Nach der DSGVO ist die Implementierung eines Datenschutzmanagementsystems (DSMS) nicht zwingend vorgeschrieben. Allerdings zeigt eine Gesamtschau ihrer Vorschriften, insbesondere:
- Artikel 5 DSGVO (Grundsätze der Verarbeitung personenbezogener Daten)
- Artikel 30 DSGVO (Verzeichnis der Verarbeitungstätigkeiten)
- Artikel 32 DSGVO (Geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, Nachweisbarkeit dieser Maßnahmen)
- Artikel 35 DSGVO (Pflicht zur Datenschutz-Folgenabschätzung, bei Datenverarbeitungen mit hohem Risiko für Rechte und Freiheiten Einzelner)
dass ein effektives Datenschutzmanagementsystem essentiell ist, um die Vorgaben der DSGVO umzusetzen. In diesem Artikel sollen ein Überblick über die Anforderungen an ein effektives DSMS gewährt und Möglichkeiten zu dessen Einführung in Unternehmen präsentiert werden.
Anforderungen an das Datenschutzmanagementsystem
Vor allem aus Artikel 5 DSGVO lassen sich erste Anforderungen an ein effektives DSMS ableiten. Danach hat das DSMS v.a. die Rechtmäßigkeit, Zweckbindung (Daten sollen nur zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden), Datenminimierung- und Datensparsamkeit, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht von Unternehmen zu gewährleisten. Diese Ziele können nur erreicht werden, wenn Mitarbeiter für diese Ziele und mögliche Gefahren für diese Ziele sensibilisiert werden und wissen, an wen sie sich zu wenden haben, wenn Fragen oder mögliche Gefahren für personenbezogene Daten erkennbar werden.
Datenschutzbeauftragter und Schulungen
Zentraler Bestandteil eines DSMS sind daher der effektive Einsatz eines Datenschutzbeauftragten und die Schulung von Mitarbeitern. Letztere müssen dafür sensibilisiert werden, in welchen Fällen personenbezogene Daten verarbeitet werden und wann ein besonderes Risiko für die Verletzung der Vorgaben der DSGVO besteht. Dies ist zum Beispiel im Kontext von Werbung ohne Einwilligung der Empfänger oder bei der Weitergabe von Kundendaten an externe Dienstleister der Fall. Auch die Einführung neuer Systeme oder Beschwerden von Einzelnen oder Mitarbeitern oder der Umgang mit Kundendaten gehören zu diesen sensiblen Bereichen. Auch Tracking- und Scoring-Verfahren sind hier zu nennen.
Für die Sensibilisierung von Beschäftigten bieten sich besonders Schulungen der Mitarbeiter durch den Datenschutzbeauftragten an. Dieser ist für die Einhaltung der DSGVO unter anderem durch Unterrichtung der Beschäftigten über die DSGVO-Vorgaben verantwortlich. Schulungen ermöglichen es in komprimierter Form dieser Pflicht nachzukommen und zudem ebenfalls den Nachweispflichten der DSGVO über den sicheren Umgang mit personenbezogenen Daten gerecht zu werden.
PDCA-Zyklus: Prüfschleifen
Aus den Vorgaben von Artikel 5 DSGVO, insbesondere den Grundsätzen der Rechtmäßigkeit, Richtigkeit, Transparenz und Rechenschaftspflicht folgt für das DSMS, dass die Datenverarbeitung regelmäßig kontrolliert und dokumentiert und ergriffene Maßnahmen wieder überprüft werden müssen. Entsprechende Prüfschleifen können nach dem PDCA (Plan, Do, Check, Act) – Zyklus gestaltet werden. Danach muss der Verantwortliche v.a. technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau zu gewährleisten und sicherstellen, dass die Wirksamkeit dieser Maßnahmen erhalten bleibt. Dafür bietet sich ein Verfahren in vier Schritten an:
- Spezifikation
Erster Schritt im Rahmen eines effektiven DSMS sollte die Feststellung sein, in welchen Prozessen im Unternehmen personenbezogene Daten verarbeitet werden und daher im Rahmen des PDCA-Zyklus Prüfschleifen zu unterziehen sind. Dabei empfiehlt es sich rechtliche Soll-Werte im Sinne von rechtlichen Vorgaben der DSGVO wie dem Zweckbindungsgrundsatz mit funktionalen Soll-Werten z.B. im Sinne von konkreten Bündelungsmaßnahmen gegenüberzustellen. Auf diese Weise kann gewährleistet werden, dass Maßnahmen im Rahmen des PDCA-Zyklus prüffähig sind. - Prüfen
In diesem Schritt sollte zunächst ein Überblick darüber gewonnen werden, welche Informationen für eine Prüfung erforderlich sind. Hierbei ist für jeden funktionalen Soll-Wert ein tatsächlicher Ist-Wert (z.B. mittels anzufertigender Protokolldaten) zu bestimmen und mit dem Soll-Wert zu vergleichen. Die Ergebnisse sind dabei zu dokumentieren. - Beurteilen
Dieser Schritt charakterisiert sich v.a. durch die rechtliche Überprüfung der Einhaltung der Vorgaben der DSGVO. Dabei ist es wichtig nicht nur einzelne DSGVO-Verstöße zu erkennen, sondern zugleich einem risikobasierten Ansatz zu folgen. Es gilt also einzelne Prozesse im Unternehmen hinsichtlich ihres Risikos für DSGVO-Verstöße zu bewerten und bei entsprechend hohem Risiko bereits vor Verstößen mit Verbesserungsmaßnahmen zu beginnen. - Verbessern
Verbesserungsmaßnahem sollten bei den zuvor gewonnen Ergebnissen ansetzen, konkrete funktionale Maßnahmen beinhalten und zudem die Vorgaben von Artikel 5 DSGVO berücksichtigen, indem z.B. zur Umsetzung des Grundsatzes der Datensparsamkeit die zu verarbeitende Menge personenbezogener Daten reduziert wird. Dabei ist u.a. auf besonders riskante Datenverarbeitungen im Hinblick auf Betroffenenrechte und ebenso auf Management-Prozesse und technische Anpassungen einzugehen. Außerdem ist darauf zu achten, dass das DSMS mit ggf. vorhandenen Managementsystemen kompatibel ist und sich in Abläufe innerhalb des Unternehmens einfügt (dazu gehört auch eine Einbindung von interner Revision, Betriebsrat und Projektmanagement).
Verknüpfung von DSMS und Verzeichnis der Verarbeitungstätigkeiten
Die DSGVO schreibt Unternehmen das Führen eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) vor. Das VVT kann schriftlich oder elektronisch geführt werden und ist den Aufsichtsbehörden auf Anfrage vorzulegen. In diesem Verzeichnis werden Zweck, Kategorie, Empfänger und Umfang der personenbezogenen Daten niedergelegt, die in einem Unternehmen verarbeitet werden. Überschneidungen zum DSMS werden deutlich. So kann die Einhaltung des Zweckbindungsgrundsatzes mittels des VVT leicht nachgewiesen werden. Beim Umgang mit besonders sensiblen Daten (Gesundheitsdaten, Bewerberdaten) kann im VVT zugleich ein Lösch- und Fristensystem sowie der besondere Schutz (Verschlüsselung) dieser Daten dokumentiert werden. Dadurch werden Prüfschleifen bezüglich dieser Daten erleichtert.
Ausgangspunkt für die Gestaltung eines VVT sind die Vorgaben von Artikel 30 DSGVO. Demgemäß müssen mindestens Name und Kontaktdaten des Verantwortlichen und seines Vertreters sowie des u.U. vorhandenen Datenschutzbeauftragten benannt werden. Weiterhin müssen Angaben zum Zweck der Datenverarbeitung, zu den Kategorien der verwendeten Daten, sowie zu Empfängern und möglichen Übermittlungen an Drittländer gemacht werden. Weiterhin ist dringend darauf zu achten, dass das VVT ein effektives Vertragsmanagement- und Dokumentationssystem beinhaltet, soweit durch Verträge personenbezogene Daten verarbeitet werden. Auch hier sollte ein besonderes Augenmerk auf die Übertragung von personenbezogenen Daten in Drittländer gelenkt werden.
Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung (DSFA) ist immer dann erforderlich, wenn bei der Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Interessen Einzelner besteht. Sie ist damit ebenfalls wichtiger Bestandteil eines effektiven DSMS. Ein hohes Risiko kann etwa aus dem Umfang, der Art oder der Aktualität von Daten erwachsen. Auch die Art und Weise der Verarbeitung, bspw. die Verwendung neuartiger Technologien kann ein solches Risiko begründen. Wird ein solches Risiko festgestellt, so ist dieses in der Regel den Aufsichtsbehörden anzuzeigen und in Kooperation mit den Aufsichtsbehörden darauf zu reagieren. Die Prüfschleifen des PDCA-Zyklus ermöglichen dabei eine regelmäßige Beurteilung der ergriffenen Maßnahmen und der Risikoentwicklung. Unternehmen können sich dabei an den von den Aufsichtsbehörden zu erstellenden Positiv- und Negativ-Listen orientieren, in welchen aufgelistet ist, wann besonders hohe Risiken bestehen und damit Datenschutz-Folgenabschätzungen erforderlich machen und wann nicht.
Betroffenenrechte
Auch der Umgang mit Betroffenenrechte stellt einen wesentlichen Bestandteil eines effektiven DSMS dar. Dabei ist es v.a. wichtig, dass Betroffene zum einen in einer leicht verständlichen Sprache darüber aufgeklärt werden, was mit ihren Daten passiert (Transparenzgrundsatz) und zum anderen welche Rechte ihnen zustehen (z.B. auf Widerspruch und Löschung). Mögliches Medium zur Umsetzung dieser Vorgaben ist die Datenschutzerklärung, deren konkrete Ausgestaltung ebenfalls Bestandteil des DSMS ist. Damit diese Rechte aber nicht ins Leere laufen, müssen Unternehmen im Rahmen des DSMS ein effektives System zum Umgang mit Betroffenenrechte einrichten, das u.a. konkrete Ansprechpartner- und Tools für Betroffenenanfragen vorsieht, Lösch- und Fristensysteme beinhaltet und den technischen Vorgaben der DSGVO (etwa geeignete Schnittstellen für das Recht auf Datenübertragbarkeit zu schaffen) entspricht.
Meldepflichten
Die DSGVO verpflichtet Unternehmen im Falle von Datenpannen unverzüglich -spätestens innerhalb von 72 Stunden- die Aufsichtsbehörden zu informieren. Besteht ein besonders hohes Risiko für die Rechte Einzelner sind auch Betroffene zu informieren. Bestandteil eines effektiven DSMS sind demnach auch innerbetriebliche Prozesse zum Umgang mit diesen Meldepflichten. Insbesondere müssen Mitarbeiter wissen, in welchen Fällen eine Datenpanne vorliegen könnte, wann der Datenschutzbeauftragte zu informieren ist und wie die Meldung gegenüber Aufsichtsbehörden und Betroffenen zu erfolgen hat.
Fazit
Ein effektives DSMS hat verschiedene Vorteile. Zum einen kann die Dokumentation und regelmäßige Überprüfung der Einhaltung der Vorgaben der DSGVO die Übersichtlichkeit fördern und zur Prozessoptimierung (nicht nur im Bereich des Datenschutzes) beitragen. Zum anderen wird ein effektives DSMS von der DSGVO ausdrücklich als bußgeldminderndes Merkmal berücksichtigt und kann unter Umständen sogar dem Vorwurf fahrlässiger DSGVO-Verstöße ganz entgegenstehen. Zur Einführung eines effektiven DSMS können sich Unternehmen an den Vorgaben der DSGVO orientieren und insbesondere das Verzeichnis der Verarbeitungstätigkeiten als Ausgangspunkt für eine entsprechende Einführung eines DSMS heranziehen.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.