Ein Datenschutzmanagement-System (DMS) unterstützt Verantwortliche, die betrieblichen und gesetzlichen Anforderungen im Datenschutz umzusetzen. Das System vereinfacht Planung, Organisation, Steuerung und Kontrolle der Datenschutzaktivitäten durch standardisierte Abläufe.
Inhalt
1. Unterschiedliche Arten von Datenschutzmanagement-Systemen
2. Was beinhaltet ein Datenschutzmanagement-System?
2.1. Dokumentation der Verarbeitungstätigkeiten
2.2. Prüfung und Bewertung
2.3. Maßnahmen / Optimierung
2.4. Datenschutz-Folgenabschätzung
2.5. Dokumentation Vorgänge
2.6. Dokumentation TOMs
2.7. Schulung
3. Aktualisierung und Pflege
Datenschutzmanagement-Systeme müssen nicht zwingend softwarebasiert sein. Theoretisch können Unternehmen ihre Datenschutz-Aufgaben auch analog organisieren. Abhängig von Unternehmensgröße und -aktivitäten ist der Einsatz von spezieller Datenschutz-Software jedoch ratsam. Bei der Vielzahl an datenschutzrechtlichen Anforderungen und zu prüfenden Prozessen kann ein analoges oder selbstentwickeltes System für mittlere und große Unternehmen schnell unübersichtlich werden.
Da in den meisten Organisationen eine Vielzahl an datenschutzrelevanten Prozessen anfällt, benötigt das Datenschutzmanagement ein System, um Transparenz zu erzeugen und Aufgaben abzuarbeiten. Das Datenschutzmanagement-System vereinfacht den Verantwortlichen die Organisation der datenschutzrelevanten Prozesse. Hierzu zählen die Dokumentation, Bewertung, Planung, Steuerung und Kontrolle. Um diese Anforderungen abzudecken, enthalten Datenschutzmanagement-Systeme u.a. folgende Komponenten:
2.1. Dokumentation der Verarbeitungstätigkeiten
Jedes Datenschutzmanagement-System enthält als zentrale Dokumentation eine Beschreibung aller relevanten Verarbeitungstätigkeiten. Das Verzeichnis enthält eine Beschreibung aller Prozesse, bei denen personenbezogene Daten vom Unternehmen oder im Auftrag verarbeitet werden. Neben der Prozessbeschreibung werden unter anderem Verantwortlichkeiten, Betroffene und Datenkategorien dokumentiert. Für Auftragsverarbeitungen muss im System ein AV-Vertrag hinterlegt sein.
2.2. Prüfung und Bewertung
Die dokumentierten Verarbeitungen müssen auf Datenschutzkonformität geprüft werden. Für die Analyse eignen sich z.B. Checklisten. Die Dokumentation des Bewertungsprozesses und die Ergebnisse sind wichtiger Bestandteil des Datenschutzmanagementsystems.
2.3. Maßnahmen / Optimierung
Aus den Ergebnissen der Prüfung und Bewertung leitet das Datenschutzmanagement Maßnahmen zur Optimierung ab. Das DMS hilft bei der Maßnahmen-Organisation und -Nachverfolgung.
2.4. Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung ist für Verarbeitungen obligatorisch, bei denen voraussichtlich ein hohes Risiko besteht. Das Risiko kann über Scoringverfahren festgestellt werden. Ein Datenschutzmanagement-System unterstützt bei der Risikobewertung und Ergebnisdokumentation.
2.5. Dokumentation Vorgänge
Die Dokumentationspflicht geht über die Beschreibung der Verarbeitungstätigkeiten hinaus. Verantwortliche müssen alle datenschutzrechtlich relevanten Vorgänge (z.B. Datenschutzverletzungen) dokumentieren.
2.6. Dokumentation TOMs
Teil des DMS ist eine aktuelle Übersicht über alle technischen organisatorischen Maßnahmen (TOMs), die das Unternehmen umgesetzt hat, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Hierzu zählen beispielsweise Verschlüsselungstechniken, Zutrittskontrollen oder auch Verträge zur Auftragsdatenverarbeitung.
2.7. Schulung
Ein DMS sollte Verantwortliche auch dabei unterstützen, Mitarbeiter für Datenschutz zu sensibilisieren. Digitale Lösungen vereinfachen die systematische Schulung und die Dokumentation der Ergebnisse.
Nachdem die verantwortlichen Mitarbeiter ein Datenschutzmanagement-System etabliert haben, besteht eine weitere Herausforderung darin, das System inhaltlich zu pflegen, zu aktualisieren und so anzuwenden, dass der Datenschutz im laufenden Betrieb aufrechterhalten wird. Wie in anderen Managementsystemen gehen Verantwortliche nach dem bekannten PDCA-Zyklus vor: P(lan)-D(o)-C(heck)-A(ct). Unter Berücksichtigung des Kontexts und des Risikos müssen Maßnahmen geplant, umgesetzt, dokumentiert, geprüft und bei Bedarf verbessert werden.
