Mit dem Begriff Datenschutzmanagementsystem (DSMS) wird häufig die Verwendung einer Software oder eines Tools assoziiert, mit dem sich der Datenschutz im Unternehmen koordinieren lässt. Unter einem Datenschutzmanagementsystem versteht sich zunächst jedoch lediglich die Gesamtheit aller erforderlichen Datenschutzmaßnahmen. Darunter fällt jede Art der Organisation von Datenschutz und Datensicherheit im Unternehmen, wie die Bestimmung von Zuständigkeiten, Arbeitsabläufen und Verhaltensweisen.
Die Datenschutz-Grundverordnung (DSGVO) nennt keine ausdrückliche Regelung zur Implementierung eines DSMS. Eine Erforderlichkeit leitet sich jedoch aus verschiedenen Vorgaben innerhalb der DSGVO ab. Unter diese Regelungen fallen insbesondere die allgemeinen Grundsätze wie Transparenz oder Zweckbindung, die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, die Umsetzung und Dokumentation technischer und organisatorischer Maßnahmen sowie die Durchführung von Datenschutz-Folgenabschätzungen.
Anforderungen an ein Datenschutzmanagementsystem
Die Erforderlichkeit der Implementierung eines DSMS leitet sich vor allem aus der Rechenschaftspflicht gemäß Artikel 5 Abs. 2 DSGVO ab, nach der Unternehmen jederzeit die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen können müssen. Weiter spiegelt sich die Notwendigkeit des DSMS in der Pflicht zur Umsetzung entsprechender Maßnahmen wider, um Datenverarbeitung im Unternehmen rechtskonform zu gestalten. Datenschutz kann nur funktionieren, wenn Prozessabläufe festgelegt, Verantwortlichkeiten definiert und entsprechende Kontrollmaßnahmen implementiert werden. Ein sauber aufgesetztes DSMS ermöglicht permanent die Überprüfung des Datenschutzstandards sowie eine flexible Anpassung an neue Entwicklungen und bildet die Gesamtheit aller datenschutzrechtlichen Maßnahmen:
1. Prozesse
Diese beinhaltet zum ersten die Prozesse, die zur Umsetzung der Anforderungen der DSGVO erforderlich sind. Wichtig ist die Erstellung und die Pflege eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). Weiterhin sind Prozesse für die Wahrung der Betroffenenrechte erforderlich. Betroffenenanfragen, wie auf Auskunft oder Löschung personenbezogener Daten, müssen schnell und umfassend bearbeitet und ein Beschwerdemanagement implementiert werden. Dafür müssen Anfragen angenommen, überprüft, bearbeitet und dokumentiert werden. Darüber hinaus sollten Datenschutzvorfälle umgehend und gemäß der DSGVO-Vorgaben bearbeitet werden. Ein weiteres Beispiel ist die Umsetzung des Beschäftigtendatenschutzes, wozu auch regelmäßige Schulungen der Mitarbeiter zum Datenschutz gehören. Diese dienen dazu, Mitarbeiter dafür zu sensibilisieren, in welchen Fällen personenbezogene Daten verarbeitet werden dürfen und wann ein besonderes Risiko für die Verletzung der Vorgaben der DSGVO besteht. Dafür kann auch der Datenschutzbeauftragte herangezogen werden, der für die Einhaltung der DSGVO, auch durch die Unterrichtung der Beschäftigten über die DSGVO, verantwortlich ist. Schulungen ermöglichen es, in komprimierter Form, dieser Pflicht nachzukommen und ebenfalls den Nachweispflichten der DSGVO über den sicheren Umgang mit personenbezogenen Daten gerecht zu werden.
2. Verantwortlichkeiten
Darauf aufbauend müssen die Verantwortlichkeiten festgelegt werden, damit die notwendigen Prozesse effektiv durchgeführt werden können. Hier ist es entscheidend, diese eindeutig zu definieren und eine klare Trennung der Verantwortlichkeiten auf der Team- oder Abteilungsebene vorzunehmen. Es empfiehlt sich dafür Datenschutzkoordinatoren zu benennen. Insgesamt sollte eng mit dem Datenschutzbeauftragten zusammengearbeitet werden. Das gilt vor allem, wenn ein erhöhtes Datenschutzrisiko besteht. Dies ist zum Beispiel im Kontext von Werbung ohne Einwilligung der Empfänger oder bei der Weitergabe von Kundendaten an externe Dienstleister der Fall. Auch die Einführung neuer Systeme oder Beschwerden von Einzelnen und Mitarbeitern sowie auch der Umgang mit Kundendaten, gehören zu diesen sensiblen Bereichen. Ebenso sind hier Tracking- und Scoring-Verfahren zu nennen.
3. Kontrollmaßnahmen
Die Verantwortlichkeiten und ganz besonders die einzelnen Prozesse im Unternehmen, sollten immer wieder kontrolliert werden. Eine regelmäßige Compliance-Prüfung ist erforderlich – etwa durch wiederkehrende Prüfprozesse oder interne Audits. Eine einmalige Festlegung von Prozessen und Verantwortlichkeiten ist ebenso wenig ausreichend wie nur punktuelle Kontrollen im Nachhinein.
Wichtigste Datenbasis für das Datenschutzmanagementsystem
Die DSGVO schreibt Unternehmen vor (Art. 30), ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis von Verarbeitungstätigkeiten kann schriftlich oder elektronisch geführt werden und ist den Aufsichtsbehörden auf Anfrage vorzulegen. In diesem Verzeichnis werden Zwecke, Kategorien, Empfänger und Umfang der Verarbeitung personenbezogener Daten niedergelegt. So bietet das Verzeichnis von Verarbeitungstätigkeiten einen guten Gesamtüberblick über die datenschutzrechtlich relevanten Prozesse im Unternehmen. Weiter kann über ein gut geführtes Verzeichnis von Verarbeitungstätigkeiten zugleich ein Lösch- und Fristensystem sowie der besondere Schutz (Verschlüsselung) der Daten dokumentiert werden.
Betroffenenrechte und Beschwerdemanagement
Auch der Umgang mit Betroffenenrechten stellt einen bedeutsamen Bestandteil eines effektiven DSMS dar. Dabei ist es vor allem wichtig, dass Betroffene zum einen in einer leicht verständlichen Sprache darüber aufgeklärt werden, wie ihre Daten verarbeitet werden (Transparenzgrundsatz) und zum anderen, welche Rechte ihnen zustehen (z. B. Recht auf Auskunft und Datenlöschung). Unternehmen müssen ein effektives System zum Umgang mit Betroffenenrechten einrichten, das u. a. konkrete Ansprechpartner und ggf. Tools für Betroffenenanfragen vorsieht, Lösch- und Fristensysteme beinhaltet und den technischen Vorgaben der DSGVO (etwa geeignete Schnittstellen für das Recht auf Datenübertragbarkeit zu schaffen) entspricht.
Datenschutzverstöße
Zum Datenschutzmanagement gehören auch innerbetriebliche Prozesse zum Umgang mit Datenschutzverstößen (meldepflichtig wie nicht-meldepflichtig). Mitarbeiter müssen dahingehend sensibilisiert werden, in welchen Fällen eine Datenverletzung vorliegen könnte und wie in einem solchen Vorfall das weitere Vorgehen gestaltet ist (wer muss wann und worüber informiert werden, wie erfolgt die Meldung gegenüber Aufsichtsbehörden und Betroffenen, etc.).
Mehr Effizienz mit digitalem Datenschutzmanagement?
In vielen Unternehmen wird das DSMS aktuell analog umgesetzt. Das bedeutet in den meisten Fällen: Dezentrale Dokumentation, intransparente Strukturen und keine klaren Verantwortlichkeiten. Das wiederum führt häufig zu großen Herausforderungen bei der Erfüllung der Rechenschaftspflicht und insbesondere zu Problemen im Change Management; also wenn in der Organisation Anpassungen (bspw. an Prozessen) vorgenommen werden, was mit einem enormen Aufwand verbunden sein kann. Um das zu vermeiden, können mit einem digitalen DSMS die Dokumentationen synchronisiert und zentralisiert werden. Eine zentrale Datengrundlage ist zudem mit einer geringeren Fehleranfälligkeit sowie einem minimierten Aufwand verbunden, erleichtert Compliance-Prüfungen und hilft bei der Erstellung detaillierter Risikoanalysen.
Um Unternehmen beim gesamten Datenschutzmanagement zu entlasten, ist die DSMS-Software caralegal von der ISiCO Datenschutz GmbH entwickelt worden. Als Anwendung unterstützt die KI-basierte Lösung bei der Umsetzung datenschutzrechtlicher Maßnahmen und automatisiert eine Vielzahl von Abläufen, bspw. die Erstellung von Risikoanalysen.
Die erforderlichen Prozesse und Verantwortlichkeiten können hier festgelegt und dokumentiert werden und auf einer übersichtlichen Datengrundlage lassen sich umfassende Kontrollmaßnahmen durchführen. Eine transparente, individuell anpassbare Nutzeroberfläche und sowie eine klare Rechteverteilung vereinfachten das Datenschutzmanagement und die Zusammenarbeit zwischen den unterschiedlichen Abteilungen.
Mit großen Kosten- und Zeitersparnissen bietet caralegal ein zuverlässiges Tool, um alle Anforderungen der DSGVO zu erfüllen.
Fazit
Ein effektives DSMS hat verschiedene Vorteile. Zum einen kann die Dokumentation und regelmäßige Überprüfung der Einhaltung der DSGVO-Vorgaben die Übersichtlichkeit fördern und zur Prozessoptimierung (nicht nur im Bereich des Datenschutzes) beitragen. Zum anderen wird ein klares und vollständiges DSMS von der DSGVO ausdrücklich als bußgeldminderndes Merkmal berücksichtigt und kann unter Umständen sogar dem Vorwurf fahrlässiger DSGVO-Verstöße ganz entgegenstehen. Zur Einführung eines effektiven DSMS können sich Unternehmen an den Vorgaben der DSGVO orientieren und insbesondere das Verzeichnis der Verarbeitungstätigkeiten als Ausgangspunkt für eine entsprechende Einführung eines DSMS heranziehen. Aufgrund der strengen Anforderungen der Datenschutz-Grundverordnung und der hohen Komplexität bei der Datenverarbeitung in Unternehmen, empfiehlt es sich für das Datenschutzmanagement, auf eine Softwarelösung zurückzugreifen, um Prozesse zu automatisieren und Workflows zu optimieren.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits.
-
Den Datenschutz im Griff: Die wesentlichen Aufgaben des externen Datenschutzbeauftragten (DSB) im Unternehmen
Unternehmen sind heute mehr denn je gefordert: Sie müssen ein klares, kohärentes und konformes Konzept für den Umgang mit personenbezogenen Daten entwickeln und umsetzen. Hier kommt der externe Datenschutzbeauftragte (DSB) ins Spiel. Wir geben einen Überblick über die wichtigsten Aufgaben.