Datenschutzmanagementsystem (DSMS)

Ein Datenschutzmanagementsystem (DSMS) ist ein strukturierter Ansatz zur Verwaltung und zum Schutz von personenbezogenen Daten innerhalb einer Organisation.

Es umfasst Richtlinien, Prozesse und Technologien, die darauf abzielen, die Einhaltung der Datenschutzbestimmungen innerhalb der DSGVO sicherzustellen. Ein DSMS beinhaltet Maßnahmen wie Datenschutzrichtlinien, Schulungen, Risikobewertungen, Datenschutzfolgenabschätzungen nach Art. 35 DSGVO und Überwachung, um sicherzustellen, dass personenbezogene Daten einem angemessenen Schutzniveau unterworfen sind.

Warum ist ein Datenschutzmanagementsystem für Ihr Unternehmen wichtig?

Die europäische Datenschutz-Grundverordnung (kurz EU-DSGVO) ist eine Verordnung der Europäischen Union, durch die die Verarbeitung personenbezogener Daten durch öffentliche Verwaltungen, Behörden, Unternehmen oder andere Organisationen („Verantwortliche der Verarbeitung“), geregelt und einen einheitlichem Schutzniveau unterworfen werden soll.

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen, aber auch alle personenbeziehbaren Daten, welche über einen Umweg bzw. eine Verknüpfung mit anderen Daten auf eine Person schließen lassen.

Das Fundament für die Verarbeitung personenbezogener bilden die in Art. 5 Abs. 1 lit. a-f der DSGVO dargelegten Datenschutz-Grundsätze. Sie dienen ferner dem besseren Verständnis der Regelungen der DSGVO. Absatz 2 besagt, dass der Verantwortliche für die Einhaltung der Datenschutz-Grundsätze verantwortlich ist und darüber hinaus dessen Einhaltung nachweisen können muss (Rechenschaftspflicht).

Ein Datenschutzmanagementsystem dient dazu, die in Art. 5 Abs. 1 DSGVO verfassten Datenschutz-Grundsätze einzuhalten und die rechtlichen Forderungen der DSGVO umzusetzen.

1. Compliance
   Ein DSMS unterstützt bei der Einhaltung der datenschutzrechtlichen Anforderungen, die nicht nur gesetzlich vorgeschrieben, sondern auch entscheidend für die Wahrung des Vertrauens Ihrer Kunden und Geschäftspartner ist.
2. Risikomanagement
   Durch die Implementierung eines strukturierten DSMS können potenzielle Datenschutzrisiken identifiziert, bewertet und minimiert werden. So können Datenschutzverletzungen verhindert und die Reputationsrisiken reduziert werden.
3. Vertrauen
   Ein effektives DSMS dokumentiert, dass Ihr Unternehmen den Schutz personenbezogener Daten ernst nimmt und nicht nur Personen, sondern auch Ihr Unternehmen schützt. Dies stärkt das Vertrauen der Kunden und Geschäftspartner, was wiederum den Ruf Ihres Unternehmens positiv beeinflusst.
4. Wettbewerbsvorteil
   In einer Welt, in der die Einhaltung der Datenschutz-Gesetze immer mehr an Bedeutung gewinnt, kann ein professionelles DSMS als differenzierender Faktor dienen, da Kunden dazu neigen, die Zusammenarbeit mit Unternehmen zu bevorzugen, die personenbezogene Daten datenschutzkonform verarbeiten.
5. Effizienz
   Ein DSMS schafft klare Strukturen und Prozesse für den Umgang mit personenbezogenen Daten innerhalb Ihres Unternehmens, was die zu dokumentierende Einhaltung der datenschutzrechtlichen Anforderungen vereinfacht.

Zusammenfassend trägt ein Datenschutzmanagement-System (DSMS) innerhalb Ihres Unternehmens dazu bei, den rechtlichen Anforderungen in vollem Maße zu entsprechen und so einen datenschutzkonformen Umgang mit personenbezogenen Daten und deren Schutz zu gewährleisten.

Das DSMS – mehr als nur eine Software

Ein DSMS ist weit mehr als eine Software. Es ist ein ganzheitlicher Ansatz, der verschiedene Elemente wie beispielsweise Datenschutzrichtlinien und -verfahren, sowie das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, die den Umgang mit personenbezogenen Daten innerhalb Ihres Unternehmens regelt, sowie die Sensibilisierung der Mitarbeiter, um das Bewusstsein für den Datenschutz zu schärfen und den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

Die Risikobewertung in Form einer systematischen Identifizierung und Bewertung von Datenschutzrisiken bzw. einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist ebenso Bestandteil des DSMS wie die Einhaltung der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO, die das technische und organisatorische Schutzniveau im Hinblick auf den Schutz der verarbeiteten personenbezogenen Daten dokumentieren.

Die Benennung eines betrieblichen Datenschutzbeauftragten (DSB) nach Art. 37 DSGVO ist dann erforderlich, wenn in Ihrem Unternehmen mindestens 20 Mitarbeiter regelmäßig automatisiert personenbezogene Daten verarbeiten, wenn innerhalb Ihres Unternehmens sensible personenbezogene Daten nach Art. 9 DSGVO verarbeitet werden, wenn umfangreiche Datenverarbeitungen stattfinden oder wenn eine gesetzliche Verpflichtung zur Bestellung eines DSB besteht.

Art. 38 DSGVO beschreibt die Stellung eines DSB. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben, zu denen unter anderem die Überwachung der Einhaltung der DSGVO gehört, sowie die jährliche Datenschutz-Auditierung Ihres Unternehmens.

Die Implementierung eines solchen DSMS erfolgt in mehreren Phasen:

1. Begutachtung und Analyse der vorhandenen Dokumentationen und umgesetzten Maßnahmen nach DSGVO sowie alle sonstigen anwendbaren Datenschutzvorschriften
2. Ermittlung der datenschutzrechtlich relevanten Prozesse und Verfahren
3. Erstellung des erforderlichen Verarbeitungsverzeichnisses nach Art. 30 DSGVO
4. Ermittlung der Notwendigkeit zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DSGVO und Beratung bei der Durchführung
5. Erstellung einer AV-Übersicht anhand der vorliegenden Auftragsverarbeitungs-Vereinbarungen nach Art. 28 DSGVO
6. Ermittlung des Ist-Zustandes der TOM nach Art. 32 DSGVO und darauf aufbauende Handlungsempfehlungen zur Herstellung des Soll-Zustandes
7. Erstellung eines Datenschutz-Handbuchs sowie diverser Richtlinien zum Datenschutz
8. Unterstützung bei der Erstellung von Datenschutzhinweisen nach Art. 13, 14 DSGVO
9. Prüfung der bestehenden Einwilligungen und anderer datenschutzrechtlichen Unterlagen auf DSGVO-Konformität
10. Automatisierte Prüfung der Website auf DSGVO-Konformität
11. Bereitstellung eines Leitfadens zur Erfüllung der Löschpflichten nach Art. 5 Abs. 1 DSGVO und Art. 17 DSGVO

Die Umsetzung des DSMS kann je nach der Größe Ihres Unternehmens, der Branche und den spezifischen Anforderungen variieren. Es ist wichtig, dass das DSMS kontinuierlich gepflegt wird, um den sich ändernden Datenschutzanforderungen gerecht zu werden.

Wer ist für den Datenschutz im Unternehmen verantwortlich?

Nach der Legaldefinition in Art. 4 DSGVO ist Verantwortlicher für die Verarbeitung personenbezogener Daten die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Demnach ist Ihr Unternehmen als juristische Person, vertreten durch den Geschäftsführer/die Geschäftsführerin, verantwortlich für die Verarbeitung personenbezogener Daten.

Für die Umsetzung der rechtlichen, technischen und organisatorischen Vorgaben zum Datenschutz ist der Geschäftsführer Geschäftsführerin Ihres Unternehmens verantwortlich. Er hat die Ausübung dieser Verantwortlichkeit im Rahmen seiner obliegenden Organisationshoheit auf die Organisationseinheiten übertragen, die im Rahmen ihrer Aufgaben personenbezogene Daten verarbeiten. Die Organisationseinheiten üben die Verantwortlichkeit auch dann aus, wenn sie die Daten vertraglich durch einen Dritten verarbeiten lassen (Auftragsverarbeitung, gem. Art. 28 DSGVO).

In Abgrenzung dazu besitzt der betriebliche Datenschutzbeauftragte (DSB) keine aus dieser Verantwortlichkeit resultierende operative Handlungsverpflichtung, sondern erbringt Beratungs- und Überwachungsleistungen, siehe nächster Abschnitt.

Auch die Mitarbeiter Ihres Unternehmens spielen eine immens wichtige Rolle hinsichtlich des Datenschutzes, da sie mit der Verarbeitung der personenbezogenen Daten betraut sind. Insofern ist die Sicherstellung des Verständnisses für den Datenschutz durch regelmäßige Sensibilisierungsmaßnahmen ebenso wichtig, wie die Befolgung der etablierten Datenschutzrichtlinien.

Die IT-Abteilung ist direkt in die Umsetzung der Maßnahmen des Datenschutzes involviert, wenn es beispielsweise um die TOM nach Art. 32 DSGVO geht, die unter anderem die Implementierung bzw. Sicherstellung von technischen und organisatorischen Sicherheitsmaßnahmen abbilden, den Schutz personenbezogener Daten innerhalb Ihres Unternehmens gewährleisten und beispielsweise die Verschlüsselung und Zugriffskontrollen beinhalten.

Eine klare Zuweisung interner Verantwortlichkeiten, sowie eine transparente Zusammenarbeit hinsichtlich des Thema Datenschutz ist entscheidend, um die rechtskonforme Einhaltung aller datenschutzrelevanten Anforderungen zu gewährleisten und nachzuweisen.