Datenschutzmanagement
Ziel des Datenschutzmanagements ist die unternehmensweite Implementierung und Aufrechterhaltung eines Systems, mit dem gesetzliche und betriebliche Datenschutz-Anforderungen umgesetzt werden.
1. Welche Aufgaben hat das Datenschutzmanagement?
Verantwortlich für das Datenschutzmanagement sind in den meisten Organisationen IT-Sicherheitsbeauftragte und/oder Datenschutzbeauftragte. Sie haben die Aufgabe, Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, zu identifizieren, aus Datenschutz-Sicht zu bewerten und, falls notwendig, zu optimieren.
1.1 Grundsätze nach denen Verarbeitungen personenbezogener Daten bewertet werden
Um personenbezogene Daten rechtskonform zu verarbeiten, schreibt die DSGVO Grundsätze vor:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Vorgeschrieben ist nicht nur eine Verarbeitung auf rechtmäßige Weise, sondern auch nach dem Grundsatz von Treu und Glauben – also einem redlichen Umgang mit den Daten. Für eine betroffene Person müssen Daten auf für sie nachvollziehbare Weise verarbeitet werden.
Zweckbindung: Personenbezogene Daten dürfen ausschließlich für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine Weiterverarbeitung darf diesen Zwecken nicht zuwider laufen.
Datenminimierung: Beschränkung der Datenerhebung auf das für den Zweck der Verarbeitung angemessene und notwendige Maß.
Richtigkeit: Die erhobenen personenbezogenen Daten müssen Sachlich richtig sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung: Personenbezogener Daten dürfen nur so lange gespeichert werden, wie es für die Verarbeitungszwecke erforderlich ist.
Integrität, Vertraulichkeit, Verfügbarkeit: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Das beinhaltet den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
2. Wie setzt das Datenschutzmanagement seine Aufgaben um?
Da in den meisten Organisationen eine Vielzahl an datenschutzrelevanten Prozessen anfällt, benötigen die Verantwortlichen ein System, um Transparenz zu erzeugen und Aufgaben abzuarbeiten.
2.1. Datenschutzmanagement-System
Datenschutzmanagement-System (DMS) vereinfacht den Verantwortlichen die Dokumentation und Strukturierung der datenschutzrelevanten Prozesse. Die Dokumentation ist die Grundlage für einen Soll-Ist-Abgleich sowie eine Zuweisung und Nachverfolgung von Verbesserungsmaßnahmen. Nachdem die verantwortlichen Mitarbeiter ein Datenschutzmanagement-System etabliert haben, besteht eine weitere Herausforderung darin, das System inhaltlich zu pflegen, zu aktualisieren und so anzuwenden, dass der Datenschutz im laufenden Betrieb aufrechterhalten wird. Wie in anderen Managementsystemen gehen Verantwortliche nach dem bekannten PDCA-Zyklus vor: P(lan)-D(o)-C(heck)-A(ct). Unter Berücksichtigung des Kontexts und des Risikos müssen Maßnahmen geplant, umgesetzt, dokumentiert, geprüft und bei Bedarf verbessert werden.
2.2. Spezialsoftware
Grundsätzlich ist es möglich, ein Datenschutzmanagement-System sowohl analog als auch digital zu implementieren. Das System (analog oder digital / eigenentwickelt oder fremdentwickelt) vereinfacht dem Datenschutzmanagement die Dokumentation und Strukturierung der datenschutzrelevanten Prozesse. Spezialsoftware vereinfacht es, die hohen Anforderungen im Datenschutzmanagement transparent, rechtssicher und effizient zu erfüllen.