15.07.2021
Aufbau und Struktur eines effizienten DSMS
Unternehmen sollten auf ein umfassendes Datenschutzmanagementsystem (DSMS) setzen, um die Übersicht im Datenschutz zu behalten und keine Rechtsverstöße mit Bußgeldern zu riskieren. Wir zeigen Ihnen in diesem Beitrag, worauf es dabei ankommt.
Jacqueline Neiazy
Director Datenschutz
Datensicherheit und Datenschutz im Unternehmen angemessen umzusetzen, ist eine komplexe Aufgabe. Aufgrund der vielen Datenverarbeitungen, die tagtäglich an unterschiedlichen Stellen vorgenommen werden, und den ebenso zahlreichen rechtlichen Regelungen, die dafür beachtet werden müssen, lässt sich schnell der Überblick verlieren. Unternehmen sollten daher auf ein umfassendes Datenschutzmanagementsystem (DSMS) setzen, um die Übersicht zu behalten und keine Rechtsverstöße mit Bußgeldern zu riskieren. Wir zeigen Ihnen in diesem Beitrag, worauf es dabei ankommt.
DSMS – ein kurzer Einstieg
Mit einem DSMS können alle datenschutzrechtlichen Anforderungen zentral verwaltet und erledigt werden. Dazu werden Prozesse festgelegt, Verantwortlichkeiten bestimmt und Kontrollmaßnahmen eingeführt. Zu den Prozessabläufen gehört es vor allem, ein Verzeichnis der Verarbeitungstätigkeiten (VVT) zu führen, Betroffenenanfragen, Beschwerden sowie Datenschutzvorfälle zu bearbeiten und regelmäßige Schulungen für Mitarbeitende durchzuführen. Bezüglich der Verantwortlichkeiten ist es wichtig, die unterschiedlichen Verantwortlichkeiten auf Team- oder Abteilungsebene klar voneinander zu trennen und Datenschutzkoordinator:innen zu benennen. Darüber hinaus sollte stets eng mit der für Datenschutz beauftragten Person zusammengearbeitet werden. Zur Kontrolle sind regelmäßige Prüfprozesse und interne Audits empfehlenswert.
Aufbau eines DSMS
Um eine sinnvolle Struktur für das DSMS festlegen zu können, sollte sich zunächst ein Überblick über die datenschutzrechtlichen Aufgaben für Unternehmen verschafft werden. Jede Erhebung, Nutzung, Archivierung oder auch Löschung personenbezogener Daten stellt einen Verarbeitungsvorgang dar, bei dem die Datenschutz-Grundverordnung (DSGVO) beachtet werden muss. Neben der Festlegung von Verantwortlichkeiten, Rechtsgrundlagen oder der Dokumentation gibt es Anforderungen wie die Umsetzung der datenschutzrechtlichen Grundsätze, von Privacy by Design und Privacy by Default, besondere Regelungen für die Datenübermittlung in Drittstaaten, für Auftragsverarbeitungen und weitere Konstellationen. Daraus ergibt sich eine Vielzahl übergeordneter Ziele, die mit einem DSMS erreicht werden sollten und anhand derer das DSMS strukturiert werden kann. Zu diesen zählen insbesondere:
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität & Vertraulichkeit
- Rechenschaftspflicht
Das Datenschutzmanagement im Unternehmen kann aufgrund der vielen Anforderungen aus dem Datenschutz für die zuständigen Mitarbeiterinnen und Mitarbeiter sehr zeitaufwändig und mühsam werden. Verschiedene Aufgaben mit verschiedenen Fristen, verteilte und unterschiedlich aufgebaute Dokumente sind zudem sehr fehleranfällig. Umso wichtiger ist ein durchdachtes DSMS.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Welche Inhalte zu einem vollständigen DSMS gehören
Ein wichtiger Bestandteil des DSMS ist das VVT. Es enthält alle Dokumentationen, die für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO notwendig sind. Des Weiteren wird es als Grundlage für die Monitoring-Prozesse genommen, die nach Art. 32 DSGVO verpflichtend sind. Es enthält zudem Angaben über das Löschkonzept, das Dienstleistermanagement, zur Dokumentation technischer und/oder organisatorischer Maßnahmen, zur Datensicherheit und Datenschutz-Folgenabschätzung (DSFA). Weitere Punkte, die in das DSMS mit aufgenommen werden sollten, sind Prozesse für Betroffenenrechte, Datenschutzvorfälle und Behördenanfragen sowie Schulungen für Mitarbeitende.
Der Umgang mit Betroffenenrechten ist ein weiterer zentraler Inhalt eines DSMS. Hier kommt es vor allem darauf an, diese Rechte in der rechtlich vorgeschriebenen Form zu gewährleisten. Dazu gehört, betroffene Personen in verständlicher Sprache über die Verarbeitung ihrer personenbezogenen Daten zu informieren und welche Rechte ihnen konkret zustehen, beispielsweise auf Auskunft oder Datenlöschung. Um Anfragen vollständig und fristgerecht zu beantworten, müssen Unternehmen ein effektives System einrichten, zu dem unter anderem Verantwortliche und Ansprechpartner, passende Tools zur Beantwortung oder Weiterleitung der Anfragen sowie Lösch- und Fristensysteme gehören.
Schließlich ist es entscheidend, richtig auf Datenschutzverstöße zu reagieren. Nach der DSGVO müssen solche spätestens innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden, bei einem besonders hohen Risiko auch den betroffenen Personen. Zu einem vollständigen DSMS gehören daher auch Prozesse zum Umgang mit Datenschutzverstößen und Meldepflichten. Mitarbeitende müssen wissen, in welcher Konstellation ein Datenschutzverstoß vorliegen kann und wie daraufhin die Meldung erfolgen muss.
Insgesamt sollte hier nicht einmalig eine Liste erstellt werden, sondern ist eine regelmäßige Überprüfung und Aktualisierung entscheidend, um ein funktionierendes DSMS sicherzustellen und außerdem der datenschutzrechtlichen Rechenschaftspflicht nachzukommen.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Der PDCA-Zyklus
Für die Umsetzung ist es empfehlenswert, einen vierphasigen PDCA-Zyklus (Plan Do Check Act) zu implementieren, der sich sehr gut für ein DSMS eignet und daher auch im Standarddatenschutzmodell zu finden ist. Er besteht aus vier Phasen, die sich zum stetigen Lernen und Verbessern wiederholen. Im ersten Schritt sollte sich zunächst ein Überblick über alle Prozesse verschafft werden, in denen personenbezogene Daten verarbeitet werden. Anschließend wird die Einhaltung der datenschutzrechtlichen Vorgaben einer Überprüfung unterzogen. Dabei sollten nicht nur einzelne, bereits erfolgte Datenschutzverstöße erfasst werden, sondern nach einem risikobasierten Ansatz gilt es, die jeweiligen Prozesse im Unternehmen in Bezug auf ihr Risiko von Datenschutzverletzungen zu bewerten. Bei einem hohen Risiko sollte dann noch vor einem Verstoß damit begonnen werden, die gewonnen Ergebnisse zu nutzen und Verbesserungsmaßnahmen zu implementieren. Beispielsweise können Maßnahmen ergriffen werden, um Datenschutzgrundsätze wie den der Datensparsamkeit umzusetzen oder die Erfüllung von Betroffenenrechte sicherzustellen. Wichtig ist zudem, darauf zu achten, dass sich das DSMS in vorhandene Systeme und Prozesse gut einfügt. Daraus ergeben sich folgende Prüfschleifen des PDCA-Zyklus:
- Plan: Planung, Spezifikation, Dokumentation
- Do: Implementierung, Protokollierung
- Check: Kontrolle, Prüfung, Beurteilung
- Act: Verbesserung
Was noch zum DSMS gehört
Im Einzelnen gehört es zu den Vorteilen eines DSMS, auf eine einheitliche Dokumentation zurückgreifen zu können. Damit können unkompliziert Fristen und Prioritäten gesetzt sowie Benachrichtigungen oder Erinnerungen frühzeitig verschickt werden. Durch Change Management können bei unterschiedlichen Dokumentationen wie dem VVT oder einer DSFA schnell Anpassungen vorgenommen werden, während die Dokumente zueinander synchron und aktuell bleiben. Mit dem DSMS können zudem umfangreiche Compliance-Prüfungen und Risikoanalysen durchgeführt werden. Darüber hinaus lässt sich Datenschutz mit einem DSMS gut im Team bearbeiten. Mit eindeutigen Zuständigkeitsverteilungen, direkten Kommunikationswegen und einer einheitlichen Dokumentation lässt sich Missverständnissen und Mehraufwand vorbeugen. Kein Muss, aber von Vorteil ist dabei ein digitales DSMS. Dieses bietet eine zentrale Datenbank als Basis für alle datenschutzrechtlich notwendigen Anforderungen, auf die Mitarbeiter je nach Verantwortlichkeit über ein übersichtliches Dashboard zugreifen können. Zudem lässt sich die Kommunikation untereinander mit Aufgabenvergabe oder Kommentarfunktionen einfacher gestalten.
Fazit
Ein DSMS erleichtert die Einhaltung der datenschutzrechtlichen Verpflichtungen erheblich. Dokumentation und Überprüfung der DSGVO-Vorgaben fördern die Übersichtlichkeit und helfen dabei, Datenschutzverstöße zu vermeiden und zugleich Zeit und Aufwand zu verringern. Mit einem guten DSMS lässt sich zudem schnell auf Veränderungen reagieren. Die ständige Überprüfung des Datenschutzstandards und die Möglichkeit flexibler Anpassungen sorgen dafür, dass alle Maßnahmen stets aktuell bleiben. Zusätzliche Erleichterungen kann da eine DSMS-Software bieten, mit der der gesamte Datenschutz im Unternehmen zentralisiert und automatisiert werden kann. Hierbei können Prozesse insgesamt und nicht nur im Bereich des Datenschutzes nachhaltig verbessert werden. Unternehmen, die ein DSMS implementieren wollen, sollten sich dazu an den Vorgaben der DSGVO orientieren und das VVT als Grundlage für einen passenden und vollständigen Aufbau heranziehen.
Weitere Neuigkeiten
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
09.01.2025
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen … Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
03.01.2025
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen … Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können