Datenschutz-Managementsystem – wer benötigt eines und was leistet es?

Datenschutz ist für die allermeisten Unternehmen spätestens seit Inkrafttreten der DSGVO im Mai 2018 ein Topthema. Viele haben damals als erste Maßnahme einen E-Mail-Account für Datenschutzanfragen und Selbstauskunftsersuchen eingerichtet, um die gesetzlichen Vorgaben formal zu erfüllen. Dies reicht jedoch bei Weitem nicht. Allein um die in der DSGVO geforderten kurzen Reaktionszeiten auf Datenschutzanfragen einzuhalten, braucht es ein effizient funktionierendes Managementsystem für den Datenschutz – kurz ein DSMS.

Das Wichtigste in Kürze

  • Ein Datenschutz-Managementsystem ist eine Art Lösungsbaukasten, der geeignete Organisationsstrukturen, Prozesse, Instrumente und Methoden für den Datenschutz enthält.
  • Verantwortlich für die Einführung und den Betrieb eines DSMS ist immer das Management (Top-Down-Ansatz).
  • Ein Datenschutz-Managementsystem schafft die Voraussetzungen für den DSGVO-konformen Umgang mit personenbezogenen Daten.
  • Wichtig: Das DSMS verarbeitet und speichert selbst keine personenbezogenen Daten.
  • Ein DSMS ist nie fertig, es entwickelt sich und folgt dabei dem PDCA-Zyklus: plan, do, check and adjust.

In diesem Beitrag

Was ist ein Datenschutz-Managementsystem (DSMS) und wer benötigt es?

Unternehmen arbeiten oft mit einer Vielzahl von Managementsystemen. Jedes einzelne ist eine Art Lösungsbaukasten, in dem sich geeignete Organisationsstrukturen, Prozesse, Instrumente und Methoden befinden, um ein definiertes Ziel zu erreichen. Das Ziel vonDatenschutz-Managementsystemen ist der Schutz personenbezogener Daten gemäß DSGVO. Ein Unternehmen erfüllt die dort gesetzlich vorgeschriebenen Anforderungen, wenn es die im Rahmen seines Datenschutz-Managementsystems definierten Organisationsstrukturen, Prozesse, Instrumente und Methoden konsequent und in der vorgesehenen Art und Weise einsetzt. So die Theorie.

In der Praxis gibt es für Unternehmen allerdings weder eine Pflicht zur Einführung eines DSMS noch verbindliche Normen für die Ausgestaltung und den Umfang desselben. Sprich: Auch ein Aktenordner mit der Aufschrift „Unser Datenschutz-Managementsystem“ könnte als DSMS durchgehen, sofern er die nötigen Prozessdefinitionen, Instrumente und Handlungsanweisungen enthält und sofern diese in einer für das Datenschutzrisiko des Unternehmens angemessenen Art und Weise umgesetzt sind. Dabei gilt: Wo kein Kläger, da kein Richter. Aufsichtsbehörden intervenieren erst bei vermeintlichen DSGVO-Verstößen. In diesen Fällen werden sie sich das jeweils etablierte Datenschutz-Managementsystem genau ansehen und daraufhin entscheiden, ob die damit realisierbare Datenschutzpraxis den Anforderungen genügt.

Heißt im Klartext: Ein Unternehmen mit umfassendem und tief in der Organisation verankertem DSMS minimiert die Wahrscheinlichkeit von Datenschutzverletzungen und das unternehmerische Risiko damit verbundener Sanktionen und Reputationsverluste.

Gibt es verbindliche Vorgaben oder Standards für die Umsetzung eines DSMS?

Nein, die gibt es nicht. Jedenfalls nicht in Form einer allgemein anerkannten und marktüblichen Norm wie bei anderen Managementsystemen. Im weiteren Sinne normativ für die Ausgestaltung eines Datenschutz-Managementsystems ist jedoch immer die Rechtslandschaft, in der ein solches System funktionieren soll. Den Rahmen setzen hierzulande das Bundesdatenschutzgesetz (BDSG) und die europäische Datenschutz-Grundverordnung (DSGVO). Die konkrete Umsetzung kann aber je nach Unternehmen und Branche sehr individuell erfolgen.

Nichtsdestotrotz gibt es Normen, die Orientierung bei der Umsetzung geben können – auch wenn sie nicht verbindlich vorgeschrieben oder marktüblich sind. Zu nennen sind hier etwa die ISO 27701 und der Prüfstandard IDW PS 980. Beides sind Erweiterungen etablierter Normen. Die ISO 27701 erweitert Informationssicherheits-Managementsysteme (ISMS) gemäß ISO 27001 um spezifische Maßnahmen zum Schutz von personenbezogenen Daten. Bei IDW PS 980 handelt es sich um die datenschutzspezifische Erweiterung eines Prüfstandards (PS), der vom Institut der Wirtschaftsprüfer (IDW) für die Überprüfung von Compliance Management Systemen definiert wurde.

Was ist der Unterschied zwischen einem Informationssicherheits-Managementsystem (ISMS) und einem Datenschutz-Managementsystem (DSMS)?

In beiden Fällen handelt es sich um Managementsysteme. Das, was gemanagt wird, unterscheidet sich jedoch, sodass beide Systeme ihre Daseinsberechtigung haben und sich gegenseitig nicht ersetzen können. Beim ISMS geht es um die Informationssicherheit eines Unternehmens. Geschützt werden alle für eine Organisation relevanten Informationen vor unberechtigtem Zugriff, Verlust und vor nicht autorisierten Änderungen. Per Definition geht es in erster Linie um die Vertraulichkeit, Integrität und Verfügbarkeit unternehmenswichtiger Informationen.

Objekt eines Datenschutz-Managementsystems sind dagegen ausschließlich personenbezogene Daten. Diese gilt es einerseits zu schützen – gegen unberechtigte Zugriffe, Missbrauch und Verlust. Andererseits dient ein DSMS dazu, die hohen gesetzlichen Anforderungen an den Umgang mit personenbezogenen Daten zu erfüllen und die dabei geltenden Prinzipien und Pflichten einzuhalten. Zweckbindung und Transparenz sind in diesem Zusammenhang zentrale Stichworte, aber auch konkrete Maßnahmen wie eine Datenschutz-Folgenabschätzung, umfangreiche Dokumentationen wie etwa das Verzeichnis der Auftragsverarbeitungsverträge (VVT), das Etablieren eines Löschkonzepts und die Umsetzung weiterer Technischer und Organisatorischer Maßnahmen (TOM) zum Schutz personenbezogener Daten.

Wer im Unternehmen ist zuständig und verantwortlich für das DSMS?

Die Rolle des Datenschutzbeauftragten ist im Datenschutz-Managementsystem zwingend vorgesehen. Die Fachkraft in dieser Rolle – ganz gleich, ob interner oder externer Datenschutzbeauftragter – ist zuständig für den operativen Betrieb des Systems und die damit angestrebte Datenschutzkonformität. Die Verantwortung für ein DSMS liegt in letzter Konsequenz aber stets und allein beim Management. Denn genau wie das ISMS, folgt auch das DSMS einem Top-Down-Ansatz: entscheidend sind das Bekenntnis der Geschäftsleitung zum Datenschutz und eine entsprechend ausgerichtete Unternehmensführung.

Gibt es klassische Vorgehensweisen für Aufbau und Betrieb eines Datenschutz-Managementsystems?

Am Anfang steht eine umfassende Analyse der Ist-Situation: Welche Abläufe und Prozesse im Unternehmen sind besonders datenschutzrelevant? Wo finden sich Schwachstellen? Welche Strukturen und Maßnahmen sind zum Schutz personenbezogener Daten bereits etabliert, welche fehlen?

Ausgehend von den Antworten auf diese Fragen wird dann ein passendes Konzept entwickelt und auf die Rechtslandschaft abgestimmt, in der sich das Unternehmen bewegt. So entsteht ein DSMS, welches zum Beispiel die Anforderungen und Vorgaben des BDSG sowie der DSGVO erfüllt. Dann folgen die Implementierung und Dokumentation des Datenschutz-Managementsystems und eine kontinuierliche Verbesserung im laufenden Betrieb.

Der gesamte Ablauf folgt dem bekannten PDCA-Zyklus: plan, do, check, adjust. Dieser ist, ohne so benannt zu werden, auch in der DSGVO selbst beschrieben und als „gute Praxis“ vorgegeben. So heißt es in Artikel 1 Absatz 1 DSGVO:

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

Softwarelösungen für den Datenschutz sind also nicht statisch, sondern dynamisch?

Sehr dynamisch sogar. Die Software muss im Hinblick auf die konkreten Anforderungen und Prozesse in einem Unternehmen immer wieder angepasst werden und entsprechend individualisierbar sein. Dabei müssen zahlreiche Fragestellungen berücksichtigt werden: Welche Zugriffe auf die vorhandenen Daten und welche Änderungen an diesen werden beispielsweise protokolliert – und in welcher Weise? Entspricht das Löschkonzept noch den Anforderungen in der Praxis oder muss es zeitnah nachgebessert werden? Wie werden Datenschutzschulungen für Mitarbeiter umgesetzt und dokumentiert? Wird der Privacy-by-Design-Grundsatz hinreichend berücksichtigt oder gibt es Optimierungsmöglichkeiten? Das System, sprich die Datenschutzsoftware im Hintergrund, muss offen für diese Fragen sein und neue Antworten flexibel abbilden können.

Was zeichnet ein gutes Datenschutz-Managementsystem darüber hinaus aus?

Es muss die gesetzlich vorgeschriebenen Anforderungen zwingend erfüllen. Etwa im Hinblick auf die Datenverarbeitungstätigkeiten im Unternehmen, die TOMs, die Dokumentation von Mitarbeiterschulungen, von Auftragsverarbeitungsverträgen (VVT) oder das Management von Datenauskunfts- und -löschanträgen sowie vieles mehr.

Wie zuverlässig und gut ein Datenschutz-Managementsystem aber wirklich funktioniert, ist am Ende eine Frage der internen Kommunikation sowie der Einbindung und des Engagements der Mitarbeitenden. Diese sind potenziell das schwächste Glied in der Datenschutzkette. Deshalb ist es so wichtig, dass die Einführung und der Betrieb eines DSMS als zentrale Management-Aufgabe verstanden werden. Nur so kann in der Belegschaft das nötige Bewusstsein ausgebildet werden, und nur dann wird der Datenschutz in einem Unternehmen auch von allen gelebt und aktiv umgesetzt.

Auch bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

Zurück zur Übersicht

Über den Autor

Malte Rowe Malte Rowe
Malte Rowe

Senior Privacy Consultant

Malte Rowe ist seit 2018 zertifizierter Datenschutzbeauftragter (TÜV) sowie IT-Grundschutzpraktiker (BSI). Auf seiner Laufbahn hat er zuvor schon als Data Protection Manager bei der flaschenpost AG und in einer Berliner Datenschutzberatungsgesellschaft gearbeitet. Davor war er lange Zeit im Bereich Online- und Social-Media-Marketing selbstständig. In der täglichen Kundenberatung liegt es ihm besonders am Herzen, Lösungen ohne prinzipielle Verbote zu bieten und so die Unternehmen, die er betreut datenschutzkonform voranzubringen.

Mehr Artikel ansehen

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur ISO 27001 und TISAX-Zertifizierung
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000