Datenschutz-Managementsystem – wer benötigt eines und was leistet es?

Die DSGVO ist seit 2018 in Kraft, doch viele Unternehmen kämpfen noch mit der Umsetzung der komplexen Datenschutzbestimmungen. Ein Datenschutz-Managementsystem (DSMS) kann hier Abhilfe schaffen und für mehr Rechtssicherheit und Effizienz sorgen.

Das Wichtigste in Kürze

  • Ein Datenschutz-Managementsystem ist eine Art Lösungsbaukasten, der geeignete Organisationsstrukturen, Prozesse, Instrumente und Methoden für den Datenschutz enthält.
  • Verantwortlich für die Einführung und den Betrieb eines DSMS ist immer das Management (Top-Down-Ansatz).
  • Ein Datenschutz-Managementsystem schafft die Voraussetzungen für den DSGVO-konformen Umgang mit personenbezogenen Daten.
  • Wichtig: Das DSMS verarbeitet und speichert selbst keine personenbezogenen Daten.
  • Ein DSMS ist nie fertig, es entwickelt sich und folgt dabei dem PDCA-Zyklus: plan, do, check and adjust.

In diesem Beitrag

Was ist ein Datenschutz-Managementsystem (DSMS) und wer benötigt es?

Unternehmen arbeiten oft mit einer Vielzahl von Managementsystemen. Jedes einzelne ist eine Art Lösungsbaukasten, in dem sich geeignete Organisationsstrukturen, Prozesse, Instrumente und Methoden befinden, um ein definiertes Ziel zu erreichen.

Das Ziel von Datenschutz-Managementsystemen ist der Schutz personenbezogener Daten gemäß DSGVO. Ein Unternehmen erfüllt die dort gesetzlich vorgeschriebenen Anforderungen, wenn es die im Rahmen seines Datenschutz-Managementsystems definierten Organisationsstrukturen, Prozesse, Instrumente und Methoden konsequent und in der vorgesehenen Art und Weise einsetzt. So die Theorie.

In der Praxis gibt es für Unternehmen allerdings weder eine Pflicht zur Einführung eines DSMS noch verbindliche Normen für die Ausgestaltung und den Umfang desselben. Sprich: Auch ein Aktenordner mit der Aufschrift „Unser Datenschutz-Managementsystem“ könnte als DSMS durchgehen, sofern er die nötigen Prozessdefinitionen, Instrumente und Handlungsanweisungen enthält und sofern diese in einer für das Datenschutzrisiko des Unternehmens angemessenen Art und Weise umgesetzt sind.

Dabei gilt: Wo kein Kläger, da kein Richter. Aufsichtsbehörden intervenieren erst bei vermeintlichen DSGVO-Verstößen. In diesen Fällen werden sie sich das jeweils etablierte Datenschutz-Managementsystem genau ansehen und daraufhin entscheiden, ob die damit realisierbare Datenschutzpraxis den Anforderungen genügt.

Heißt im Klartext: Ein Unternehmen mit umfassendem und tief in der Organisation verankertem DSMS minimiert die Wahrscheinlichkeit von Datenschutzverletzungen und das unternehmerische Risiko damit verbundener Sanktionen und Reputationsverluste.

Gibt es verbindliche Vorgaben oder Standards für die Umsetzung eines DSMS?

Nein, die gibt es nicht. Jedenfalls nicht in Form einer allgemein anerkannten und marktüblichen Norm wie bei anderen Managementsystemen.

Im weiteren Sinne normativ für die Ausgestaltung eines Datenschutz-Managementsystems ist jedoch immer die Rechtslandschaft, in der ein solches System funktionieren soll. Den Rahmen setzen hierzulande das Bundesdatenschutzgesetz (BDSG) und die europäische Datenschutz-Grundverordnung (DSGVO). Die konkrete Umsetzung kann aber je nach Unternehmen und Branche sehr individuell erfolgen.

Nichtsdestotrotz gibt es Normen, die Orientierung bei der Umsetzung geben können – auch wenn sie nicht verbindlich vorgeschrieben oder marktüblich sind. Zu nennen sind hier etwa die ISO 27701 und der Prüfstandard IDW PS 980. Beides sind Erweiterungen etablierter Normen. Die ISO 27701 erweitert Informationssicherheits-Managementsysteme (ISMS) gemäß ISO 27001 um spezifische Maßnahmen zum Schutz von personenbezogenen Daten.

Bei IDW PS 980 handelt es sich um die datenschutzspezifische Erweiterung eines Prüfstandards (PS), der vom Institut der Wirtschaftsprüfer (IDW) für die Überprüfung von Compliance Management Systemen definiert wurde.

 

 

Was ist der Unterschied zwischen einem Informationssicherheits-Managementsystem (ISMS) und einem Datenschutz-Managementsystem (DSMS)?

In beiden Fällen handelt es sich um Managementsysteme. Das, was gemanagt wird, unterscheidet sich jedoch, sodass beide Systeme ihre Daseinsberechtigung haben und sich gegenseitig nicht ersetzen können.

Beim ISMS geht es um die Informationssicherheit eines Unternehmens. Geschützt werden alle für eine Organisation relevanten Informationen vor unberechtigtem Zugriff, Verlust und vor nicht autorisierten Änderungen. Per Definition geht es in erster Linie um die Vertraulichkeit, Integrität und Verfügbarkeit unternehmenswichtiger Informationen.

Objekt eines Datenschutz-Managementsystems sind dagegen ausschließlich personenbezogene Daten. Diese gilt es einerseits zu schützen – gegen unberechtigte Zugriffe, Missbrauch und Verlust. Andererseits dient ein DSMS dazu, die hohen gesetzlichen Anforderungen an den Umgang mit personenbezogenen Daten zu erfüllen und die dabei geltenden Prinzipien und Pflichten einzuhalten.

Zweckbindung und Transparenz sind in diesem Zusammenhang zentrale Stichworte, aber auch konkrete Maßnahmen wie eine Datenschutz-Folgenabschätzung, umfangreiche Dokumentationen wie etwa das Verzeichnis der Auftragsverarbeitungsverträge (VVT), das Etablieren eines Löschkonzepts und die Umsetzung weiterer Technischer und Organisatorischer Maßnahmen (TOM) zum Schutz personenbezogener Daten.

Wer im Unternehmen ist zuständig und verantwortlich für das DSMS?

Die Rolle des Datenschutzbeauftragten ist im Datenschutz-Managementsystem zwingend vorgesehen. Die Fachkraft in dieser Rolle – ganz gleich, ob interner oder externer Datenschutzbeauftragter – ist zuständig für den operativen Betrieb des Systems und die damit angestrebte Datenschutzkonformität.

Die Verantwortung für ein DSMS liegt in letzter Konsequenz aber stets und allein beim Management. Denn genau wie das ISMS, folgt auch das DSMS einem Top-Down-Ansatz: entscheidend sind das Bekenntnis der Geschäftsleitung zum Datenschutz und eine entsprechend ausgerichtete Unternehmensführung.

Gibt es klassische Vorgehensweisen für Aufbau und Betrieb eines Datenschutz-Managementsystems?

Am Anfang steht eine umfassende Analyse der Ist-Situation: Welche Abläufe und Prozesse im Unternehmen sind besonders datenschutzrelevant? Wo finden sich Schwachstellen? Welche Strukturen und Maßnahmen sind zum Schutz personenbezogener Daten bereits etabliert, welche fehlen?

Ausgehend von den Antworten auf diese Fragen wird dann ein passendes Konzept entwickelt und auf die Rechtslandschaft abgestimmt, in der sich das Unternehmen bewegt. So entsteht ein DSMS, welches zum Beispiel die Anforderungen und Vorgaben des BDSG sowie der DSGVO erfüllt. Dann folgen die Implementierung und Dokumentation des Datenschutz-Managementsystems und eine kontinuierliche Verbesserung im laufenden Betrieb.

Der gesamte Ablauf folgt dem bekannten PDCA-Zyklus: plan, do, check, adjust. Dieser ist, ohne so benannt zu werden, auch in der DSGVO selbst beschrieben und als „gute Praxis“ vorgegeben. So heißt es in Artikel 1 Absatz 1 DSGVO:

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

Softwarelösungen für den Datenschutz sind also nicht statisch, sondern dynamisch?

Sehr dynamisch sogar. Die Software muss im Hinblick auf die konkreten Anforderungen und Prozesse in einem Unternehmen immer wieder angepasst werden und entsprechend individualisierbar sein.

Dabei müssen zahlreiche Fragestellungen berücksichtigt werden: Welche Zugriffe auf die vorhandenen Daten und welche Änderungen an diesen werden beispielsweise protokolliert – und in welcher Weise? Entspricht das Löschkonzept noch den Anforderungen in der Praxis oder muss es zeitnah nachgebessert werden? Wie werden Datenschutzschulungen für Mitarbeiter umgesetzt und dokumentiert? Wird der Privacy-by-Design-Grundsatz hinreichend berücksichtigt oder gibt es Optimierungsmöglichkeiten? Das System, sprich die Datenschutzsoftware im Hintergrund, muss offen für diese Fragen sein und neue Antworten flexibel abbilden können.

Was zeichnet ein gutes Datenschutz-Managementsystem darüber hinaus aus?

Es muss die gesetzlich vorgeschriebenen Anforderungen zwingend erfüllen. Etwa im Hinblick auf die Datenverarbeitungstätigkeiten im Unternehmen, die TOMs, die Dokumentation von Mitarbeiterschulungen, von Auftragsverarbeitungsverträgen (AVV) oder das Management von Datenauskunfts- und -löschanträgen sowie vieles mehr.

Wie zuverlässig und gut ein Datenschutz-Managementsystem aber wirklich funktioniert, ist am Ende eine Frage der internen Kommunikation sowie der Einbindung und des Engagements der Mitarbeitenden. Diese sind potenziell das schwächste Glied in der Datenschutzkette. Deshalb ist es so wichtig, dass die Einführung und der Betrieb eines DSMS als zentrale Management-Aufgabe verstanden werden. Nur so kann in der Belegschaft das nötige Bewusstsein ausgebildet werden, und nur dann wird der Datenschutz in einem Unternehmen auch von allen gelebt und aktiv umgesetzt.

Auch bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

Zurück zur Übersicht

Über den Autor

Malte Rowe Malte Rowe
Malte Rowe

Senior Privacy Consultant

Malte Rowe ist seit 2018 zertifizierter Datenschutzbeauftragter (TÜV) sowie IT-Grundschutzpraktiker (BSI). Auf seiner Laufbahn hat er zuvor schon als Data Protection Manager bei der flaschenpost AG und in einer Berliner Datenschutzberatungsgesellschaft gearbeitet. Davor war er lange Zeit im Bereich Online- und Social-Media-Marketing selbstständig. In der täglichen Kundenberatung liegt es ihm besonders am Herzen, Lösungen ohne prinzipielle Verbote zu bieten und so die Unternehmen, die er betreut datenschutzkonform voranzubringen.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren