Zum Inhalt springen

Datenschutz

DS-GVO: Datenschutzmanagementsystem erfolgreich umsetzen

Lesen Sie, wie ein DSMS aufgebaut ist, welche Vorteile es hat und wie die Umsetzung im Unternehmen funktioniert.

Zum Blog Wissen kompakt
Person hält ein Smartphone in der Hand, vor ihr steht ein aufgeklappter Laptop auf einem Schreibtisch.
10. Januar 2025

Datenschutzmanagementsystem (DSMS) im Überblick

Die EU-Datenschutz-Grundverordnung, kurz DS-GVO , ist mittlerweile einige Jahre alt. So hat sich auch der Umgang mit ihr geändert. Karsten Schulz, zertifizierter Datenschutzbeauftragter und Inhaber von Datenschutz.systems, beobachtet, dass die anfängliche Abwehrhaltung in Unternehmen Akzeptanz gewichen ist. 

Gleichzeitig bleibt es eine Herausforderung, die Anforderungen der DS-GVO umzusetzen. Der Schlüssel dazu: ein effizientes Datenschutzmanagementsystem. Hier gehen wir darauf ein, warum ein solches System entscheidend ist und was es ausmacht. Außerdem geben wir Tipps für den Aufbau und die erfolgreiche Umsetzung im eigenen Unternehmen. 

Was ist ein Datenschutzmanagementsystem? – Definition

Ein Datenschutzmanagementsystem (DSMS) unterstützt Unternehmen, den Datenschutz im Einklang mit der DS-GVO zu organisieren und zu überwachen. Es umfasst Prozesse, Richtlinien und technische Maßnahmen, um personenbezogene Daten sicher zu verarbeiten, Risiken zu minimieren und die Einhaltung von Datenschutzbestimmungen nachweisbar zu gewährleisten.

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Warum ein DSMS wichtig ist – die Vorteile

Muss ich ein Datenschutzmanagementsystem betreiben, wenn ich personenbezogene Daten verarbeite?

Die DS-GVO verpflichtet nicht ausdrücklich dazu. Trotzdem lautet die Antwort Ja. Denn es ist unmöglich, die Rechenschafts- und Nachweispflicht ohne ein geordnetes System umzusetzen.

Dabei hat ein DSMS mehrere Vorteile:

Da ein effizientes Managementsystem für funktionierenden Datenschutz und Nachweisbarkeit sorgt, bewahrt es vor Bußgeldern und Haftungsansprüchen. Kommt es trotzdem zu einem Verstoß, wirkt sich ein DSMS oft bußgeldmindernd aus. Fehler, so Karsten Schulz, werden von Datenschutzbehörden in der Regel akzeptiert, wenn Unternehmen nachweisen können, dass sie ein systematisches Datenschutzmanagement betreiben.

Kund:innen werden immer sensibler für das Thema Datenschutz. Ein striktes Datenschutzmanagementsystem fördert deshalb ein positives Image.

Mit einem Datenschutzmanagementsystem sind auch die personenbezogenen Daten der eigenen Mitarbeitenden sicherer.

Die Einhaltung der Vorgaben der DS-GVO wirkt sich auf viele Prozesse in Unternehmen positiv aus.

Wie ein DSMS aufgebaut ist

Das zentrale Prinzip jedes Managementsystems ist der sogenannte PDCA-Zyklus (von „Plan“, „Do“, „Check“, „Act“). Ihn greift auch die DS-GVO auf.

Schließlich verlangt sie von Verantwortlichen,

  • strategische und operative Vorgaben verbindlich einzuführen (Plan),
  • diese Vorgaben umzusetzen (Do),
  • regelmäßig zu prüfen, ob sie wirksam und angemessen sind (Check) und
  • bei Bedarf Vorgaben anzupassen und dadurch den Datenschutz zu optimieren (Act).

Karsten Schulz sieht hier Unternehmen im Vorteil, die bereits andere Managementsysteme umsetzen, zum Beispiel ein Qualitätsmanagement nach ISO 9001 oder ein Umweltmanagement nach ISO 14001. Der Grund: Sie sind mit den Strukturen von Managementsystemen vertraut. Oft können sie ein DSMS einfach in existierende Managementsysteme integrieren.

Unterstützung bietet eine gelebte Datenschutzrichtlinie, die Vorgaben der Unternehmensleitung zu Planung, Durchführung, Kontrolle und Anpassungen enthält.

Wichtig: Eine maßgebliche Norm für Datenschutzmanagementsysteme wie die ISO 9001 im Bereich Qualitätsmanagement gibt es nicht. Aber Unternehmen, die ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 betreiben, können ihr DSMS nach ISO 27701 zertifizieren lassen.

Unsere Seminar-Empfehlungen für Sie

Seminar & Webinar

Datenschutzauditor (TÜV)

In dieser Datenschutzbeauftragten-Weiterbildung erstellen Sie einen 26-seitigen Prüfplan, der in 10 Kapitel unterteilt ist, und sind somit optimal auf Ihre Arbeit als Auditor vorbereitet. Nach der dreitägigen Ausbildung haben Sie am vierten Tag die Möglichkeit, die Prüfung zum „Datenschutzauditor (TÜV)“ abzulegen.
Zu den Veranstaltungen
Seminar & Webinar

DSGVO-Seminar für den Arbeitsalltag

Dieses DSGVO-Seminar bietet Ihnen Mustertexte, Checklisten und Ablaufpläne sowie Praxisübungen, in denen Sie durch Austausch und Diskussionen Datenschutz-Texte erstellen, die Sie direkt in Ihrem Unternehmen nutzen können.
Zu den Veranstaltungen
Seminar & Webinar

Datenschutzbeauftragter (TÜV)

Unsere erfahrenen Referenten vermitteln Ihnen in unserem Datenschutzbeauftragter-Seminar die Theorie anhand vieler Beispiele aus der Praxis. Am Ende des vierten Tages der Ausbildung haben Sie die Möglichkeit, an einer Prüfung mit dem Zertifikatsabschluss Datenschutzbeauftragter (TÜV®) teilzunehmen.
Zu den Veranstaltungen

Datenschutzmanagementsystem aufbauen – so geht es Schritt für Schritt

Um ein funktionierendes Datenschutzmanagementsystem aufzubauen und umzusetzen, gehen Verantwortliche laut Karsten Schulz am besten folgendermaßen vor:

  1. Am Anfang steht die Entscheidung der Geschäftsführung, Datenschutz umzusetzen. Gleichzeitig spielt die Frage eine wichtige Rolle, ob das Unternehmen „nur“ die gesetzlichen Vorgaben umsetzen oder einen Schritt weitergehen will. Ein besonders strikter Datenschutz kann dazu beitragen, das Vertrauen von Kunden, Partnern und Mitarbeitenden zu fördern. Er erfordert aber den Einsatz von mehr Ressourcen. Zum Beispiel sind dann häufigere Datenschutz-Schulungen für Mitarbeitende sinnvoll.
     
  2. Im zweiten Schritt geht es darum, die eigenen Datenschutz-Ziele zu definieren. Die deutschen Aufsichtsbehörden haben dafür ein Standarddatenschutzmodell (SDM) entwickelt, das 7 Gewährleistungsziele formuliert:
    1. Datensparsamkeit
    2. Vertraulichkeit
    3. Integrität
    4. Verfügbarkeit
    5. Intervenierbarkeit
    6. Transparenz
    7. Nichtverkettung

    Diese Ziele und die Maßnahmen, um sie zu erreichen, gilt es für die eigene Organisation zu konkretisieren, zum Beispiel durch Regeln für die Vergabe von Zugriffsrechten und eine klare Rollenverteilung. So lassen sich konkrete Regelungen erstellen und durch Richtlinien, Leitlinien und Konzepte verordnen.

    Datenschutzverantwortlicher ist zunächst einmal der Chef bzw. Geschäftsführer. Er kann diese Verantwortlichkeit delegieren. In der Regel werden Leitungskräfte wie Abteilungsleiter oder Teamleiter zu Datenschutzverantwortlichen ernannt oder eine eigene, übergeordnete Position geschaffen.

    Wichtig: Zu den Pflichten eines betrieblichen Datenschutzbeauftragten gehört es, den oder die Verantwortlichen zu beraten und zu kontrollieren. Deshalb können sie nicht beides in einer Person sein.
     
  3. Die Regelungen zum Datenschutz werden den Mitarbeitenden vermittelt. Entscheidend ist, dass diese verstehen, welche Auswirkungen sich daraus für ihre eigene Tätigkeit ergeben.
     
  4. Zu einem DSMS gehört der korrekte Umgang mit Datenschutzvorfällen. Wenn ein Risiko für betroffene Personen entsteht, müssen die Vorfälle innerhalb von 72 Stunden der Datenschutzbehörde gemeldet werden. Damit das im Ernstfall klappt, ist es wichtig, Beschäftigte zu sensibilisieren, Meldemöglichkeiten einzurichten und ein Expertenteam für die Untersuchung von Vorfällen etablieren.
     
  5. Schließlich müssen Geschäftsführer regelmäßig überprüfen, ob die technischen und organisatorischen Maßnahmen zum Datenschutz in ihrem Unternehmen die erforderliche Wirkung zeigen. Das lässt sich durch Berichte des eigenen Datenschutzbeauftragten und interner Verantwortlicher realisieren. Stellen sich dabei Defizite heraus, sind Optimierungsmaßnahmen notwendig.

Diese Voraussetzungen sind entscheidend für ein erfolgreiches Datenschutzmanagement

Für Karsten Schulz steht und fällt der Erfolg von Datenschutzmanagement mit der Einstellung der Geschäftsführung. „Der Chef muss es wollen. Er muss es nicht mögen, aber er muss es wollen.“ 

Der Umsetzungswille sollte sich auch in den Ressourcen zeigen, die Geschäftsführer:innen für Datenschutz zur Verfügung stellen. In kleineren Unternehmen, in denen Mitarbeitende die Rolle der/des Datenschutzbeauftragten in Teilzeit ausführen, sei die Zeit dafür oft zu knapp bemessen, so Karsten Schulz. 

Wichtig: Wenn Geschäftsführer:innen die Verantwortung für den Datenschutz an Mitarbeitende delegieren, reicht es nicht, diesen eine Datenschutzrichtlinie in die Hand zu drücken und sie in eine Schulung zu schicken. Sie müssen auch nachweisen können, dass Mitarbeitende Datenschutzprozesse verstanden haben und Rückfragen stellen konnten. Andernfalls tragen sie die Verantwortung für Fehler. 

Datenschutz-Know-how können sich Unternehmen von außen holen: in Form externer Berater:innen und/oder durch Schulungen von Mitarbeitenden. Wichtig ist, dass das Wissen auf dem neuesten Stand bleibt. Denn im Datenschutz ergeben sich ständig neue Erkenntnisse, zum Beispiel durch Gerichtsurteile oder Stellungnahmen von Datenschutzbehörden. Sich darüber auf dem Laufenden zu halten, ist aufwendig, aber notwendig, um die DS-GVO umsetzen zu können.

In der Realität, beobachtet Karsten Schulz, sei es oft ideal, wenn Unternehmen Mitarbeitende im Datenschutz ausbilden und bei Bedarf zusätzlich auf das Fachwissen eines/r externen Berater:in zugreifen können. „Das Zusammenspiel der Geschäftsführung, einer Koordinatorin beziehungsweise eines Koordinators vor Ort und einer externen Fachkoryphäe, die auf Zuruf beraten kann, funktioniert meiner Erfahrung nach sehr gut.“

Datenschutzbeauftragte in Unternehmen fühlen sich schnell alleingelassen mit ihren Fragen. Karsten Schulz rät deshalb, Ihnen Gelegenheit zum Austausch zu geben. „Dafür eignen sich zum Beispiel Treffen von Berufsverbänden, Besuche von Erfahrungskreisen oder regelmäßige Weiterbildungen.“Umsetzungswille

Für Karsten Schulz steht und fällt der Erfolg von Datenschutzmanagement mit der Einstellung der Geschäftsführung. „Der Chef muss es wollen. Er muss es nicht mögen, aber er muss es wollen.“

Neuerungen und wichtige Änderungen in der jüngsten Vergangenheit

Die zentralen Anforderungen der DS-GVO sind heute die gleichen wie 2018. Allerdings sind sie durch manches Gerichtsurteil in der jüngsten Vergangenheit konkretisiert worden. Gleichzeitig hat sich der Umgang mit Datenschutzregelungen vereinheitlicht. „In den ersten Jahren waren die Datenschutzbehörden in unterschiedlichen Bundesländern oft verschiedener Meinung über die Umsetzung der DS-GVO. Unternehmen, die Niederlassungen in mehreren Bundesländern hatten, mussten Datenschutz dann unterschiedlich betreiben. Das hat sich glücklicherweise geändert.“

Vor allem „indirekt“ wirken sich für Karsten Schulz Regelungen zur Informationssicherheit wie die NIS2 aus. Sie erhöhen die Anforderungen an technisch-organisatorische Maßnahmen, die für mehr Datensicherheit sorgen. Davon profitiert auch der Datenschutz. 

Überhaupt weisen Datenschutz und IT-Sicherheit viele Schnittstellen auf. Schließlich beschäftigen sich beide mit der Sicherheit von Daten. Diese Überschneidung lässt sich nutzen.

Voraussetzung dafür ist, dass sich die jeweiligen Beauftragten eng miteinander abstimmen. So lassen sich Interessenkonflikte klären, wenn zum Beispiel die IT-Analysen durchführen will, die Datenschutzrechte verletzen könnten. Gleichzeitig können Unternehmen durch ausgewiesenen IT- und Datenschutz Wettbewerbsvorteile erzielen. Ziehen alle Beteiligten an einem Strang, klappt das am besten.

Ein funktionierendes DSMS schützt langfristig

Absolute Sicherheit gibt es nicht. Das gilt auch für den Datenschutz. Kleine Versehen führen deshalb in aller Regel nicht zu schwerwiegenden Konsequenzen

Wichtig ist aber, dass Unternehmen ein systematisches Datenschutzmanagementsystem betreiben und dies bei Bedarf nachweisen können. Dazu gehört es, Prozesse zu definieren und zu optimieren, Verantwortliche zu schulen und ihnen ausreichende Ressourcen zur Verfügung zu stellen. 

Schließlich ist der Wille erforderlich, Datenschutz ernsthaft zu betreiben. Als Belohnung winken neben mehr Rechtssicherheit effizientere Geschäftsprozesse und ein besseres Unternehmensimage.

Weitere Artikel lesen

Person programmiert auf einem Laptop, bunte Codezeilen sind auf dem Bildschirm sichtbar.
Datenschutz bei Websites
Zwei IT-Fachkräfte arbeiten gemeinsam an Code auf mehreren Monitoren in einem modernen Büro
Datenschutzfolgenabschätzung
Person arbeitet an einem Laptop mit angezeigtem Datenschutzsymbol auf dem Bildschirm.
Internationaler Datenschutz
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Melanie Braunschweig, Mitarbeiterin der TÜV NORD Akademie

Melanie Braunschweig

Produktmanagerin Datenschutz und IT, TÜV NORD Akademie GmbH & Co. KG
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42 / mbraunschweig@tuev-nord.de