Seite wählen

Was ver­steht man unter  Datenschutzmanagement?

 

Daten­schutz­ma­nage­ment ist eine Metho­de, um die gesetz­li­chen und betrieb­li­chen Anfor­de­run­gen des Daten­schut­zes sys­te­ma­tisch zu pla­nen, zu orga­ni­sie­ren, zu steu­ern und zu kon­trol­lie­ren. Daten­schutz­ma­nage­ment oder kurz DSM legt in Unter­neh­men und KMUs fest, wie mit per­so­nen­be­zo­ge­nen Daten umzu­ge­hen ist. Ein Daten­schutz­ma­nage­ment stellt einen inter­nen Leit­fa­den dar, der sich nach der DSGVO rich­tet und hilft, den unter­neh­mens­in­ter­nen Daten­schutz zu regeln, zu pla­nen, zu steu­ern, umzu­set­zen und zu kontrollieren.

Wie setzt man ein Daten­schutz­ma­nage­ment um?

Um ein Daten­schutz­ma­nage­ment umzu­set­zen, emp­fiehlt sich ein Daten­schutz­ma­nage­ment­sys­tem (DSMS), das einen Stan­dard eta­bliert, der allen Mit­ar­bei­tern sowohl als Ori­en­tie­rung als auch als kla­re Richt­li­nie gilt. Ein DSMS kann nach den Maß­stä­ben inter­na­tio­na­ler Manage­ment­stan­dards auf­ge­setzt wer­den und soll­te fol­gen­de Schrit­te beinhalten:

  • Defi­ni­ti­on und Fest­le­gung der Struk­tu­ren, Rol­len und Ver­ant­wort­lich­kei­ten im Daten­schutz
    Zum Bei­spiel: Bestel­lung eines Daten­schutz­be­auf­trag­ten, Erstel­lung eines Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten, Schu­lung der Mit­ar­bei­ter im Datenschutz
  • Orga­ni­sa­ti­on der Daten­schutz-Doku­men­ta­ti­on nach Good-Prac­ti­ce-Bei­spie­len
    Zum Bei­spiel: Erstel­lung von Daten­schutz­er­klä­run­gen, Ver­trä­gen zur Auf­trags­ver­ar­bei­tung, Löschkonzepten
  • Erstel­lung eines Anfor­de­rungs­ka­ta­logs, der gesetz­li­che Anfor­de­run­gen und wesent­li­che Anfor­de­run­gen der Infor­ma­ti­ons­si­cher­heit ver­eint
    Zum Bei­spiel: Umset­zung der Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (Art. 5 DSGVO), Ein­ho­lung von Ein­wil­li­gun­gen (Art. 6 DSGVO), Gewähr­leis­tung der Rech­te der Betrof­fe­nen (Art. 12–23 DSGVO), Umset­zung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (Art. 32 DSGVO)
  • Auf­bau eines kon­ti­nu­ier­li­chen Manage­ment­kreis­laufs nach dem PDCA-Zyklus (Plan-Do-Check-Act)
    Zum Bei­spiel: Pla­nung von Zie­len und Maß­nah­men zur Ver­bes­se­rung des Daten­schut­zes, Umset­zung der Maß­nah­men in aus­ge­wähl­ten Berei­chen oder im gesam­ten Unter­neh­men, Über­prü­fung der Wirk­sam­keit und des Erfolgs der Maß­nah­men anhand von Kenn­zah­len und Feed­backs, Anpas­sung oder Opti­mie­rung der Maß­nah­men bei Bedarf
  • Inte­gra­ti­on des DSMS in ein bestehen­des Qua­li­täts­ma­nage­ment­sys­tem oder Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tem
    Zum Bei­spiel: Nut­zung von bestehen­den Pro­zes­sen, Doku­men­ten und Res­sour­cen für den Daten­schutz, Abstim­mung von Zie­len und Maß­nah­men zwi­schen den ver­schie­de­nen Manage­ment­sys­te­men, Ver­mei­dung von Red­un­dan­zen oder Widersprüchen
  • Durch­füh­rung von regel­mä­ßi­gen Audits und Zer­ti­fi­zie­run­gen durch akkre­di­tier­te Anbie­ter
    Zum Bei­spiel: Beauf­tra­gung einer exter­nen Prüf­stel­le zur Über­prü­fung des DSMS nach aner­kann­ten Stan­dards oder Nor­men, Erhalt eines Zer­ti­fi­kats oder Güte­sie­gels als Nach­weis für den Datenschutz

Ein DSMS soll die kor­rek­te und siche­re Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gewähr­leis­ten, die recht­lich und tech­nisch sowie orga­ni­sa­to­risch sicher­ge­stellt wer­den soll. So kann im Fal­le einer Kon­trol­le durch die Behör­den oder auf­sichts­be­hörd­li­che (Bußgeld-)Verfahren der unter­neh­mens­in­ter­ne Daten­schutz kon­kret nach­ge­wie­sen wer­den und die Kon­trol­le oder das dro­hen­de Buß­geld abge­schwächt oder ver­hin­dert wer­den (Art. 83 Abs. 2 DSGVO).

Was sind die Vor­tei­le von einem DSMS?

 Ein DSMS bie­tet meh­re­re Vor­tei­le für Unter­neh­men und KMUs, die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten. Eini­ge davon sind:

  • Ein DSMS erhöht das Ver­trau­en der Kun­den, Mit­ar­bei­ter und Geschäfts­part­ner in den Daten­schutz des Unter­neh­mens.
    Zum Bei­spiel: Durch eine trans­pa­ren­te Kom­mu­ni­ka­ti­on des DSMS und sei­ner Zie­le, durch eine pro­fes­sio­nel­le Behand­lung von Anfra­gen oder Beschwer­den zum Daten­schutz, durch eine glaub­wür­di­ge Dar­stel­lung des Daten­schutz­ni­veaus durch Zer­ti­fi­ka­te oder Gütesiegel
  • Ein DSMS redu­ziert das Risi­ko von Daten­pan­nen, Rechts­ver­stö­ßen und Buß­gel­dern durch eine sys­te­ma­ti­sche Über­wa­chung und Ver­bes­se­rung der Daten­schutz­pro­zes­se.
    Zum Bei­spiel: Durch eine regel­mä­ßi­ge Ana­ly­se von Schwach­stel­len und Risi­ken im Daten­schutz, durch eine schnel­le Reak­ti­on auf Vor­fäl­le oder Ände­run­gen im Rechts­rah­men, durch eine kon­ti­nu­ier­li­che Anpas­sung der Maß­nah­men an die aktu­el­len Anforderungen
  • Ein DSMS för­dert die Trans­pa­renz und Nach­voll­zieh­bar­keit des Daten­schut­zes durch eine kla­re Doku­men­ta­ti­on und Kom­mu­ni­ka­ti­on der Maß­nah­men und Ver­ant­wort­lich­kei­ten.
    Zum Bei­spiel: Durch eine ein­deu­ti­ge Zuord­nung von Rol­len und Auf­ga­ben im Daten­schutz, durch eine lücken­lo­se Erfas­sung aller Ver­ar­bei­tungs­tä­tig­kei­ten von per­so­nen­be­zo­ge­nen Daten, durch eine regel­mä­ßi­ge Bericht­erstat­tung über den Stand des DSMS
  • Ein DSMS unter­stützt die Ein­hal­tung der DSGVO und ande­rer rele­van­ter Geset­ze und Nor­men durch eine regel­mä­ßi­ge Über­prü­fung und Anpas­sung der Anfor­de­run­gen.
    Zum Bei­spiel: Durch eine sys­te­ma­ti­sche Erfas­sung aller gel­ten­den Rechts­grund­la­gen für den Daten­schutz, durch eine lau­fen­de Beob­ach­tung von Ent­wick­lun­gen oder Ände­run­gen im Rechts­rah­men, durch eine recht­zei­ti­ge Umset­zung von erfor­der­li­chen Maß­nah­men zur Rechtskonformität
  • Ein DSMS stei­gert die Effi­zi­enz und Qua­li­tät des Unter­neh­mens durch eine Opti­mie­rung der Res­sour­cen und Abläu­fe im Bereich des Daten­schut­zes.
    Zum Bei­spiel: Durch eine Ver­ein­fa­chung oder Auto­ma­ti­sie­rung von Pro­zes­sen im Daten­schutz, durch eine Ver­mei­dung von Dop­pel­ar­bei­ten oder Inkon­sis­ten­zen zwi­schen ver­schie­de­nen Manage­ment­sys­te­men, durch eine Erhö­hung der Kun­den­zu­frie­den­heit oder Mit­ar­bei­ter­mo­ti­va­ti­on durch einen bes­se­ren Datenschutz

Was ist der PDCA-Zyklus?

Der PDCA-Zyklus ist ein Modell zur Opti­mie­rung des Qua­li­täts­ma­nage­ments in Unter­neh­men. Er beschreibt einen ite­ra­ti­ven Pro­zess der Pro­blem­lö­sung in vier Schrit­ten: Pla­nen, Umset­zen, Über­prü­fen und Han­deln (Anpas­sen). Der PDCA-Zyklus geht auf die Arbei­ten von Wal­ter Andrew She­whart und Wil­liam Edwards Deming zurück, die als Pio­nie­re im Qua­li­täts­ma­nage­ment gelten.

Wie funk­tio­niert der PDCA-Zyklus im Datenschutz?

Der PDCA-Zyklus ist ein Modell zur kon­ti­nu­ier­li­chen Ver­bes­se­rung von Pro­zes­sen und Pro­duk­ten. Er besteht aus vier Pha­sen: Pla­nen, Durch­füh­ren, Über­prü­fen und Anpas­sen. Im Daten­schutz kann der PDCA-Zyklus ange­wen­det wer­den, um die Ein­hal­tung der gesetz­li­chen Anfor­de­run­gen und die Sicher­heit der per­so­nen­be­zo­ge­nen Daten zu gewähr­leis­ten.
Die vier Pha­sen des PDCA-Zyklus sind:

Pla­nen

In die­ser Pha­se wer­den die Zie­le und Maß­nah­men für den Daten­schutz fest­ge­legt. Dazu gehö­ren die Ana­ly­se der bestehen­den Situa­ti­on, die Iden­ti­fi­zie­rung von Risi­ken und Schwach­stel­len, die Fest­le­gung von Ver­ant­wort­lich­kei­ten und Res­sour­cen, die Erstel­lung von Richt­li­ni­en und Ver­fah­ren sowie die Pla­nung von Schu­lun­gen und Audits.

Durch­füh­ren

In die­ser Pha­se wer­den die geplan­ten Maß­nah­men umge­setzt. Dazu gehö­ren die Sen­si­bi­li­sie­rung und Schu­lung der Mit­ar­bei­ter, die Imple­men­tie­rung von tech­ni­schen und orga­ni­sa­to­ri­schen Sicher­heits­maß­nah­men, die Doku­men­ta­ti­on der Pro­zes­se und Daten­flüs­se, die Doku­men­ta­ti­on der Ver­ar­bei­tungs­tä­tig­kei­ten und Daten­schutz­fol­gen­ab­schät­zun­gen sowie die Ein­ho­lung von Ein­wil­li­gun­gen und Verpflichtungen.

Über­prü­fen

In die­ser Pha­se wer­den die Ergeb­nis­se der Maß­nah­men über­prüft. Dazu gehö­ren die Durch­füh­rung von inter­nen und exter­nen Audits, die Mes­sung von Kenn­zah­len und Indi­ka­to­ren, die Bewer­tung der Wirk­sam­keit und Effi­zi­enz der Maß­nah­men sowie die Erfas­sung von Feed­back und Beschwerden.

Anpas­sen

In die­ser Pha­se wer­den die Maß­nah­men ange­passt, um Ver­bes­se­rungs­po­ten­zia­le zu nut­zen. Dazu gehö­ren die Ana­ly­se der Abwei­chun­gen und Ursa­chen, die Defi­ni­ti­on von Kor­rek­tur- und Vor­beu­gungs­maß­nah­men, die Umset­zung der Ände­run­gen sowie die Kom­mu­ni­ka­ti­on der Ergeb­nis­se und Lernerfahrungen.

Wie kann man ein Daten­schutz­ma­nage­ment effi­zi­ent umsetzen?

Die Doku­men­ta­ti­on von Ver­ar­bei­tungs­tä­tig­kei­ten und ggf. auch von Daten­schutz­fol­gen­ab­schät­zun­gen lässt sich sicher­lich mit Word und Excel lösen, aber…

  • dies bedingt sehr viel Dis­zi­plin, da schon klei­ne Ein­ga­be­feh­ler in Excel die Revi­sio­nier­bar­keit der Tabel­le erschwe­ren bzw. sogar unmög­lich machen.
  • dies bedeu­tet sehr viel Tipp­ar­beit, da in einem Word­do­ku­ment natür­lich kei­ne Rechts­grün­de, Per­so­nen­grup­pen oder TOM hin­ter­legt wer­den können.
  • das Bereit­hal­ten von Ein­wil­li­gun­gen, Schu­lungs­nach­wei­sen, Auf­trag­ver­ar­bei­tungs­ver­trä­gen etc. wird sehr schnell unübersichtlich.

Natür­lich stel­len wir Ihnen ger­ne einen Vor­la­gen­satz gegen eine Schutz­ge­bühr zur Ver­fü­gung, aber emp­feh­len kön­nen wir Ihnen dies nicht. 

Statt­des­sen emp­feh­len wir Ihnen ein pro­fes­sio­nel­les Daten­schutz­ma­nage­ment­sys­tem, wie z.B. cloud­TEC-DSMS, einzusetzen.

Mitgliedslogo des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) eV.
Teilnehmer der Allianz für Cybersicherheit
Hiscox Siegel 2022
Diversity- LGBTI
Wir unter­stüt­zen jeg­li­che Form von Diversity.