Datenschutzmanagementsystem: Das sollten Unternehmen wissen

Datenschutz ist zunehmend ein wichtiger Bestandteil jeder Unternehmensorganisation. Nicht zuletzt deswegen, weil nationale wie internationale Gesetze wie etwa die DSGVO immer weitreichendere Anforderungen an die Unternehmen stellen. Unser Datenschutzmanagementsystem hilft dabei, diesen Anforderungen gerecht zu werden und dabei weitgehend effizient und digital zu arbeiten.

Doch wie funktioniert ein System für Datenmanagement? Und lässt sich ein Datenschutzmanagementsystem erfolgreich in ein Unternehmen und dessen Abläufe eingliedern? – In diesem Artikel erfahren Sie mehr dazu.

Das Wichtigste in Kürze
  • Jeder der personenbezogene Daten verarbeitet, hat die Pflicht, den Datenschutz gemäss der DSGVO zu gewährleisten. In aller Regel geschieht dies durch ein Datenschutzmanagementsystem.
  • Datenschutzkonzepte sollen darüber Auskunft geben, wie der Datenschutz im Unternehmen umgesetzt wird. Dabei können angemessene Massnahmen und Systeme ganz individuell vom Unternehmen oder anderen verantwortlichen Stellen erarbeitet werden.
  • Es besteht keine explizite gesetzliche Pflicht zur Nutzung eines Datenschutzmanagementsystems. Bei der Fülle an rechtlichen Vorgaben zum Datenschutz kommen Unternehmen aber um ein umfassendes Managementsystem nicht herum.
Definition: Datenschutzmanagementsystem

Bei einem Datenschutzmanagementsystem (kurz: DSMS) handelt es sich um ein Organisationstool, welches die gesetzlichen und betrieblichen Anforderungen an den Datenschutz zusammenführt und systematisch organisiert, steuert und kontrolliert und somit die Erfüllung der datenschutzrechtlichen Bestimmungen übernimmt.

Achtung: Da das Datenschutzmanagementsystem zum Teil auch mit DMS abgekürzt wird, besteht eine hohe Verwechslungsgefahr mit dem Begriff des Dokumentenmanagementsystems, dessen Abkürzung ebenfalls DMS ist. Das Datenschutzmanagementsystem beinhaltet zwar auch die Organisation von Dokumenten, dennoch ist das DSMS viel weitreichender und beinhaltet deutlich mehr Funktionen als das DMS. Hier ist also eine deutliche Abgrenzung und inhaltliche Differenzierung dringend geboten.

Ein Datenschutzmanagementsystem soll zu einer übersichtlichen Struktur innerhalb des Unternehmens verhelfen und gleichzeitig das Risiko, gegen eine gesetzliche Regelung zu verstossen, so gering wie möglich halten. Somit unterstützt das System mit organisatorischen Massnahmen die Umsetzung des Datenschutzes.

Datenschutzverantwortliche - das sind zumeist die Geschäftsführer - sind dazu verpflichtet, auf Anfrage der zuständigen Aufsichtsbehörde, mit dieser zusammenzuarbeiten und ihr alle für ihre Arbeit erforderlichen Informationen zukommen zu lassen. Die Verantwortlichen haben demnach dafür Sorge zu tragen, dass sich die Behörden unkompliziert von der Einhaltung des Datenschutzes im Unternehmen überzeugen können.

Deshalb sollte das Datenschutzmanagementsystem so in die Geschäftsprozesse integriert werden, dass der Datenschutz langfristig, nachvollziehbar und nachweisbar in der Unternehmensstruktur eingebunden ist.

DSGVO und Datenschutzmanagement

Ein Datenschutzmanagementsystem wird innerhalb der DSGVO nicht explizit erwähnt. Allerdings lässt sich aus einigen Vorschriften ableiten, dass eine rechtliche Forderung nach einem solchen System durchaus besteht.

Unternehmen müssen grundsätzlich ihre Dokumentationspflichten, Rechenschaftspflichten und ggf. Anforderungen an Austragsverarbeitungsverträgen (AVV) erfüllen. Diese übergeordneten Pflichten beinhalten von rechtlicher Seite her eine Vielzahl von Anforderungen an ihre Umsetzung. Dies macht es für Unternehmen fast unmöglich, ohne ein Datenschutzmanagement auszukommen.

Die Funktion eines Datenschutzmanagementsystems ist nicht zuletzt das Erkennen und Eliminieren von datenschutzrechtlichen Problemen und Risikofaktoren zum Zweck des Schutzes personenbezogener Daten. Auch das Lernen aus Fehlern und dahingehende Optimierung innerhalb der Abläufe, in Richtlinien und automatisierten Prozessen ist essentieller Teil eines DSMS. Aus Gründen der Effizienz ist es daher geboten, ein Datenschutzmanagementsystem in die Unternehmensabläufe zu integrieren.

Das Datenschutzmanagement ist dabei geprägt von den gesetzlichen Anforderungen der DSGVO, die sich insbesondere auf folgende Prozesse erstrecken:

  • Dokumentation von Datenverarbeitungen
  • Vereinbarung, Verwaltung und Dokumentation von Auftragsverarbeitungen
  • Überwachung von technischen und organisatorischen Massnahmen
  • Berechtigungskonzepte
  • Löschkonzepte
  • Durchführung von Datenschutz-Folgeabschätzung
  • Behandlung von Datenschutzvorfällen
  • Kommunikation mit Betroffenen

Ein sinnvolles Datenschutzmanagement berücksichtigt diese Unternehmensabläufe und rechtlichen Regelungen, die die DSGVO für Unternehmen aufstellt. Funktionsfähig ist das DSMS allerdings nur, wenn alle Abteilungen des Unternehmens miteinander kooperieren und effektiv zusammenarbeiten. Unser professionelles System arbeitet daher mit agilen Aufgabensteuerungen, die solche Verknüpfungen erkennt und automatisch schafft.

Durch die Einführung der Software für das Datenschutzmanagement können die rechtlichen Anforderungen des Datenschutzes systematisch organisiert werden. Die Aufgaben, die mit der Software verbunden sind, übernimmt in der Regel ein zertifizierter Datenschutzbeauftragter. Dieser ist mit der Überwachung der datenschutzkonformen Umsetzung aller rechtlichen Vorgaben betraut.

Ist der Datenschutz etwa an einen externen Datenschutzbeauftragten oder ein Datenschutzunternehmen ausgelagert, beschäftigt sich der Beauftragte mit der Implementierung, Auswertung und Dokumentation innerhalb der entsprechenden Software. Die Verantwortung trägt aber in jedem Fall die Geschäftsführung des Unternehmens, das für die rechtskonforme Verarbeitung personenbezogener Daten verantwortlich ist.

Gut zu wissen: Um die komplexen Aufgaben gut zu verteilen und den Datenschutzbeauftragten zu entlasten, kann es sinnvoll sein, wenn die Software bestimmte Aufgaben intelligent erledigen oder zumindest delegieren kann.

Aufbau des Datenschutzmanagementsystems

Das Datenschutzmanagementsystem besteht aus unterschiedlichen Komponenten und verschiedenen Prozessen, welche je nach Unternehmen und Branche variabel ausfallen können. Welche Faktoren dazuzählen können, haben wir für Sie einmal zusammengestellt:

Prozessanalyse der Datenverarbeitungen

Ihr Unternehmen sollte zunächst alle risikobehafteten Prozesse analysieren und einordnen. Erst dann kann das Datenschutzmanagementsystem eine Agenda zur Umsetzung von Massnahmen ausarbeiten. Diese zeigt konkret an, welche datenschutzrechtlichen Anforderungen priorisiert werden sollten und wie diese kategorisiert werden können.

Im Anschluss beginnt die Umsetzung der Datenschutzagenda und ihrer Inhalte. Diese Art To-Do-Liste zeigt immer und zu jedem Zeitpunkt, welche Aufgaben im Datenschutz noch umzusetzen sind und welche Themen schon angegangen werden.

Verzeichnisse von Verarbeitungstätigkeiten

Um alle Prozesse und Risiken zu erkennen und zu filtern, müssen alle Verarbeitungstätigkeiten erfasst und aufgelistet werden. Dazu wird ein umfassendes Verzeichnis der Verarbeitungstätigkeiten erfordert, welches auch in Art. 30 der DSGVO vorgesehen ist. Danach muss auch die Verarbeitung personenbezogener Daten genau beschrieben werden.

Technische und organisatorische Massnahmen

Neben den Verarbeitungen sollte auch die Umsetzung technischer und organisatorischer Massnahmen (TOM) in einer Übersicht zusammengetragen werden (Art. 32 DSGVO). Für die DSGVO spielt diese Dokumentation eine essenzielle Rolle, da sie Aufschluss über die Sicherheit der Daten des Unternehmens geben. Unternehmen sind daher verpflichtet, ihre TOM zu dokumentieren. Eine vollständige und ausführliche Dokumentation liefert die Belege, dass geeignete Massnahmen zum Schutz ergriffen werden.

Kontrolle von Auftragsverarbeitungen

Immer mehr Unternehmen greifen auf externe Personen oder Unternehmen zurück, die in ihrem Auftrag Daten verarbeiten. Dies ist datenschutzrechtlich zulässig und wird in Art. 28 DSGVO auch explizit erwähnt. Dabei ist allerdings auch ein Auftragsverarbeitungsvertrag (AVV) gesetzliche Anforderung.

In der Praxis greifen immer mehr Unternehmen auf solche Auftragsverarbeiter zurück, um personelle und ökonomische Ressourcen zu sparen. Aber auch, wenn Verarbeitungen an Dritte abgegeben werden, sind die Unternehmen, also die Auftraggeber, in der Pflicht, die DSGVO-konforme Datenverarbeitung zu kontrollieren und sicherzustellen.

Auftragsverarbeiter sind in dieser Hinsicht weisungsgebunden und werden als Gehilfen tätig, für den die Auftraggeber haften. Es ist daher wichtig, auch ihre Tätigkeiten in das Datenschutzmanagement zu integrieren.

Aufbewahrungs- bzw. Löschkonzepte

Für Unternehmen gelten gewisse gesetzliche Aufbewahrungsfristen, etwa für Rechnungen. Für Kaufleute sind insbesondere die §§ 238, 257, 261 HGB relevant. Auch die DSGVO enthält Regelungen zur Aufbewahrung von personenbezogenen Daten. Sie sieht vor, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie es hierfür eine Rechtsgrundlage gibt (Art. 5 i.V.m. Art 6 DSGVO).

Das bedeutet, dass personenbezogene Daten nicht ohne Grund über die Fristen des HGB oder anderen Gesetzen hinaus aufbewahrt werden dürfen. Die Priverion Datenschutzplattform nimmt darauf Rücksicht, es erkennt und meldet automatisch wenn die entsprechenden Fristen überschritten sind. Darüber hinaus sollte ein Löschkonzept greifen, wenn die Frist verstrichen ist.

Notfallkonzepte

Wie bei allen geschäftlichen Prozessen kann es auch beim Datenschutz zu Pannen und Fehlern kommen. Egal, ob diese menschlich oder softwarebedingt auftreten, ein Datenschutzmanagementsystem sollte immer sofort reagieren und ein entsprechendes Konzept bereithalten, wie solche Datenschutzpannen minimiert und gelöst werden können. So wird der entstehende Schaden so gering wie möglich gehalten.

Datenschutzrichtlinien

In mittelständischen Unternehmen ist es wichtig, dass alle Mitarbeiter jederzeit Zugang zu den geltenden Datenschutzrichtlinien haben. Die Unternehmensführung sollte daher zunächst die betrieblichen und rechtlichen Datenschutzbestimmungen zu einer eigenen Datenschutzrichtlinie zusammenfassen und dann allen Mitarbeitern zugänglich machen.

Darüber hinaus sollten Mitarbeiter regelmässig über die Bestimmungen informiert und entsprechend geschult werden, etwa durch zertifizierte Datenschutzbeauftragte oder externe Lehrbeauftragte. Wichtige Dokumente sind dabei beispielsweise die „Verpflichtung auf das Datengeheimnis“ oder die „IT-Nutzungsvereinbarung“.

Betroffenenrechte

Die DSGVO räumt betroffenen Personen umfassende Rechte ein (Art. 12-23 DSGVO). Relevant für Unternehmen ist dabei etwa das Auskunftsrecht oder auch das Recht auf Löschung der eigenen Daten. Um einer betroffenen Person ihre Rechte zu gewähren, benötigen Unternehmen ein Konzept, wie Anfragen bearbeitet werden oder im Notfall Betroffene kontaktiert werden können. Hierfür sollten Prozesse im DSMS zum Umgang mit betroffenen Personen definiert werden.

Durchführung und Auswertung von Datenschutz-Folgeabschätzungen

Die Datenschutz-Folgeabschätzung ist ein Verfahren welches der Vorabkontrolle des deutschen Bundesdatenschutzgesetzes (BDSG) ähnelt. Dabei handelt es sich um ein Instrument zur Risikoabschätzung einzelner Verarbeitungsprozesse.

Bevor solche Prozesse zum Einsatz kommen, soll also eine Einschätzung stattfinden und analysiert werden, welches Risiko der einzelne Prozess birgt und was bei einem hohen Risiko verbessert werden kann. So sollen Datenschutzpannen vermieden und Betroffene geschützt werden.

Kontrolle und Datenschutz-Audits

Um die Rechenschaftspflichten des Unternehmens zu erfüllen, sollten alle Datenschutz-Prozesse im DSMS dokumentiert und fortlaufend kontrolliert werden. Sogenannte Datenschutz-Audits sorgen dafür, in regelmässigen Zeitabständen einschlägige Verfahren zu überprüfen und zu analysieren.

Mitarbeiter sollten darüber hinaus über wichtige Themen informiert und sensibilisiert werden. Diese Kontrollen und Datenschutz-Audits sollten dann schriftlich festgehalten und im DSMS hinterlegt werden, um nicht in Vergessenheit zu geraten und später den Nachweis der Prüfung führen zu können.

Status-Abfrage

Neben Datenschutz-Audits kann es sinnvoll sein, in regelmässigen Abständen Status-Gespräche mit den zuständigen Mitarbeitern im Unternehmen und externe Datenschutzbeauftragte zu führen. Dadurch soll der datenschutzrechtliche Status quo ermittelt werden. Das DSMS soll dabei der Dokumentation und der sicheren Aufbewahrung von Gesprächsprotokollen dienen.

Schulungen der Mitarbeiter

Unternehmen und Behörden sind im Rahmen der DSGVO für die Einhaltung des Datenschutzes verantwortlich und können dafür auch haften. Da ein Unternehmen als solches nicht selbst den Datenschutz erfüllen kann, sind die einzelnen Mitarbeiter dafür zuständig, diesen entsprechend um zu setzen.

Um immer auf dem neuesten Stand zu sein und alle gesetzlichen wie betrieblichen Regelungen zu kennen, müssen diese regelmässig geschult und informiert werden. Dafür gibt es verschiedene Möglichkeiten, wie etwa Online-Schulungen, Newsletter, Rundmails oder Workshops. Diese Schulungen sollten regelmässig erfolgen und sind Teil eines guten Datenschutzmanagementsystems.

Ein wirksames Datenschutzmanagement-Konzept erstellen

Um alle Regelungen der DSGVO zu erfüllen, müssen Unternehmen ein passendes Datenschutzmanagementsystem erarbeiten. Dafür gibt es fertige Datenschutzmanagement-Software wie die von Priverion und Anbieter, die sich um ein DSMS im Unternehmen kümmern.

Sie können alternativ Ihr eigenes Konzept erarbeiten, welches genau auf die Bedürfnisse ihres Unternehmens abgestimmt ist. Wählen Sie am besten ein Verfahren, welches die Einhaltung der Datenschutzgrundsätze stetig überprüft und dokumentiert.

Mit unserer Software sind Sie auf der sicheren Seite, denn diese wird ständig an die neuen Gesetze und Rechtsprechungen angepasst und ist daher vollständig. Zudem geniessen Sie hier die Vorteile digitaler Prozesse (z.B. IT-Sicherheit, geräteübergreifender Zugang, automatisiertes Fristenmanagement).

Ziel sollte sein, ausreichend Schutz und Sicherheit zu garantieren, Verstösse zu vermeiden, im Störfall die schnelle Wiederherstellung der Daten zu gewährleisten und das Risiko einer Datenschutzpanne zu minimieren. Wenn Sie ein eigenes Datenschutzmanagement-Konzept erarbeiten möchten, sollten Sie in folgenden Schritten vorgehen:

  1. Benennen und dokumentieren von Datenschutz-konformen Zielen
  2. Bestandsaufnahme erstellen (Ist-Zustand hinterfragen).
  3. Umsetzung vorantreiben (verantwortliche Mitarbeiter benennen, Aufgaben delegieren, Schulungen, betrieblichen Datenschutzbeauftragten benennen, Dokumente neu erstellen, Datenschutzregeln aufstellen, Betroffenenrechte umesetzen etc.).
  4. Überprüfungen integrieren (Überwachungen und Kontrollen von Software, Lieferanten und Mitarbeitern).
  5. Verbesserungen vornehmen (die bei den Überprüfungen zu Tage geförderten Fehler und Risiken beseitigen oder minimieren).
  6. Relevante Prozesse und den Status quo erneut überprüfen (im Anschluss wieder Verbesserungen als stetigen Kreislauf).
Muster für ein Datenschutzmanagementsystem

Ein "richtiges" Muster für ein Datenschutzmanagementsystem gibt es nicht, denn ein nachhaltiges und produktives System ist immer individuell auf die Bedürfnisse in Ihrem Unternehmen zugeschnitten. Viele Unternehmen arbeiten daher mit einem softwarebasierten System, welches durch künstliche Intelligenz oder andere Automationen Fehler entdeckt und automatisiert kontrolliert und verbessert.

Alternativ können Unternehmen den Datenschutz auch analog mithilfe von Personen organisieren. Hierzu müssen zunächst alle Aufgaben bestimmt und Vorgehensweisen besprochen werden, ehe diese den einzelnen Mitarbeitern zugeordnet werden.

Gerade in grösseren Unternehmen ist es jedoch ratsam, eine Software einzusetzen, die der Vielzahl an datenschutzrechtlichen Vorgaben gerecht wird. Sonst kann die Umsetzung und Aufgabenverteilung schnell unübersichtlich werden. Darüber hinaus müssen aber auch die Mitarbeiter mit datenschutzrechtlichen Aufgaben betraut werden. Die Software sollte niemals alleinstehend zum Datenschutz genutzt werden, vielmehr geht es um ein Zusammenspiel von digitaler und analoger Erfüllung der datenschutzrechtlichen Pflichten.

Fazit

Die wachsende Anzahl an datenschutzrechtlichen Regelungen macht es Unternehmen fast unmöglich, ohne ein Datenschutzmanagementsystem auszukommen. Die Erstellung eines solchen ist mit viel Arbeit verbunden und kann ganz individuell an das Unternehmen und dessen Tätigkeit oder Branche angepasst werden.

Auch wenn der Datenschutz zumeist nicht der Kern der unternehmerischen Tätigkeit ist, sollte er im Betrieb nicht zu kurz kommen. Vielmehr sind alle Mitarbeiter in die Entwicklung eines effektiven Datenschutzmanagementsystems einzubinden. Allein ein Datenschutzmanagement in Betrieb zu nehmen, schützt jedenfalls nicht vor Bussgeldern (etwa bei unrechtmässiger Verarbeitung, Art. 77-84 DSGVO).

Unternehmen, die bei der Erfüllung ihrer datenschutzrechtlichen Pflichten gut aufgestellt sind und ihre Prozesse dokumentieren und strukturieren, bewegen sich auf sicherem Terrain. Durch ein gutes Konzept werden Pflichtverletzungen nicht nur vermieden - auch bei der Bemessung des Bussgeldes wird ein gutes Datenschutzmanagementsystem berücksichtigt.

Click to access the login or register cheese Click to access the login or register cheese Click to access the login or register cheese