Was ist ein Datenschutz-Managementsystem …
Unternehmen arbeiten oft mit einer Vielzahl von Managementsystemen. Jedes einzelne Managementsystem ist eine Art „Baukasten“, in dem sich geeignete Strukturen, Prozesse und Methoden befinden, um ein fest definiertes Ziel zu erreichen. Das Ziel von Datenschutz-Managementsystemen, welches mit DSMS abgekürzt wird, ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß Art. 1 DSGVO.
… und wer benötigt es?
Es gibt keine Pflicht für Unternehmen zur Errichtung eines Datenschutz-Managementsystems. Auch gibt es keine verbindlichen Vorgaben für die Festlegung der konkreten Zuständigkeiten, Prozesse und Abläufe. Damit erfüllen Unternehmen mit der Einführung eines DSMS nicht automatisch die Anforderungen aus der Datenschutz-Grundverordnung (DSGVO). Erst die Verzahnung des DSMS mit den DSGVO-Anforderungen minimiert die Wahrscheinlichkeit von Datenschutzverletzungen und damit verbunden das unternehmerische Risiko durch die Verhängung von Bußgeldern oder Sanktionen und damit einhergehend mögliche Imageverluste.
Gibt es verbindliche Vorgaben oder Standards für die Umsetzung eines Datenschutz-Managementsystems?
Verbindlich vorgeschrieben werden keine Standards oder Vorgaben für die Implementierung eines Datenschutz-Managementsystems. Als normativ für die Ausgestaltung eines DSMS können jedoch die Anforderungen aus dem Bundesdatenschutzgesetz (BDSG) und der europäischen Datenschutz-Grundverordnung (DSGVO) angesehen werden. Die konkrete Umsetzung kann je nach Organisation und Sektor sehr individuell erfolgen.
Aber es haben sich Normen am Markt etabliert, die bei der Implementierung eines DSMS Hilfestellung bieten können. Einer der ersten Normen im deutschen Markt ist die VdS 10010, welche vom Verband der Schadenverhütung in Köln herausgegeben wird. Die VdS 10010 ist der Mindeststandard zur Umsetzung des Datenschutz-Anforderungen für KMU. Ebenfalls zu nennen ist der Prüfstandard IDW PS 860 (IT-Prüfung außerhalb der Abschlussprüfung) mit seiner Erweiterung IDW PH 9.860.1 (IDW-Prüfungshinweis: Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz).
International hat sich die Erweiterungsnorm ISO 27701 etabliert. Die ISO 27701 erweitert Informationssicherheitsmanagementsysteme (ISMS nach ISO 27001) um spezifische Maßnahmen zum Schutz von personenbezogenen Daten.
Was ist der Unterschied zwischen einem Informationssicherheitsmanagementsystem (ISMS) und einem Datenschutz-Managementsystem (DSMS)?
Beim ISMS geht es um die Informationssicherheit eines Unternehmens: für die Organisation relevante Informationen müssen hinsichtlich der Vertraulichkeit, der Integrität und ihrer Verfügbarkeit geschützt werden. Geschützt werden alle unternehmenswichtigen Informationen, unabhängig des Informationsträgers (digital, papierbasiert) für eine Organisation vor Vernichtung, Verlust, unberechtigtem Zugriff und vor nicht autorisierten Änderungen.
Beim Datenschutz-Managementsystem werden ausschließlich die personenbezogenen Daten betrachtet. Auf der einen Seite sind diese Informationen auch zu schützen, auf der anderen müssen die hohen gesetzlichen Anforderungen aus der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) oder auch Landesdatenschutzgesetze und spezialgesetzliche Vorschriften an den Umgang mit personenbezogenen Daten erfüllt werden: Rechtmäßigkeit, Datenminimierung, Transparenz sind einige wichtige Stichworte in diesem Zusammenhang, wie auch die Umsetzung konkreter Maßnahmen wie eine Datenschutz-Folgenabschätzung (DSFA), umfangreiche Dokumentationen wie etwa das Verzeichnis Verarbeitungstätigkeiten (VVT), das Umsetzen eines Löschkonzepts (z.B. nach DIN 66398) und die Einführung weiterer technischer und organisatorischer Maßnahmen (TOMs) zum Schutz personenbezogener Daten.
Wer im Unternehmen ist zuständig und verantwortlich für das DSMS?
Der Datenschutzbeauftragte ist in den Datenschutz-Managementsystemen zwingend vorgesehen. Der Experte, der diese Funktion als interner oder externer Datenschutzbeauftragter ausüben kann, ist für den Betrieb des DSMS zuständig. Die Verantwortung trägt aber immer das Top-Management, also der Inhaber oder Geschäftsführer des Unternehmens. Dies ist auch von zentraler Bedeutung für des Erfolg eines Managementsystems: entscheidend sind das Commitment der Geschäftsleitung zum Datenschutz und eine entsprechende Unternehmenskultur.
Welche Vorgehensweisen für Aufbau und Betrieb eines Datenschutz-Managementsystems?
Im ersten Schritt erfolgt die Entscheidung des Top-Managements, dass ein DSMS nach dem gewählten Standard aufgebaut und betrieben werden soll. Das Top-Management verpflichtet sich, alle notwendigen Ressourcen für die Implementierung des Datenschutz-Managementsystem bereitzustellen und veröffentlicht unternehmensintern sein Commitment.
Danach erfolgt eine Bestandsaufnahme durch ein Datenschutzaudit: Welche Abläufe und Prozesse im Unternehmen sind besonders datenschutzrelevant? Wo finden sich Schwachstellen? Welche Strukturen und Maßnahmen sind zum Schutz personenbezogener Daten bereits etabliert, welche fehlen? Die Ergebnisse des Datenschutz-Audits bilden zusammen mit den rechtlichen oder vertraglichen Anforderungen die Grundlage für das individuell auf das Unternehmen zugeschnittene Datenschutz-Konzept und den Projektplan.
Es folgen die Umsetzung der Maßnahmen und die Dokumentation des Datenschutz-Managementsystems und die Etablierung eines kontinuierlichen Verbesserungsprozesses im laufenden Betrieb. Diese Arbeitsweise ist auch bekannte als PDCA-Zyklus: Plan, Do, Check, Act. Art. 24 Abs. 1 DSGVO impliziert diesen PDCA-Zyklus, ohne ihn explizit zu fordern und gibt ihn als Best Practice-Ansatz vor:
Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (Art. 24 Abs. 1 DSGVO)
Hat das Unternehmen bereits Erfahrungen mit Managementsystemen, wie beispielsweise ISO 9001 (Qualitätsmanagement), ISO 27001 (ISMS) oder ISO 22301 (Business Continuity), kann das Datenschutz-Managementsystem in diese bestehende Landschaft integriert werden.
Ihr externer Datenschutzbeauftragter
Christopher Schroer
- TISAX®-Foundation / TISAX®-Professional (TÜV Süd)
- ISO/IEC 27001 Lead Auditor
- VdS-Berater für Datenschutz-Managementsysteme
- DEKRA-zertifizierter Datenschutzbeauftragter
- Datenschutzbeauftragter nach Verbandkriterien verpflichtet (BvD)
- Trainer Datenschutz-Koordinatoren/-beauftragte TÜV Akademie Rheinland
Weitere Informationen zu Christopher Schroer finden Sie hier.
Von Kunden ausgezeichnet!
Kostenlose Erstberatung
firstbyte digital consulting ist mit seiner Erfahrung ein starker, zuverlässiger Partner für Ihr Unternehmen, mit viel Know-how, Herzblut und Engagement. Individuell und auf Augenhöhe beraten wir Sie umfassend.
Stillstand ist Bedrohung: Daher engagiert sich firstbyte digital consulting in namhaften Verbänden und Projekten wie im Cyber Security Cluster Bonn, der Allianz für Cyber-Sicherheit, nrw·units oder auch dem IT-Forum Oberberg.
Sie möchten erfahren, wie wir Sie sicherer machen? Nutzen Sie unseren Termin-Service und buchen Sie jetzt Ihr kostenloses, unverbindliches Erstgespräch.