Datensicherheit und Datenschutz im Unternehmen angemessen umzusetzen, ist eine komplexe Aufgabe. Aufgrund der vielen Datenverarbeitungen, die tagtäglich an unterschiedlichen Stellen vorgenommen werden, und den ebenso zahlreichen rechtlichen Regelungen, die dafür beachtet werden müssen, lässt sich schnell der Überblick verlieren. Unternehmen sollten daher auf ein umfassendes Datenschutzmanagementsystem (DSMS) setzen, um die Übersicht zu behalten und keine Rechtsverstöße mit Bußgeldern zu riskieren. Wir zeigen Ihnen in diesem Beitrag, worauf es dabei ankommt.
I. DSMS – ein kurzer Einstieg
Mit einem DSMS können alle datenschutzrechtlichen Anforderungen zentral verwaltet und erledigt werden. Dazu werden Prozesse festgelegt, Verantwortlichkeiten bestimmt und Kontrollmaßnahmen eingeführt. Zu den Prozessabläufen gehört es vor allem, ein Verzeichnis der Verarbeitungstätigkeiten (VVT) zu führen, Betroffenenanfragen, Beschwerden sowie Datenschutzvorfälle zu bearbeiten und regelmäßige Schulungen für Mitarbeitende durchzuführen. Bezüglich der Verantwortlichkeiten ist es wichtig, die unterschiedlichen Verantwortlichkeiten auf Team- oder Abteilungsebene klar voneinander zu trennen und Datenschutzkoordinator:innen zu benennen. Darüber hinaus sollte stets eng mit der für Datenschutz beauftragten Person zusammengearbeitet werden. Zur Kontrolle sind regelmäßige Prüfprozesse und interne Audits empfehlenswert.
II. Aufbau eines DSMS
Um eine sinnvolle Struktur für das DSMS festlegen zu können, sollte sich zunächst ein Überblick über die datenschutzrechtlichen Aufgaben für Unternehmen verschafft werden. Jede Erhebung, Nutzung, Archivierung oder auch Löschung personenbezogener Daten stellt einen Verarbeitungsvorgang dar, bei dem die Datenschutz-Grundverordnung (DSGVO) beachtet werden muss. Neben der Festlegung von Verantwortlichkeiten, Rechtsgrundlagen oder der Dokumentation gibt es Anforderungen wie die Umsetzung der datenschutzrechtlichen Grundsätze, von Privacy by Design und Privacy by Default, besondere Regelungen für die Datenübermittlung in Drittstaaten, für Auftragsverarbeitungen und weitere Konstellationen. Daraus ergibt sich eine Vielzahl übergeordneter Ziele, die mit einem DSMS erreicht werden sollten und anhand derer das DSMS strukturiert werden kann. Zu diesen zählen insbesondere:
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität & Vertraulichkeit
- Rechenschaftspflicht
Das Datenschutzmanagement im Unternehmen kann aufgrund der vielen Anforderungen aus dem Datenschutz für die zuständigen Mitarbeiterinnen und Mitarbeiter sehr zeitaufwändig und mühsam werden. Verschiedene Aufgaben mit verschiedenen Fristen, verteilte und unterschiedlich aufgebaute Dokumente sind zudem sehr fehleranfällig. Umso wichtiger ist ein durchdachtes DSMS.
III. Welche Inhalte zu einem vollständigen DSMS gehören
Ein wichtiger Bestandteil des DSMS ist das VVT. Es enthält alle Dokumentationen, die für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO notwendig sind. Des Weiteren wird es als Grundlage für die Monitoring-Prozesse genommen, die nach Art. 32 DSGVO verpflichtend sind. Es enthält zudem Angaben über das Löschkonzept, das Dienstleistermanagement, zur Dokumentation technischer und/oder organisatorischer Maßnahmen, zur Datensicherheit und Datenschutz-Folgenabschätzung (DSFA). Weitere Punkte, die in das DSMS mit aufgenommen werden sollten, sind Prozesse für Betroffenenrechte, Datenschutzvorfälle und Behördenanfragen sowie Schulungen für Mitarbeitende.
Der Umgang mit Betroffenenrechten ist ein weiterer zentraler Inhalt eines DSMS. Hier kommt es vor allem darauf an, diese Rechte in der rechtlich vorgeschriebenen Form zu gewährleisten. Dazu gehört, betroffene Personen in verständlicher Sprache über die Verarbeitung ihrer personenbezogenen Daten zu informieren und welche Rechte ihnen konkret zustehen, beispielsweise auf Auskunft oder Datenlöschung. Um Anfragen vollständig und fristgerecht zu beantworten, müssen Unternehmen ein effektives System einrichten, zu dem unter anderem Verantwortliche und Ansprechpartner, passende Tools zur Beantwortung oder Weiterleitung der Anfragen sowie Lösch- und Fristensysteme gehören.
Schließlich ist es entscheidend, richtig auf Datenschutzverstöße zu reagieren. Nach der DSGVO müssen solche spätestens innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden, bei einem besonders hohen Risiko auch den betroffenen Personen. Zu einem vollständigen DSMS gehören daher auch Prozesse zum Umgang mit Datenschutzverstößen und Meldepflichten. Mitarbeitende müssen wissen, in welcher Konstellation ein Datenschutzverstoß vorliegen kann und wie daraufhin die Meldung erfolgen muss.
Insgesamt sollte hier nicht einmalig eine Liste erstellt werden, sondern ist eine regelmäßige Überprüfung und Aktualisierung entscheidend, um ein funktionierendes DSMS sicherzustellen und außerdem der datenschutzrechtlichen Rechenschaftspflicht nachzukommen.
IV. Der PDCA-Zyklus
Für die Umsetzung ist es empfehlenswert, einen vierphasigen PDCA-Zyklus (Plan Do Check Act) zu implementieren, der sich sehr gut für ein DSMS eignet und daher auch im Standarddatenschutzmodell zu finden ist. Er besteht aus vier Phasen, die sich zum stetigen Lernen und Verbessern wiederholen. Im ersten Schritt sollte sich zunächst ein Überblick über alle Prozesse verschafft werden, in denen personenbezogene Daten verarbeitet werden. Anschließend wird die Einhaltung der datenschutzrechtlichen Vorgaben einer Überprüfung unterzogen. Dabei sollten nicht nur einzelne, bereits erfolgte Datenschutzverstöße erfasst werden, sondern nach einem risikobasierten Ansatz gilt es, die jeweiligen Prozesse im Unternehmen in Bezug auf ihr Risiko von Datenschutzverletzungen zu bewerten. Bei einem hohen Risiko sollte dann noch vor einem Verstoß damit begonnen werden, die gewonnen Ergebnisse zu nutzen und Verbesserungsmaßnahmen zu implementieren. Beispielsweise können Maßnahmen ergriffen werden, um Datenschutzgrundsätze wie den der Datensparsamkeit umzusetzen oder die Erfüllung von Betroffenenrechte sicherzustellen. Wichtig ist zudem, darauf zu achten, dass sich das DSMS in vorhandene Systeme und Prozesse gut einfügt. Daraus ergeben sich folgende Prüfschleifen des PDCA-Zyklus:
- Plan: Planung, Spezifikation, Dokumentation
- Do: Implementierung, Protokollierung
- Check: Kontrolle, Prüfung, Beurteilung
- Act: Verbesserung
Effizienter Datenschutz durch Datenschutzmanagementsysteme
Kriterien für ein effektives Datenschutzmanagementsystem
Datenschutz im Konzern: Best-Practices für ein effizientes Datenschutzmanagement (Beitrag unseres Partners caralegal)
V. Was noch zum DSMS gehört
Im Einzelnen gehört es zu den Vorteilen eines DSMS, auf eine einheitliche Dokumentation zurückgreifen zu können. Damit können unkompliziert Fristen und Prioritäten gesetzt sowie Benachrichtigungen oder Erinnerungen frühzeitig verschickt werden. Durch Change Management können bei unterschiedlichen Dokumentationen wie dem VVT oder einer DSFA schnell Anpassungen vorgenommen werden, während die Dokumente zueinander synchron und aktuell bleiben. Mit dem DSMS können zudem umfangreiche Compliance-Prüfungen und Risikoanalysen durchgeführt werden. Darüber hinaus lässt sich Datenschutz mit einem DSMS gut im Team bearbeiten. Mit eindeutigen Zuständigkeitsverteilungen, direkten Kommunikationswegen und einer einheitlichen Dokumentation lässt sich Missverständnissen und Mehraufwand vorbeugen. Kein Muss, aber von Vorteil ist dabei ein digitales DSMS. Dieses bietet eine zentrale Datenbank als Basis für alle datenschutzrechtlich notwendigen Anforderungen, auf die Mitarbeiter je nach Verantwortlichkeit über ein übersichtliches Dashboard zugreifen können. Zudem lässt sich die Kommunikation untereinander mit Aufgabenvergabe oder Kommentarfunktionen einfacher gestalten.
VI. Fazit
Ein DSMS erleichtert die Einhaltung der datenschutzrechtlichen Verpflichtungen erheblich. Dokumentation und Überprüfung der DSGVO-Vorgaben fördern die Übersichtlichkeit und helfen dabei, Datenschutzverstöße zu vermeiden und zugleich Zeit und Aufwand zu verringern. Mit einem guten DSMS lässt sich zudem schnell auf Veränderungen reagieren. Die ständige Überprüfung des Datenschutzstandards und die Möglichkeit flexibler Anpassungen sorgen dafür, dass alle Maßnahmen stets aktuell bleiben. Zusätzliche Erleichterungen kann da eine DSMS-Software bieten, mit der der gesamte Datenschutz im Unternehmen zentralisiert und automatisiert werden kann. Hierbei können Prozesse insgesamt und nicht nur im Bereich des Datenschutzes nachhaltig verbessert werden. Unternehmen, die ein DSMS implementieren wollen, sollten sich dazu an den Vorgaben der DSGVO orientieren und das VVT als Grundlage für einen passenden und vollständigen Aufbau heranziehen.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.