Datenschutz ist keine einmalige Angelegenheit. Eine oft unterschätzte Herausforderung besteht darin, das erreichte Datenschutzniveau dauerhaft aufrechtzuerhalten. Aufgrund externer und interner Ereignisse ist der Verantwortliche immer wieder zum Handeln gezwungen. Modernes Datenschutzmanagemanet, das eine permanente Überwachung aller relevanten Ereignisse gewährleistet, verringert datenschutzrechtliche Risiken und erleichtert die Arbeit im Datenschutz.

Weshalb kein Weg am Datenschutzmanagement vorbeiführt

In Kleinunternehmen ist es gegebenenfalls möglich, die Aufgaben im Datenschutz noch “händisch” zu bewältigen. Doch für Mittelständler und Großunternehmen führt an einer systematischen Herangehensweise kein Weg vorbei. Nur mit einem professionellen Datenschutzmanagement gelingt es, alle relevanten Ereignisse im Blick zu behalten und rechtzeitig zu reagieren.

Solche Ereignisse treten häufiger ein, als gerne vermutet. Ihr Spektrum ist breit gefächert, wie die folgenden Beispiele verdeutlichen:

  • Neuerungen bei den gesetzlichen Vorgaben
  • Neubewertung von Risiken aufgrund der Rechtsprechung
  • Veränderte Geschäftsprozesse wegen Einführung neuer Produkte oder Dienstleistungen
  • Umstieg auf andere Software

Datenschutz-Managementsystem

In der Praxis wird die systematische Herangehensweise im Datenschutz durch ein Datenschutz-Managementsystem (DSMS) gewährleistet. Das DSMS gibt ein Rahmenwerk vor, das alle für den Datenschutz relevanten Bereiche berücksichtigt. Für die Einführung eines DSMS sprechen folgende Punkte:

  • Vollständiger Scope
    Alle aus Sicht des Datenschutzes relevanten Bereiche und Einflüsse finden Berücksichtigung.
  • Alle wichtigen Informationen auf einen Blick
    Der gegenwärtige Stand im Datenschutz, Umsetzungen und Defizite lassen sich jederzeit ermitteln und bewerten.
  • Fahrplan für die Umsetzung
    Das System gibt vor, welche konkreten Aufgaben anstehen.
  • Vollständige Dokumentation
    Mit der Einführung des DSMS entsteht eine vollständige und klar strukturierte Dokumentation. Anhand der Datenschutzdokumente lässt sich z.B. gegenüber Aufsichtsbehörden das erreichte Datenschutzniveau belegen.
  • Nachhaltige Überwachung
    Ein Regelkreislauf (z.B. basierend auf dem PDCA-Zyklus) stellt sicher, dass Handlungsbedarfe erkannt und Maßnahmen ergriffen werden.

Wesentliche Bestandteile eines DSMS

Die Bestandteile von Datenschutz-Managementsystemen können variieren. Entscheidend ist, welches System eine Organisation wählt. Die Wahl hängt von den jeweiligen Bedürfnissen und Zielen ab. Nachfolgend haben wir Aufbau und Elemente eines DSMS grob skizziert.

  • Erst-Analyse
    Zunächst besteht die Notwendigkeit, die Ist-Situation im Unternehmen zu erfassen. Im Rahmen der Erst-Analyse wird u.a. ermittelt, in welchen Unternehmensbereichen personenbezogene Daten verarbeitet werden und um welche Datenkategorien es sich dabei handelt.
    Alle betroffenen Prozesse werden erfasst, um anschließend unter Berücksichtigung datenschutzrechtlicher Bestimmungen zu prüfen, ob und welche Prozesse einer Anpassung bedürfen. Solch eine Bewertung kann z.B. mit Unterstützung einer Datenschutzfolgenabschätzung (DSFA) erfolgen.
  • Optimierung der Prozesse
    Betroffene Prozesse werden optimiert, um das angestrebte Niveau im betrieblichen Datenschutz zu erreichen.
    Gutes Datenschutzmanagement zeichnet sich bei der Schaffung von Rechtssicherheit dadurch aus, dass stets die Auswahl der am besten geeigneten Lösung erfolgt. Damit werden bei der Prozessoptimierung nicht nur rechtliche, sondern z.B. auch organisatorische / wirtschaftliche Aspekte berücksichtigt.
  • Dokumentation
    Ein wichtiges Element ist die Erstellung notwendiger Unterlagen. Zum einen werden Dokumente erarbeitet, deren Vorhandensein rechtlich vorgeschrieben ist. Hierzu zählen z.B. das Verzeichnis der verarbeitenden Tätigkeiten oder Verträge über Auftragsverarbeitungen. Angenommen die zuständige Aufsichtsbehörde führt eine Prüfung durch, gilt es diese Dokumente vorlegen zu können.
    Ergänzend ist die Dokumentation ein wertvolles Hilfsmittel, sobald interne Anpassungen oder Überprüfungen anstehen. Sie macht es leichter nachvollziehbar, auf welcher Basis Entscheidungen einst getroffen wurden. So lassen sich spätere Anpassungen erheblich beschleunigen.
  • Überwachung
    Nahezu jedes Managementsystem beinhaltet einen Regelkreislauf, so auch ein Datenschutzmanagementsystem. Sobald Änderungen (z.B. aus betrieblichen Gründen oder aufgrund gesetzlicher Neuerungen) in Erscheinung treten, wird automatisch reagiert, um die gesetzlichen Datenschutzanforderungen weiterhin zu erfüllen.
Gestaltung und Elemente eines Datenschutz-Managementsytems (DSMS)
Gestaltung und Elemente eines Datenschutz-Managementsytems (DSMS)

Weitere Elemente im Datenschutzmanagement

Audit: Das Datenschutzaudit ist ein Kontrollinstrument, welches der Überprüfung des Datenschutzniveaus dient. Insbesondere wenn bereits Datenschutzmaßnahmen ergriffen, diese aber noch nicht bewertet wurden, ist das Audit ein wertvolles Hilfsmittel.

Datenschutzbeauftragter: Je nach Situation kann die Verpflichtung bestehen, einen Datenschutzbeauftragten (DSB) zu benennen. Einige Unternehmen unterliegen dieser Verpflichtung nicht, ernennen ihn jedoch trotzdem. Er ist Ansprechpartner bei datenschutzrechtlichen Fragestellungen und trägt maßgeblich dazu bei, das erreichte Datenschutzniveau aufrechtzuerhalten. Die Vorteile eines DSB im Unternehmen sind:

  • Zentrale Anlaufstelle
  • Permanenter Zugriff auf Datenschutz-Know-how
  • Überwachung der Einhaltung datenschutzrechtlicher Anforderungen
  • Minimierung der Haftung bei einem externen DSB

Wir kümmern uns um Ihr Datenschutzmanagement

Gute Gründe sprechen dafür, beim Datenschutz auf eine systematische Herangehensweise zu setzen. Gerne unterstützen wir Sie hierbei, indem unsere Datenschutzspezialisten ein Datenschutzmanagementsystem für Ihre Organisation entwickeln und einführen. Nutzen Sie unsere kostenlose Erstberatung, um mehr über unsere Vorgehensweise zu erfahren. Wir freuen uns auf Ihre Anfrage.

Fragen & Antworten zum Thema

Welche Rolle spielt die ISO 27701?

In vielen Unternehmen existieren bereits Managementsysteme, wie z.B. in den Bereichen Qualitätsmanagement oder Informationssicherheit. Die ISO 27701 ermöglicht eine Verknüpfung von Datenschutz und Informationssicherheit. Das DSMS wird in Abstimmung mit dem Informationssicherheits-Managementsystem (ISMS) entwickelt. Hieraus ergeben sich Synergieeffekte, die verschiedene Prozesse beschleunigen und Kosten einsparen.

Warum sollten Unternehmen auf Datenschutzmanagement setzen?

Ohne Datenschutzmanagementsystem müsste der Datenschutz nach „bestem Wissen und Gewissen“ realisiert werden. Solch eine Vorgehensweise birgt erhebliche Risiken, weil der ganzheitliche Ansatz fehlt. Datenschutzmanagement auf Basis eines (genormten) Systems garantiert mehr Sicherheit und kann wegen der strukturierten Vorgehensweise sogar niedrigere Kosten zur Folge haben.

Wie hilfreich ist Datenschutzmanagement Software?

Es gibt verschiedene Softwarelösungen, die z.B. Leitfäden bereitstellen und damit die systematische Umsetzung des Datenschutzes erleichtern. Datenschutzmanagement Software leistet praktische Unterstützung bei der Dokumentation. Darüber hinaus kann sie dabei helfen, Prozesse und Routinen (z.B. die Meldung einer Datenpanne) zu integrieren. Ob und welche Software sich empfiehlt, hängt von der jeweiligen Situation im Unternehmen ab. Wir beraten Sie hierzu gerne.

Wie leistet ein Datenschutzmaßnahmenplan Unterstützung?

In Abhängigkeit von den Ergebnissen der Erst-Analyse kann zur Erreichung des angestrebten Datenschutzniveaus die Umsetzung zahlreicher Datenschutzmaßnahmen notwendig sein. Der Datenschutzmaßnahmenplan ist ein Instrument, um die passenden Maßnahmen festzuhalten und zu organisieren. Für die Beteiligten ist der Maßnahmenplan ein praktisches Hilfsmittel auf dem Weg der sicheren Umsetzung.