Datenschutzmanagementsystem

Worum geht es?

Das Datenschutzmanagementsystem ist ein System in einem Unternehmen / sozialen Einrichtung um gesetzliche und betriebliche Datenschutzanforderungen zu erfüllen. Anhand der Plan-Do-Check-Act Methode dient es dazu, die Umsetzung des Datenschutzes systematisch zu planen, zu organisieren, zu steuern und zu kontrollieren. Es berücksichtigt strategische Zielsetzungen und leitet diese in operative Maßnahmen über.

Die Datenschutz-Grundverordnung (DS-GVO) richtet zumeist Anforderungen an den Verantwortlichen einer Datenverarbeitung. In den meisten Fällen ist das eine juristische Person. Um dieser Verantwortung nachzukommen und die Aufgaben und Pflichten zu steuern, bedarf es eines Managementsystems.

Jedes Unternehmen, was sich mit Datenschutz beschäftigt, besitzt ein Datenschutzmanagementsystem, auch wenn es nicht explizit verfasst und dokumentiert ist. Denn Sinn und Zweck eines Managementsysteme ist es grundlegend 2 Fragen zu beantworten:

  1. Wie wird Datenschutz im Unternehmen umgesetzt?
  2. Durch wen wird Datenschutz umgesetzt?

Warum ist ein Datenschutzmanagementsystem wichtig?

Aufgabe der Unternehmensführung ist es, die Umsetzung des Datenschutzes sicherzustellen. Ohne eine grundlegende Vorstellung, wie dies erreicht werden kann und welche Verantwortung jeder einzelne im Unternehmen tragen soll, kann es zu unterschiedlichsten Ausprägungen des Datenschutzes kommen. Der Umsetzungsstand kann sich hierbei von „Nicht umgesetzt“ oder der Herbeiführung von fahrlässigen/vorsätzlichen Datenschutzverstößen bis zu einer, den Unternehmenszielen entgegenstehenden, übertriebenen Umsetzung erstrecken.

Weitere Aufgabe des Datenschutzmanagementsystems: Ziele und Umsetzungswege des Datenschutzes festlegen und diese an den Unternehmenszielen ausrichten und nutzbringend einsetzen.

Was sollte alles in einem Datenschutzmanagementsystem betrachtet werden?

Sinn und Zweck des Managementsystems ist es, angepasst an die Gegebenheiten und Aufgaben des Unternehmens, Datenschutz umzusetzen. Wichtige Fragen sind hierfür:

  1. Wer trägt die Hauptverantwortung für den Datenschutz und hat über Maßnahmen zu entscheiden?
  2. Wie wird der Hauptverantwortliche unterstützt?
    1. Datenschutzbeauftragter (intern/extern)?
    2. Rechtsanwälte (intern/extern)?
    3. Interne Mitarbeiter?
  3. Welche Maßnahmen sind für das Unternehmen wichtig? Wie und durch wen sollten diese umgesetzt werden?
    1. Umsetzung der Rechenschaftspflicht
    2. Verzeichnis von Verarbeitungstätigkeiten
    3. Datenschutz-Folgenabschätzung
    4. Vertragsmanagement (Auftragsverarbeitung, Joint Controller, etc.)
    5. Schulung und Weiterbildung der Beschäftigten
    6. Risikomanagement und Entwicklung der technischen und organisatorischen Schutzmaßnahmen
    7. Umsetzung von Betroffenenrechten
    8. Umgang mit Datenschutzverstößen
    9. Auditierung/Zertifizierung

Dokumentiertes oder nicht-dokumentiertes Datenschutzmanagement

Ein dokumentiertes und nachvollziehbares Managementsystem ist einem nicht-beschriebenen vorzuziehen. Insbesondere da die DS-GVO korrekte Nachweise verlangt, insbesondere in den Artt. 5 (Rechenschaftspflicht) und 32 zur Ausgestaltung des Datenschutzes, fordert.

Zudem ist ein dokumentiertes Managementsystem auch hilfreich, um dieses im Unternehmen bekannt zu machen, die Mitverantwortlichen auf ihre Pflichten hinzuweisen und eine, nicht durch das Management gesteuerte, eigenständige Umsetzung des Datenschutzes zu unterbinden. Möglichkeiten zur Dokumentation könnten die Datenschutzleitlinie und/oder das Datenschutzkonzept sein.

Sie haben Fragen zur Umsetzung oder Einführung eines Datenschutzmanagementsystems? Sprechen Sie uns an!

Verfasser: Michael Konitzer, 17.04.2020

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!