskieren. Wir zeigen Ihnen in diesem Beitrag, worauf es dabei ankommt.

Datensicherheit und Datenschutz im Unternehmen angemessen umzusetzen, ist eine komplexe Aufgabe. Aufgrund der vielen Datenverarbeitungen, die tagtäglich an unterschiedlichen Stellen vorgenommen werden, und den ebenso zahlreichen rechtlichen Regelungen, die dafür beachtet werden müssen, lässt sich schnell der Überblick verlieren. Unternehmen sollten daher auf ein umfassendes Datenschutzmanagementsystem (DSMS) setzen, um die Übersicht zu behalten und keine Rechtsverstöße mit Bußgeldern zu riskieren. Wir zeigen Ihnen in diesem Beitrag, worauf es dabei ankommt.

DSMS – ein kurzer Einstieg

Mit einem DSMS können alle datenschutzrechtlichen Anforderungen zentral verwaltet und erledigt werden. Dazu werden Prozesse festgelegt, Verantwortlichkeiten bestimmt und Kontrollmaßnahmen eingeführt. Zu den Prozessabläufen gehört es vor allem, ein Verzeichnis der Verarbeitungstätigkeiten (VVT) zu führen, Betroffenenanfragen, Beschwerden sowie Datenschutzvorfälle zu bearbeiten und regelmäßige Schulungen für Mitarbeitende durchzuführen. Bezüglich der Verantwortlichkeiten ist es wichtig, die unterschiedlichen Verantwortlichkeiten auf Team- oder Abteilungsebene klar voneinander zu trennen und Datenschutzkoordinator:innen zu benennen. Darüber hinaus sollte stets eng mit der für Datenschutz beauftragten Person zusammengearbeitet werden. Zur Kontrolle sind regelmäßige Prüfprozesse und interne Audits empfehlenswert.

Aufbau eines DSMS

Um eine sinnvolle Struktur für das DSMS festlegen zu können, sollte sich zunächst ein Überblick über die datenschutzrechtlichen Aufgaben für Unternehmen verschafft werden. Jede Erhebung, Nutzung, Archivierung oder auch Löschung personenbezogener Daten stellt einen Verarbeitungsvorgang dar, bei dem die Datenschutz-Grundverordnung (DSGVO) beachtet werden muss. Neben der Festlegung von Verantwortlichkeiten, Rechtsgrundlagen oder der Dokumentation gibt es Anforderungen wie die Umsetzung der datenschutzrechtlichen Grundsätze, von Privacy by Design und Privacy by Default, besondere Regelungen für die Datenübermittlung in Drittstaaten, für Auftragsverarbeitungen und weitere Konstellationen. Daraus ergibt sich eine Vielzahl übergeordneter Ziele, die mit einem DSMS erreicht werden sollten und anhand derer das DSMS strukturiert werden kann. Zu diesen zählen insbesondere:

  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität & Vertraulichkeit
  • Rechenschaftspflicht

Das Datenschutzmanagement im Unternehmen kann aufgrund der vielen Anforderungen aus dem Datenschutz für die zuständigen Mitarbeiterinnen und Mitarbeiter sehr zeitaufwändig und mühsam werden. Verschiedene Aufgaben mit verschiedenen Fristen, verteilte und unterschiedlich aufgebaute Dokumente sind zudem sehr fehleranfällig. Umso wichtiger ist ein durchdachtes DSMS.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 6 plus 7.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Welche Inhalte zu einem vollständigen DSMS gehören

Ein wichtiger Bestandteil des DSMS ist das VVT. Es enthält alle Dokumentationen, die für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO notwendig sind. Des Weiteren wird es als Grundlage für die Monitoring-Prozesse genommen, die nach Art. 32 DSGVO verpflichtend sind. Es enthält zudem Angaben über das Löschkonzept, das Dienstleistermanagement, zur Dokumentation technischer und/oder organisatorischer Maßnahmen, zur Datensicherheit und Datenschutz-Folgenabschätzung (DSFA). Weitere Punkte, die in das DSMS mit aufgenommen werden sollten, sind Prozesse für Betroffenenrechte, Datenschutzvorfälle und Behördenanfragen sowie Schulungen für Mitarbeitende.

Der Umgang mit Betroffenenrechten ist ein weiterer zentraler Inhalt eines DSMS. Hier kommt es vor allem darauf an, diese Rechte in der rechtlich vorgeschriebenen Form zu gewährleisten. Dazu gehört, betroffene Personen in verständlicher Sprache über die Verarbeitung ihrer personenbezogenen Daten zu informieren und welche Rechte ihnen konkret zustehen, beispielsweise auf Auskunft oder Datenlöschung. Um Anfragen vollständig und fristgerecht zu beantworten, müssen Unternehmen ein effektives System einrichten, zu dem unter anderem Verantwortliche und Ansprechpartner, passende Tools zur Beantwortung oder Weiterleitung der Anfragen sowie Lösch- und Fristensysteme gehören.

Schließlich ist es entscheidend, richtig auf Datenschutzverstöße zu reagieren. Nach der DSGVO müssen solche spätestens innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden, bei einem besonders hohen Risiko auch den betroffenen Personen. Zu einem vollständigen DSMS gehören daher auch Prozesse zum Umgang mit Datenschutzverstößen und Meldepflichten. Mitarbeitende müssen wissen, in welcher Konstellation ein Datenschutzverstoß vorliegen kann und wie daraufhin die Meldung erfolgen muss.

Insgesamt sollte hier nicht einmalig eine Liste erstellt werden, sondern ist eine regelmäßige Überprüfung und Aktualisierung entscheidend, um ein funktionierendes DSMS sicherzustellen und außerdem der datenschutzrechtlichen Rechenschaftspflicht nachzukommen.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Der PDCA-Zyklus

Für die Umsetzung ist es empfehlenswert, einen vierphasigen PDCA-Zyklus (Plan Do Check Act) zu implementieren, der sich sehr gut für ein DSMS eignet und daher auch im Standarddatenschutzmodell zu finden ist. Er besteht aus vier Phasen, die sich zum stetigen Lernen und Verbessern wiederholen. Im ersten Schritt sollte sich zunächst ein Überblick über alle Prozesse verschafft werden, in denen personenbezogene Daten verarbeitet werden. Anschließend wird die Einhaltung der datenschutzrechtlichen Vorgaben einer Überprüfung unterzogen. Dabei sollten nicht nur einzelne, bereits erfolgte Datenschutzverstöße erfasst werden, sondern nach einem risikobasierten Ansatz gilt es, die jeweiligen Prozesse im Unternehmen in Bezug auf ihr Risiko von Datenschutzverletzungen zu bewerten. Bei einem hohen Risiko sollte dann noch vor einem Verstoß damit begonnen werden, die gewonnen Ergebnisse zu nutzen und Verbesserungsmaßnahmen zu implementieren. Beispielsweise können Maßnahmen ergriffen werden, um Datenschutzgrundsätze wie den der Datensparsamkeit umzusetzen oder die Erfüllung von Betroffenenrechte sicherzustellen. Wichtig ist zudem, darauf zu achten, dass sich das DSMS in vorhandene Systeme und Prozesse gut einfügt. Daraus ergeben sich folgende Prüfschleifen des PDCA-Zyklus:

  1. Plan: Planung, Spezifikation, Dokumentation
  2. Do: Implementierung, Protokollierung
  3. Check: Kontrolle, Prüfung, Beurteilung
  4. Act: Verbesserung

Was noch zum DSMS gehört

Im Einzelnen gehört es zu den Vorteilen eines DSMS, auf eine einheitliche Dokumentation zurückgreifen zu können. Damit können unkompliziert Fristen und Prioritäten gesetzt sowie Benachrichtigungen oder Erinnerungen frühzeitig verschickt werden. Durch Change Management können bei unterschiedlichen Dokumentationen wie dem VVT oder einer DSFA schnell Anpassungen vorgenommen werden, während die Dokumente zueinander synchron und aktuell bleiben. Mit dem DSMS können zudem umfangreiche Compliance-Prüfungen und Risikoanalysen durchgeführt werden. Darüber hinaus lässt sich Datenschutz mit einem DSMS gut im Team bearbeiten. Mit eindeutigen Zuständigkeitsverteilungen, direkten Kommunikationswegen und einer einheitlichen Dokumentation lässt sich Missverständnissen und Mehraufwand vorbeugen. Kein Muss, aber von Vorteil ist dabei ein digitales DSMS. Dieses bietet eine zentrale Datenbank als Basis für alle datenschutzrechtlich notwendigen Anforderungen, auf die Mitarbeiter je nach Verantwortlichkeit über ein übersichtliches Dashboard zugreifen können. Zudem lässt sich die Kommunikation untereinander mit Aufgabenvergabe oder Kommentarfunktionen einfacher gestalten.

Fazit

Ein DSMS erleichtert die Einhaltung der datenschutzrechtlichen Verpflichtungen erheblich. Dokumentation und Überprüfung der DSGVO-Vorgaben fördern die Übersichtlichkeit und helfen dabei, Datenschutzverstöße zu vermeiden und zugleich Zeit und Aufwand zu verringern. Mit einem guten DSMS lässt sich zudem schnell auf Veränderungen reagieren. Die ständige Überprüfung des Datenschutzstandards und die Möglichkeit flexibler Anpassungen sorgen dafür, dass alle Maßnahmen stets aktuell bleiben. Zusätzliche Erleichterungen kann da eine DSMS-Software bieten, mit der der gesamte Datenschutz im Unternehmen zentralisiert und automatisiert werden kann. Hierbei können Prozesse insgesamt und nicht nur im Bereich des Datenschutzes nachhaltig verbessert werden. Unternehmen, die ein DSMS implementieren wollen, sollten sich dazu an den Vorgaben der DSGVO orientieren und das VVT als Grundlage für einen passenden und vollständigen Aufbau heranziehen.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …