Um den Anforderungen der DSGVO und der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu entsprechen, erweist sich die Einführung und das Betreiben eines Datenschutzmanagementsystems (DSMS) als hilfreich und zielführend. Doch ist gerade dies eine große Herausforderung bei Unternehmen und wird vielmals erst spät umgesetzt. Aber warum ist das eigentlich so? Was sind die entscheidenden Beweggründe in der Praxis?
In der Praxis wird der Datenschutz (und die damit einhergehende Dokumentation) oftmals erst ein dringendes Thema, sobald z. B. die Zusendung eines Auftragsverarbeitungsvertrages erfolgt, eine Geheimhaltungsvereinbarung abzuschließen ist, eine Dokumentation und Weitergabe der technisch-organisatorischen Maßnahmen erfolgen soll oder die Bereitstellung der Datenschutzinformationen für die Internetseite des Unternehmens erfolgen muss. Daraufhin werden diese konkreten Aufgaben bearbeitet, Dokumente erstellt und dann dem Kunden bzw. Anforderer zugesendet. Die Dokumente werden häufig unsortiert auf einem Laufwerk abgelegt und bis zum nächsten Anfordern dort verwahrt und vielmals bei Änderungen nicht angepasst bzw. überarbeitet. Strategische Aufgaben im Datenschutz, wie die Dokumentation, werden somit immer wieder vernachlässigt und nur operative Aufgaben umgesetzt. Gerade dann, wenn eine Dokumentation angefordert wird, kostet es Unternehmen viele Ressourcen den entsprechenden (gesetzlichen) Anforderungen nachzukommen. Jedoch kann ein gepflegtes Datenschutzmanagementsystem (DSMS) dabei wertvolle Dienste leisten.
Ein Datenschutzmanagementsystem (DSMS) ist ein Begriff, der anders betrachtet bedeutet, dass der Verantwortliche „den Datenschutz mit System managed (organisiert)“. Somit ist mit einem DSMS die Möglichkeit vorhanden, den Datenschutz als Prozess in die Abläufe des Unternehmens zu integrieren und zu etablieren. Ein DSMS hilft unter anderem:
- bei der Identifikation von Datenschutzprozessen,
- Risiken zu bewerten,
- Maßnahmen zum Schutz von personenbezogenen Daten umzusetzen,
- und die Einhaltung von Datenschutzvorschriften zu überwachen.
Das Datenschutzmanagementsystem (DSMS) unterstützt dabei, prozessrelevante Datenschutz-Themen vorab anzugehen und in einer vorteilhaften und zielführenden Struktur in die Prozessabläufe des Unternehmens zu integrieren. Als Beispiel ist ein Auskunftsersuchen eines Betroffenen zu sehen: Ohne ein DSMS wird es eine große Herausforderung die Abarbeitung so vorzunehmen, dass kein wichtiger Schritt vergessen wird. Mit einem DSMS und seinen Dokumentationen, Arbeitsanweisungen und Prüfprozessen, welche die Verantwortlichkeiten klar darstellen und die Nachvollziehbarkeit gewährleisten, wird die Bearbeitung eines Auskunftsersuchens strukturiert, dokumentiert und zielführend bearbeitet und hilft, die Anforderungen der DSGVO und anderer datenschutzrechtlicher Vorschriften vollumfänglich, in kurzer Zeit, zu erfüllen.
Inhalte eines Datenschutzmanagementsystems
Ein DSMS hilft dem Unternehmen dabei, die Rechenschafts- und Nachweispflichten (Art. 5 Abs. 2 DSGVO) zu erfüllen und um datenschutzrechtliche Verstöße zu vermeiden und im Falle eines Vorfalls schnell reagieren zu können. Um diese Pflichten zu erfüllen, sollte ein DSMS unter anderem folgende Bestandteile vorweisen:
- Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
- Risikoanalysen zu den einzelnen Verarbeitungstätigkeiten und dokumentierte Datenschutzfolgenabschätzungen entsprechend Art. 35 DSGVO
- Dokumentation der umgesetzten technisch-organisatorischen Maßnahmen unter Berücksichtigung von Art. 32 DSGVO
- Auflistung der Auftragsverarbeiter und den dokumentierten Auftragsverarbeitungsverträgen nach Art. 28 DSGVO
- Prozesse für die Sicherstellung der Betroffenenrechte (Artikel 15-22 DSGVO)
- Prozessbeschreibung zur Abarbeitung eines Datenschutzvorfalls (inkl. Definition der Zuständigkeiten)
Ein gepflegtes und rechtzeitig eingeführtes DSMS kann Unternehmen viele zeitliche Ressourcen sparen und helfen, die Anforderungen und nötigen Abläufe des Datenschutzes im Unternehmen sicherzustellen. Das DSMS unterstützt dabei, die Beschäftigten im Bereich Datenschutz zu schulen und zu sensibilisieren. Es hilft, das Risiko von Datenschutzverletzungen und die damit verbundenen finanziellen Schäden zu minimieren.
Bei der Einführung ist darauf zu achten, dass nach einer Identifizierung der Verarbeitung von personenbezogenen Daten in den verschiedenen Bereichen des Unternehmens klare Ziele definiert werden, Verantwortlichkeiten festgelegt werden und die Implementierung von Prozessen zur systematischen Erfassung, Verarbeitung und Löschung von Daten erfolgt.
Das DSMS kann dann mit seinem systemischen Ansatz zur Überwachung der kontinuierlichen Wirksamkeit der umgesetzten Maßnahmen und eventuell nötigen Anpassungen beitragen und somit den Gedanken eines Managementsystems erfolgreich erfüllen.
Gerne unterstützen wir Sie bei der Planung bzw. Einführung eines Datenschutzmanagementsystems. Sprechen Sie uns an!