DSGVO: Aufbau eines Datenschutzmanagementsystems erfolgreich umsetzen

DSGVO: Aufbau eines Datenschutzmanagementsystems erfolgreich umsetzen

Beitrag vom 28.07.2020

Zur Themenwelt Datenschutz

Datenschutzmanagementsystem (DSMS) im Überblick

Seit Ende Mai 2018 stellt die EU-Datenschutz-Grundverordnung (DSGVO) Unternehmen vor neue Herausforderungen.

Das gilt besonders für die Rechenschafts- und Nachweispflicht. Denn gemäß der DSGVO müssen alle Unternehmen, die personenbezogene Daten verarbeiten, in der Lage sein,

  • Rechenschaft darüber abzulegen, dass die Vorgaben zur Verarbeitung personenbezogener Daten eingehalten werden (Art. 5 Abs. 2 DSGVO) und
  • nachzuweisen, dass ihre Maßnahmen zu Datenschutz und Datensicherheit wirksam sind.

Der Schlüssel, um diese Anforderungen zu erfüllen und hohe Bußgelder zu vermeiden, ist ein Datenschutzmanagementsystem.

Hier gehen wir darauf ein, warum ein solches System entscheidend ist. Außerdem geben wir Tipps, was beim Aufbau im eigenen Unternehmen zu beachten ist.
 

Warum Unternehmen ein Datenschutzmanagementsystem aufbauen sollten

Muss ich ein Datenschutzmanagementsystem betreiben, wenn ich personenbezogene Daten verarbeite?

Auf den ersten Blick nicht. Die DSGVO verpflichtet nicht ausdrücklich dazu. Trotzdem lautet die Antwort „Ja“. Denn es ist schlichtweg unmöglich, die Rechenschafts- und Nachweispflicht ohne ein geordnetes System umzusetzen.

Dabei hat ein DSMS mehrere Vorteile:

  • Rechtssicherheit: Indem das Managementsystem für funktionierenden Datenschutz und Nachweisbarkeit sorgt, bewahrt es vor hohen Bußgeldern und Haftungsansprüchen. Kommt es trotzdem zu einem Verstoß, kann sich ein DSMS bußgeldmindernd auswirken.
  • Sicherheit für Kunden: Kunden werden immer sensibler für das Thema Datenschutz. Ein striktes Datenschutzmanagementsystem fördert ein positives Image.
  • Sicherheit der personenbezogenen Daten der eigenen Mitarbeitenden: Mit einem Datenschutzmanagementsystem sind auch die Daten der eigenen Mitarbeitenden sicherer.
  • Effizientere Prozesse: Die Einhaltung der Vorgaben der DSGVO macht nicht nur den Datenschutz in Unternehmen effizienter. Sie wirkt sich zudem günstig auf andere Prozesse aus.

Dieses Video kann aufgrund Ihrer Datenschutzeinstellung leider nicht abgespielt werden.
Sie können Ihre Einstellungen jederzeit hier ändern.

Auf Youtube ansehen

Tim Günther, Referent und Rechtsanwalt, erklärt: Was ist der größte Erfolg der DSGVO? Wo liegen ihre Schattenseiten?

Wie ein DSMS aufgebaut ist

Das zentrale Prinzip jedes Managementsystems ist der sogenannte PDCA-Zyklus (von „Plan“, „Do“, „Check“, „Act“). Ihn greift auch die DSGVO auf.

Schließlich verlangt sie von Verantwortlichen,

  • strategische und operative Vorgaben verbindlich einzuführen (Plan),
  • diese Vorgaben umzusetzen (Do),
  • regelmäßig zu prüfen, ob sie wirksam und angemessen sind (Check) und
  • bei Bedarf Vorgaben anzupassen und dadurch den Datenschutz zu optimieren (Act).

Laut Karsten Schulz, zertifizierter Datenschutzbeauftragter und Inhaber von Datenschutz.systems, haben Unternehmen einen Vorteil, die bereits andere Managementsysteme umsetzen, zum Beispiel ein Qualitätsmanagement nach ISO 9001 oder ein Umweltmanagement nach ISO 14001. Der Grund: Sie sind mit den Strukturen von Managementsystemen vertraut.

Eine wertvolle Hilfe in jedem Fall ist eine gelebte Datenschutzrichtlinie, die Vorgaben der Unternehmensleitung zu Planung, Durchführung, Kontrolle und Anpassungen enthält.

Datenschutzmanagementsystem aufbauen – so geht es Schritt für Schritt

Um ein funktionierendes Datenschutzmanagementsystem aufzubauen und umzusetzen, gehen Verantwortliche laut Karsten Schulz am besten folgendermaßen vor:

  1. Am Anfang steht die Entscheidung der Geschäftsführung, Datenschutz umzusetzen. Gleichzeitig spielt die Frage eine wichtige Rolle, ob das Unternehmen „nur“ die gesetzlichen Vorgaben umsetzen oder einen Schritt weitergehen will. Ein besonders strikter Datenschutz kann dazu beitragen, das Vertrauen von Kunden, Partnern und Mitarbeitenden zu fördern. Er erfordert aber den Einsatz von mehr Ressourcen. Zum Beispiel sind dann häufigere Datenschutz-Schulungen für Mitarbeitende sinnvoll.
     
  2. Im zweiten Schritt geht es darum, die eigenen Datenschutz-Ziele zu definieren. Die deutschen Aufsichtsbehörden haben dafür ein Standarddatenschutzmodell (SDM) entwickelt, das 7 Gewährleistungsziele formuliert:
    1. Datensparsamkeit
    2. Vertraulichkeit
    3. Integrität
    4. Verfügbarkeit
    5. Intervenierbarkeit
    6. Transparenz
    7. Nichtverkettung

    Diese Ziele und die Maßnahmen, um sie zu erreichen, gilt es für die eigene Organisation zu konkretisieren, zum Beispiel durch Regeln für die Vergabe von Zugriffsrechten und eine klare Rollenverteilung. So lassen sich konkrete Regelungen erstellen und durch Richtlinien, Leitlinien und Konzepte verordnen.

    Datenschutzverantwortlicher ist zunächst einmal der Chef bzw. Geschäftsführer. Er kann diese Verantwortlichkeit delegieren. In der Regel werden Leitungskräfte wie Abteilungsleiter oder Teamleiter zu Datenschutzverantwortlichen ernannt oder eine eigene, übergeordnete Position geschaffen.

    Wichtig: Zu den Pflichten eines betrieblichen Datenschutzbeauftragten gehört es, den oder die Verantwortlichen zu beraten und zu kontrollieren. Deshalb können sie nicht beides in einer Person sein.
     
  3. Die Regelungen zum Datenschutz werden den Mitarbeitenden vermittelt. Entscheidend ist, dass diese verstehen, welche Auswirkungen sich daraus für ihre eigene Tätigkeit ergeben.
     
  4. Zu einem DSMS gehört der korrekte Umgang mit Datenschutzvorfällen. Wenn ein Risiko für betroffene Personen entsteht, müssen die Vorfälle innerhalb von 72 Stunden der Datenschutzbehörde gemeldet werden. Damit das im Ernstfall klappt, ist es wichtig, Beschäftigte zu sensibilisieren, Meldemöglichkeiten einzurichten und ein Expertenteam für die Untersuchung von Vorfällen etablieren.
     
  5. Schließlich müssen Geschäftsführer regelmäßig überprüfen, ob die technischen und organisatorischen Maßnahmen zum Datenschutz in ihrem Unternehmen die erforderliche Wirkung zeigen. Das lässt sich durch Berichte des eigenen Datenschutzbeauftragten und interner Verantwortlicher realisieren. Stellen sich dabei Defizite heraus, sind Optimierungsmaßnahmen notwendig.

Umsetzungswille, Know-how und Ressourcen – diese Voraussetzungen sind entscheidend für ein erfolgreiches Datenschutzmanagement

Für Karsten Schulz steht und fällt der Erfolg von Datenschutzmanagement mit der Einstellung: „Der Chef muss es wollen. Er muss es nicht mögen, aber er muss es wollen.“

Ebenfalls zentral ist das entsprechende Know-how. Unternehmen mit Datenschutzbeauftragten haben einen fachkundigen Berater im Haus. Alle anderen sollten sich externe Hilfe holen.

Wichtig dabei: Eine einmalige Beratung reicht nicht. Denn im Datenschutz ergeben sich laufend neue Erkenntnisse, zum Beispiel durch Gerichtsurteile oder Stellungnahmen von Datenschutzbehörden. Sich darüber auf dem Laufenden zu halten, ist aufwendig, aber notwendig, um die DSGVO umsetzen zu können.

Mehr Effizienz durch Zusammenarbeit von IT-Sicherheit und Datenschutz

Ein Bereich, zu dem Datenschutz in Unternehmen besonders viele Schnittstellen aufweist, ist die IT-Sicherheit. Schließlich beschäftigen sich beide mit der Sicherheit von Daten. Diese Überschneidung lässt sich nutzen.

Voraussetzung dafür ist, dass sich die jeweiligen Beauftragten eng miteinander abstimmen. So lassen sich Interessenkonflikte klären, wenn zum Beispiel die IT Analysen durchführen will, die Datenschutzrechte verletzen könnten. Gleichzeitig können Unternehmen durch ausgewiesenen IT- und Datenschutz Wettbewerbsvorteile erzielen. Ziehen alle Beteiligten an einem Strang, klappt das am besten.