Angebot einholen
Logo Barth Datenschutz
Angebot einholen

Was ist ein Datenschutzmanagementsystem und wofür brauchen Sie es?

28. Juni 2022

von Achim Barth

Ein Datenschutzmanagementsystem ist keine abgeschlossene Software – sondern vielmehr ein unternehmensübergreifender Prozess, um den rechtssicheren Datenschutz zu gewährleisten. Lesen Sie in diesem Beitrag, was dahinter steckt und wie Sie das DSM in der Praxis umsetzen.

Definition zum Einstieg: Was ist ein Datenschutzmanagementsystem?

Einfach erklärt, ist ein Datenschutzmanagementsystem (DSM) eine kontinuierliche Maßnahme, um den Datenschutz zu gewährleisten. Auch wenn es auf den ersten Blick danach klingt, ist das DSM aber nicht nur eine simple Software, in der alle Daten hinterlegt werden.

Stattdessen setzt sich das Datenschutzmanagementsystem aus fünf verschiedenen Aspekten zusammen, die das gesamte Unternehmen betreffen. Von der Chefetage bis zum einzelnen Mitarbeiter:

  • allgemeines Bewusstsein für Datenschutz bzw. eine Datenschutz-Kultur
  • Kontrollsystem, um ein sauberes Verarbeitungsverzeichnis zu führen
  • gründliches Risikomanagement inkl. Datenschutz-Folgenabschätzung
  • Organisation des Datenschutzes
  • Zielsetzung des Datenschutzes

Der aus meiner Sicht wichtigste Aspekt, also die Basis des Datenschutzmanagementsystems, ist die Datenschutz-Kultur. Die Umsetzung des Datenschutzes liegt in erster Linie in Ihren Händen, sofern Sie der Datenschutzverantwortliche Ihres Unternehmens sind. In zweiter Linie liegt sie in den Händen der Mitarbeiter, die tagtäglich mit personenbezogenen Daten zu tun haben. Ist denen nicht bewusst, wie wichtig Datenschutz ist und was das bedeutet, bleibt DSGVO/BDSG-konformer Datenschutz nur reine Theorie.

Leider ist es in vielen Unternehmen der Fall, dass der Datenschutzbeauftragte mit Fachlatein um sich wirft und Maßnahmen vorgibt, denen jeglicher Realitätsbezug fehlt. Wird mit Kanonen auf Spatzen geschossen und sind die Maßnahmen unverständlich, kann Datenschutz nur schwer umgesetzt werden. Solides Datenschutzmanagement ist damit zum Scheitern verurteilt. Zu einem funktionierenden Datenschutzmanagementsystem gehört deshalb noch ein sechstes Puzzleteil: Ein Datenschutzbeauftragter, der Datenschutz mit Verstand angeht. Einer, der klar sagen kann, was wirklich wichtig ist – und warum. Nur so gelingt das Datenschutzmanagement von Grund auf.

Anders gefragt – Warum brauchen Sie ein Datenschutzmanagementsystem?

Halten wir also fest: Grundsätzlich brauchen Sie ein Datenschutzmanagementsystem, um den Datenschutz sauber zu gewährleisten. Um das genaue „Warum“ dahinter zu verstehen, müssen wir einen Blick in die DSGVO werfen. Art. 5 DSGVO schreibt vor:

„Der Verantwortliche ist für die Einhaltung [der Grundsätze zur Datenverarbeitung] verantwortlich und muss [deren] Einhaltung nachweisen können.“

Im Klartext heißt das: Es reicht nicht nur, dass der Datenschutz umgesetzt wird. Sie müssen auch nachweisen können, dass sie ihn einhalten. Und zwar immer dann, wenn die Aufsichtsbehörde vor der Tür steht – zum Beispiel nach einer Datenschutzpanne, weil etwa eine Mail mit sensiblen Daten falsch versendet wurde.

Mit einem strukturierten Datenschutzmanagementsystem fällt es Ihnen,

a) leichter, die geforderten Angaben zu Ihrem Notfallplan und Ihren Maßnahmen schnell vorzulegen und
b) dürften Sie mit einem geringeren Strafmaß rechnen, da Sie einen soliden Datenschutz nachweisen konnten

Ein System zum Datenschutzmanagement braucht damit jedes Unternehmen, das Daten verarbeitet.

Von der Theorie in die Praxis: So setzen Sie das DSM im Alltag um

Das Datenschutzmanagementsystem basiert idealerweise auf dem PDCA-Kreislauf: plan – do – check – act. Auch wenn es keine gesetzlichen Vorgaben für ein DMS gibt, erfüllt es so zumindest die Anforderungen von ISO 9001 bzw. ISO 27001.

Plan – Planungsphase

Als allererstes müssen Grundlagen geschaffen werden, um den Datenschutz in den Geschäftsalltag zu integrieren. Die Umsetzung des Datenschutzmanagementsystems startet deshalb mit Fragen nach dem Ist- und Soll-Zustand Ihres Datenschutzes.

  • Wie steht es aktuell um den Datenschutz in Ihrem Unternehmen?
  • Werden alle aktuell gültigen Vorgaben eingehalten?
  • Welche Daten werden denn überhaupt verarbeitet?
  • Was muss in jedem Fall erreicht sein, um DSGVO/BDSG-konform zu arbeiten?

Do – Umsetzungsphase

Aus diesen Überlegungen leiten Sie dann im zweiten Schritt Vorgaben und Richtlinien ab. Dazu zählen etwa Fragen wie:

  • Welche Auskunftsrechte haben Betroffene?
  • Was ist im Falle einer Datenschutzpanne zu tun?
  • Welche Vorgaben gibt es zu sicheren Passwörtern?
  • Wie ist die Nutzung privater Geräte geregelt?
  • Welche Vorgaben sind im Homeoffice zu beachten?

Setzen Sie sich dazu mit Ihrem Datenschutzbeauftragten zusammen. Achten Sie aber darauf, dass dessen Vorschläge auch praktisch umsetzbar sind – und hinterfragen Sie ruhig mal! Was ist wirklich sinnvoll? Was verschwendet nur Ressourcen? Eine der wichtigsten Eigenschaften eines guten Datenschutzbeauftragten ist die Fähigkeit, Zusammenhänge und Notwendigkeiten transparent zu erläutern. Und da das Datenschutzmanagementsystem von zentraler Bedeutung ist, haben Transparenz und Verständlichkeit hier oberste Priorität.

Werden Sie bei einer Maßnahme stutzig, stehen die Chancen gut, dass auch Ihre Mitarbeiter darüber stolpern werden. Je umständlicher bzw. praxisferner Maßnahmen sind, desto größer ist die Wahrscheinlichkeit, dass Ihre Mitarbeiter sie nur halbherzig oder gar nicht umsetzen.

Ist alles geregelt, sollten die Vorgaben in allen Unternehmensbereichen standardisiert werden. Achten Sie außerdem darauf, dass jeder die Vorgaben zu jeder Zeit einsehen kann – halten Sie sie also schriftlich fest.

Check – Evaluationsphase

Nun heißt es: Laufen lassen und regelmäßig prüfen. Halten Ihre Mitarbeiter alle Vorgaben ein? Müssen einige Vorgaben vielleicht angepasst bzw. erweitert werden?

Hier bietet sich auch das direkte Gespräch mit Ihren Angestellten an. Wie fühlt sich die Datenschutz-Umsetzung im Alltag für sie an? Müssen Sie eventuell geschult werden, weil sie überfordert sind?

Act – Korrekturphase

Diese Phase des Datenschutzmanagementsystems dient dazu, die gewonnenen Erkenntnisse aus der Evaluationsphase in Taten umzusetzen. Vorgaben anpassen, Mitarbeiter unterstützen: Was auch immer Ihnen bei der Auswertung aufgefallen ist, sollte jetzt angepackt werden. Anschließend geht die Korrekturphase wieder in die Planung über. Was hat sich zwischenzeitlich geändert – zum Beispiel, weil sich Gesetze geändert haben?

Fazit: Datenschutzmanagement ist unverzichtbar!

Jedes Unternehmen ist zum Datenschutz verpflichtet. Doch je größer das Unternehmen ist, je mehr Daten verwaltet werden, desto schwieriger wird diese Aufgabe. Mit einem umfassenden Datenschutzmanagementsystem schaffen Sie die nötige Grundlage für strukturierten, nachweisbaren Datenschutz. Und das verschafft Ihnen nicht nur einen besseren Überblick – sondern beugt auch teuren Bußgeldern vor.

Diese Blogbeiträge dürften Sie ebenfalls interessieren