Datenschutzmanagementsystem

Warum ein Managementsystem für den Datenschutz?

Beim Durcharbeiten der Datenschutz-Grundverordnung (Englisch: GDPR) fällt auf, dass die Anforderungen an den Datenschutz ohne ein Datenschutz-Managementsystem (DSMS) nicht erfüllt werden können. Beleuchten wir einmal einige Punkte, bei denen die Anforderung verständlich wird.

• Art. 5 DSGVO stellt die Grundsätze für die Verarbeitung personenbezogener Daten dar,
• Art. 30 DSGVO legt dem Verantwortlichen auf, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen,
• Art. 32 DSGVO regelt, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen haben, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung von personenbezogenen Daten gemäß der Datenschutz-Grundverordnung erfolgt,
• Art. 35 DSGVO verpflichtet den Verantwortlichen bei Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der personenbezogenen Daten durchzuführen.

 

Rechenschaftspflicht

Die DSGVO (Datenschutz-Grundverordnung) hat für Unternehmen umfangreiche Nachweispflichten zur Folge (“accountability”). Nicht nur die Vorgaben durch die Datenschutz-Grundverordnung (DSGVO) müssen sie erfüllen. Unternehmen müssen auch nachweisen können, dass sie die Vorgaben der DSGVO  einhalten (Artikel 5 Absatz 2 DSGVO).

Die Beweispflicht liegt beim Unternehmen. Mit der Implementierung und Aufrechterhaltung eines Datenschutz-Managementsystems kann ein Unternehmen dafür sorgen, dass diese Anforderungen auch eingehalten werden können. Fehlen wichtige Vorgabedokumente oder Nachweise, drohen Nachteile wie Bußgelder oder Schadensersatzansprüche.

Welche Punkte sollte eine Datenschutzrichtlinie umfassen? Lesen Sie hierzu unseren Beitrag Datenschutz-Richtlinie.

Was ist ein Managementsystem?

Bei Wikipedia wird ein Managementsystem wie folgt beschrieben:

Managementsysteme stellen aufeinander und miteinander verbundene und abgestimmte Elemente (Aufgaben, Pflichten usw.) als System dar, um systematisch die Ziele einer formalen Organisation zu erreichen. In der Regel stellen heutige Managementsysteme ein Minimalsystem als Standard zur Unternehmensführung bereit. Einzelne Managementsysteme lassen sich einzeln, in teilen oder in Verbindung mit anderen Managementsystemen in Unternehmen bzw. Organisationen implementieren. Die Einführung und der Aufbau von Managementsystemen obliegt zumeist der Unternehmensführung. Um die inhaltliche Wirksamkeit von Managementsystemen beurteilen zu können, bieten sich Audits an. Bei dem Wort „Managementsystem“ handelt es sich um ein Kofferwort aus „Management“ und „System“ und sollte im Deutschen eher als „System der Unternehmensführung“ verstanden bzw. interpretiert werden. Quelle: https://de.wikipedia.org/wiki/Managementsystem

Einfach ausgedrückt, wird in einem (Datenschutz-) Managementsystem geregelt, wie das Unternehmen Anforderungen mit welchen Mitteln so erfüllen will, so dass es jederzeit eben diese Anforderungen einhält. Die Anforderungen der DSGVO sind Gesetz, während andere Anforderungen auch aus internen Richtlinien kommen oder Anforderungen von Auftraggebern  sein können.

 

Welche Managementsysteme bieten sich an?

Managementsysteme auf Basis internationaler Standards sind eine gute Wahl. Bedauerlicherweise gibt es für die Anforderungen der DSGVO keinen Management-Standard (Stand:29.11.2017), wie sie zum Beispiel für die Informationssicherheit bekannt ist (ISO/IEC 27001) oder den Standard für Datenschutz in der Cloud (ISO/IEC 27018). Bei diesem handelt es sich speziell um die Verarbeitung personenbezogener Daten in der Cloud.

Die DSGVO nennt explizit die Möglichkeit der Nutzung von Standards als Nachweis der Konformität. Eine Zertifizierung nach ISO/IEC 27001  kann Unternehmen (Auftraggebern und Auftragnehmern) insbesondere den Nachweis zur Sicherheit der Verarbeitung nach Artikel 32 DSGVO vereinfachen.

Ein Trend zur Nutzung von Zertifikaten ist bereits auszumachen. Immer mehr Auftraggeber erwarten ein gültiges Zertifikat ISO/IEC 27001 im Rahmen der Auftragsdatenverarbeitung.

 

 

Umsetzung des Datenschutz-Management-Systems extern oder intern?

Es kommt drauf an. Ist ein interner DSB bestellt, macht es sicherlich Sinn, dass sich dieser um die Projektvorarbeiten, die Implementierung und die Aufrechterhaltung kümmert. Voraussetzung dafür ist, dass der interne Datenschutzbeauftragte die notwendige Zeit dafür mitbringt.  Natürlich benötigt er auch die notwendigen Kenntnisse über Projektmanagement und Managementsysteme. Für die interne Umsetzung sprechen die Prozesskenntnis des internen DSB (ist dem so?) und die Vermeidung von zusätzlichen Kosten, wie sie beim Einsatz eines externen Datenschutzberaters anfallen.

Die Unternehmensleitung muss sorgfältig abwägen zwischen Implementierungsdauer, Kosten, Ressourcen und Qualität des Managementsystems. Auch bei diesem Prozess hilft es unter Umständen, wenn er von externen Datenschutzexperten begleitet wird.

 

Wir kaufen ein Tool. Und alles ist gut?

Tools können Dinge ungemein vereinfachen. Sie können auch genau das Gegenteil bewirken.

Tools ersetzen (leider) nicht die Arbeit, die im Aufbau eines Datenschutz-Managementsystems steckt. Daher sollten vor dem Kauf eines Tools die Anforderungen an dieses bekannt und dokumentiert sein. Es empfiehlt sich, vor dem Kauf und Produktiveinsatz ausgiebig zu testen. Lassen Sie unbedingt alle Personen, die später mittelbar und unmittelbar mit diesem Tool arbeiten sollen, dieses Tool bedienen.

Beim Testen der Tools bitte nicht vergessen, ausschließlich Testdaten zu nutzen. Alternativ können Sie auch vorher einen Vertrag zur Auftragsdatenverarbeitung abschließen.