15.10.2020

Effizienter Datenschutz durch Datenschutz­managementsysteme

Unter einem DSMS versteht sich die Gesamtheit aller erforderlichen Datenschutzmaßnahmen. Darunter fällt jede Art der Organisation von Datenschutz und Datensicherheit im Unternehmen, wie die Bestimmung von Zuständigkeiten, Arbeitsabläufen und Verhaltensweisen.

Mit dem Begriff Datenschutzmanagementsystem (DSMS) wird häufig die Verwendung einer Software oder eines Tools assoziiert, mit dem sich der Datenschutz im Unternehmen koordinieren lässt. Unter einem Datenschutzmanagementsystem versteht sich zunächst jedoch lediglich die Gesamtheit aller erforderlichen Datenschutzmaßnahmen. Darunter fällt jede Art der Organisation von Datenschutz und Datensicherheit im Unternehmen, wie die Bestimmung von Zuständigkeiten, Arbeitsabläufen und Verhaltensweisen.

Die Datenschutz-Grundverordnung (DSGVO) nennt keine ausdrückliche Regelung zur Implementierung eines DSMS. Eine Erforderlichkeit leitet sich jedoch aus verschiedenen Vorgaben innerhalb der DSGVO ab. Unter diese Regelungen fallen insbesondere die allgemeinen Grundsätze wie Transparenz oder Zweckbindung, die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, die Umsetzung und Dokumentation technischer und organisatorischer Maßnahmen sowie die Durchführung von Datenschutz-Folgenabschätzungen.

Anforderungen an ein Datenschutzmanagementsystem

Die Erforderlichkeit der Implementierung eines DSMS leitet sich vor allem aus der Rechenschaftspflicht gemäß Artikel 5 Abs. 2 DSGVO ab, nach der Unternehmen jederzeit die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen können müssen. Weiter spiegelt sich die Notwendigkeit des DSMS in der Pflicht zur Umsetzung entsprechender Maßnahmen wider, um Datenverarbeitung im Unternehmen rechtskonform zu gestalten. Datenschutz kann nur funktionieren, wenn Prozessabläufe festgelegt, Verantwortlichkeiten definiert und entsprechende Kontrollmaßnahmen implementiert werden. Ein sauber aufgesetztes DSMS ermöglicht permanent die Überprüfung des Datenschutzstandards sowie eine flexible Anpassung an neue Entwicklungen und bildet die Gesamtheit aller datenschutzrechtlichen Maßnahmen:

1. Prozesse

Diese beinhaltet zum ersten die Prozesse, die zur Umsetzung der Anforderungen der DSGVO erforderlich sind. Wichtig ist die Erstellung und die Pflege eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). Weiterhin sind Prozesse für die Wahrung der Betroffenenrechte erforderlich. Betroffenenanfragen, wie auf Auskunft oder Löschung personenbezogener Daten, müssen schnell und umfassend bearbeitet und ein Beschwerdemanagement implementiert werden. Dafür müssen Anfragen angenommen, überprüft, bearbeitet und dokumentiert werden. Darüber hinaus sollten Datenschutzvorfälle umgehend und gemäß der DSGVO-Vorgaben bearbeitet werden. Ein weiteres Beispiel ist die Umsetzung des Beschäftigtendatenschutzes, wozu auch regelmäßige Schulungen der Mitarbeiter zum Datenschutz gehören. Diese dienen dazu, Mitarbeiter dafür zu sensibilisieren, in welchen Fällen personenbezogene Daten verarbeitet werden dürfen und wann ein besonderes Risiko für die Verletzung der Vorgaben der DSGVO besteht. Dafür kann auch der Datenschutzbeauftragte herangezogen werden, der für die Einhaltung der DSGVO, auch durch die Unterrichtung der Beschäftigten über die DSGVO, verantwortlich ist. Schulungen ermöglichen es, in komprimierter Form, dieser Pflicht nachzukommen und ebenfalls den Nachweispflichten der DSGVO über den sicheren Umgang mit personenbezogenen Daten gerecht zu werden.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 2 plus 1.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

2. Verantwortlichkeiten

Darauf aufbauend müssen die Verantwortlichkeiten festgelegt werden, damit die notwendigen Prozesse effektiv durchgeführt werden können. Hier ist es entscheidend, diese eindeutig zu definieren und eine klare Trennung der Verantwortlichkeiten auf der Team- oder Abteilungsebene vorzunehmen. Es empfiehlt sich dafür Datenschutzkoordinatoren zu benennen. Insgesamt sollte eng mit dem Datenschutzbeauftragten zusammengearbeitet werden. Das gilt vor allem, wenn ein erhöhtes Datenschutzrisiko besteht. Dies ist zum Beispiel im Kontext von Werbung ohne Einwilligung der Empfänger oder bei der Weitergabe von Kundendaten an externe Dienstleister der Fall. Auch die Einführung neuer Systeme oder Beschwerden von Einzelnen und Mitarbeitern sowie auch der Umgang mit Kundendaten, gehören zu diesen sensiblen Bereichen. Ebenso sind hier Tracking- und Scoring-Verfahren zu nennen.

3. Kontrollmaßnahmen

Die Verantwortlichkeiten und ganz besonders die einzelnen Prozesse im Unternehmen, sollten immer wieder kontrolliert werden. Eine regelmäßige Compliance-Prüfung ist erforderlich – etwa durch wiederkehrende Prüfprozesse oder interne Audits. Eine einmalige Festlegung von Prozessen und Verantwortlichkeiten ist ebenso wenig ausreichend wie nur punktuelle Kontrollen im Nachhinein.

Wichtigste Datenbasis für das Datenschutzmanagementsystem

Die DSGVO schreibt Unternehmen vor (Art. 30), ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis von Verarbeitungstätigkeiten kann schriftlich oder elektronisch geführt werden und ist den Aufsichtsbehörden auf Anfrage vorzulegen. In diesem Verzeichnis werden Zwecke, Kategorien, Empfänger und Umfang der Verarbeitung personenbezogener Daten niedergelegt. So bietet das Verzeichnis von Verarbeitungstätigkeiten einen guten Gesamtüberblick über die datenschutzrechtlich relevanten Prozesse im Unternehmen. Weiter kann über ein gut geführtes Verzeichnis von Verarbeitungstätigkeiten zugleich ein Lösch- und Fristensystem sowie der besondere Schutz (Verschlüsselung) der Daten dokumentiert werden.

Betroffenenrechte und Beschwerdemanagement

Auch der Umgang mit Betroffenenrechten stellt einen bedeutsamen Bestandteil eines effektiven DSMS dar. Dabei ist es vor allem wichtig, dass Betroffene zum einen in einer leicht verständlichen Sprache darüber aufgeklärt werden, wie ihre Daten verarbeitet werden (Transparenzgrundsatz) und zum anderen, welche Rechte ihnen zustehen (z. B. Recht auf Auskunft und Datenlöschung). Unternehmen müssen ein effektives System zum Umgang mit Betroffenenrechten einrichten, das u. a. konkrete Ansprechpartner und ggf. Tools für Betroffenenanfragen vorsieht, Lösch- und Fristensysteme beinhaltet und den technischen Vorgaben der DSGVO (etwa geeignete Schnittstellen für das Recht auf Datenübertragbarkeit zu schaffen) entspricht.

Datenschutzverstöße

Zum Datenschutzmanagement gehören auch innerbetriebliche Prozesse zum Umgang mit Datenschutzverstößen (meldepflichtig wie nicht-meldepflichtig). Mitarbeiter müssen dahingehend sensibilisiert werden, in welchen Fällen eine Datenverletzung vorliegen könnte und wie in einem solchen Vorfall das weitere Vorgehen gestaltet ist (wer muss wann und worüber informiert werden, wie erfolgt die Meldung gegenüber Aufsichtsbehörden und Betroffenen, etc.).

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Mehr Effizienz mit digitalem Datenschutzmanagement?

In vielen Unternehmen wird das DSMS aktuell analog umgesetzt. Das bedeutet in den meisten Fällen: Dezentrale Dokumentation, intransparente Strukturen und keine klaren Verantwortlichkeiten. Das wiederum führt häufig zu großen Herausforderungen bei der Erfüllung der Rechenschaftspflicht und insbesondere zu Problemen im Change Management; also wenn in der Organisation Anpassungen (bspw. an Prozessen) vorgenommen werden, was mit einem enormen Aufwand verbunden sein kann. Um das zu vermeiden, können mit einem digitalen DSMS die Dokumentationen synchronisiert und zentralisiert werden. Eine zentrale Datengrundlage ist zudem mit einer geringeren Fehleranfälligkeit sowie einem minimierten Aufwand verbunden, erleichtert Compliance-Prüfungen und hilft bei der Erstellung detaillierter Risikoanalysen.

Um Unternehmen beim gesamten Datenschutzmanagement zu entlasten, ist die DSMS-Software caralegal von der ISiCO Datenschutz GmbH entwickelt worden. Als Anwendung unterstützt die KI-basierte Lösung bei der Umsetzung datenschutzrechtlicher Maßnahmen und automatisiert eine Vielzahl von Abläufen, bspw. die Erstellung von Risikoanalysen.
Die erforderlichen Prozesse und Verantwortlichkeiten können hier festgelegt und dokumentiert werden und auf einer übersichtlichen Datengrundlage lassen sich umfassende Kontrollmaßnahmen durchführen. Eine transparente, individuell anpassbare Nutzeroberfläche und sowie eine klare Rechteverteilung vereinfachten das Datenschutzmanagement und die Zusammenarbeit zwischen den unterschiedlichen Abteilungen. Mit großen Kosten- und Zeitersparnissen bietet caralegal ein zuverlässiges Tool, um alle Anforderungen der DSGVO zu erfüllen.

Fazit

Ein effektives DSMS hat verschiedene Vorteile. Zum einen kann die Dokumentation und regelmäßige Überprüfung der Einhaltung der DSGVO-Vorgaben die Übersichtlichkeit fördern und zur Prozessoptimierung (nicht nur im Bereich des Datenschutzes) beitragen. Zum anderen wird ein klares und vollständiges DSMS von der DSGVO ausdrücklich als bußgeldminderndes Merkmal berücksichtigt und kann unter Umständen sogar dem Vorwurf fahrlässiger DSGVO-Verstöße ganz entgegenstehen. Zur Einführung eines effektiven DSMS können sich Unternehmen an den Vorgaben der DSGVO orientieren und insbesondere das Verzeichnis der Verarbeitungstätigkeiten als Ausgangspunkt für eine entsprechende Einführung eines DSMS heranziehen. Aufgrund der strengen Anforderungen der Datenschutz-Grundverordnung und der hohen Komplexität bei der Datenverarbeitung in Unternehmen, empfiehlt es sich für das Datenschutzmanagement, auf eine Softwarelösung zurückzugreifen, um Prozesse zu automatisieren und Workflows zu optimieren.

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …