Anforderungen an einem Datenschutz Managementsystem

Ein Datenschutz Managementsystem (DSMS) ist ein strukturierter Ansatz zur Verwaltung und zum Schutz personenbezogener Daten in einem Unternehmen, Organisation oder Verein.

Das Datenschutz Managementsystem dokumentiert und sichert die Einhaltung des Datenschutzes, insbesondere der Datenschutz Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG). Es erfüllt damit vor allem die Rechenschafts- und Nachweispflichten nach der DS-GVO und des BDSG.

Wichtige Anforderungen an einem effektives Datenschutz Managementsystem

Prinzipiell müssen alle Datenschutzgesetze und -verordnungen umgesetzt werden. Ein Datenschutz Managementsystem sollte daher auch all diese Anforderungen, ungeachtet der Unternehmens- oder Organisationsgröße, bereits von Anfang an abbilden.

Je nach Art und Größe des Unternehmens oder der Organisation kann die Verwendung der einzelnen Inhalte (Bausteine) variieren. Auf dieser Weise bildet das Datenschutz Managementsystem auch einen soliden Rahmen für den Datenschutz-Compliance in der Zukunft.

Allgemein rechtliches

Inhalte eines Managementsystems

  • Rechtskonformität:

Das DSMS sollte die rechtlichen Anforderungen des Datenschutzes im Inland entsprechen.

Sofern das Unternehmen oder die Organisation international tätig ist, sollte das DSMS ebenfalls die Rechtsprechung der Länder in der die Organisation tätig ist beachten.

  • Dokumentation und Aufzeichnungen:

Das Datenschutz Management System sollte die Erstellung und Pflege von Datenschutzrichtlinien, Verfahren und Aufzeichnungen ermöglichen, um die Compliance zu gewährleisten.

  • Dateninventarisierung und -klassifizierung:

Das DSMS sollte Mechanismen für die Identifizierung und Klassifizierung von personenbezogenen Daten bereitstellen, um eine effektive Verwaltung zu ermöglichen.

  • Unternehmensposition:

Das DSMS sollte die Möglichkeit bieten, die Verantwortlichkeit für die Verarbeitung der personenbezogenen Daten abzugrenzen. Die DS-GVO unterscheidet drei Akteure:

    • nur für sich Verantwortlich;
    • eine gemeinsame Verantwortlichkeit;
    • die Auftragsverarbeitung;

Lesen Sie hier mehr dazu

  • Datenschutzbeauftragter (DSB):

Das DSMS sollte die Möglichkeit bieten, einen Datenschutzbeauftragten zu ernennen oder entsprechende Verantwortlichkeiten zuzuweisen, wenn dies gesetzlich erforderlich ist.

Inhalte (Bausteine) von DPM-Online

  • Rechtskonformität:

DPM-Online ist für Deutschland auf eine vollständige Compliance mit der DS-GVO, das BDSG sowie weitere deutsche Datenschutzgesetze und -bestimmungen ausgerichtet.

Das Managementsystem ist auch für die Niederlanden und deren spezifischen Datenschutzbestimmungen verfügbar.

  • Dokumentation und Aufzeichnungen:

Zur Gewährleistung der Compliance können die Erstellung und Pflege von Datenschutzrichtlinien, Verfahren und Aufzeichnungen auf einfache Weise vorgenommen werden.

  • Dateninventarisierung und -klassifizierung:

Für die Identifizierung und Klassifizierung von personenbezogenen Daten wird das Schutzstufenkonzept der Landesdatenschutzbehörde Niedersachsen verwendet.

  • Unternehmensposition:

Das Managementsystem unterstützt den Verantwortlichen bei der Klärung seiner Rolle mit Bezug zum Datenschutzrecht.

Es wird geklärt, ob das Unternehmen nach DS-GVO alleiniger oder gemeinsamer „Verantwortlicher“ oder „Auftragsverarbeiter“ ist.

Die Klärung dieser Frage ist unter anderem wichtig für die Feststellung, ob ein Datenschutzbeauftragter bestellt werden muss. Gleichzeitig hat die Klärung Auswirkungen auf vertragliche Vereinbarungen, wie z.B. AV- und Joint-Venture-Verträge.

Lesen Sie hier mehr dazu

  • Datenschutzbeauftragter (DSB):

Das DSMS unterstützt den Verantwortlichen bei der Frage, ob ein Datenschutzbeauftragter bestellt werden muss. Die Entscheidung wird im System dokumentiert. Der Zeitraum für eine regelmäßige Überprüfung der Entscheidung kann von dem Verantwortlichen festgelegt werden.

Risikobewertung

  • Risikobewertung und -management:

Eine systematische Risikobewertung sollte durchgeführt werden können, um potenzielle Risiken für die Verarbeitung personenbezogener Daten zu identifizieren, zu bewerten und zu managen.

  • Datenschutz-Folgenabschätzung (DSFA):

Die Durchführung von Datenschutz-Folgenabschätzungen sollte unterstützt werden, um die Auswirkungen von Datenverarbeitungsvorgängen auf die Privatsphäre zu bewerten. Eine DSFA muss regelmäßig überprüft werden können.

  • Incident Response und Meldung von Datenschutzverletzungen:

Ein klar definierter Prozess für die Reaktion auf Datenschutzverletzungen und die Meldung von Vorfällen sollte vorhanden sein.

 

  • Risikobewertung und -management:

Das DSMS bietet dem Verantwortlichen die möglichkeit vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge mit einem Bezug zu den personenbezogener Daten durchzuführen.

  • Datenschutz-Folgenabschätzung (DSFA):

Zur Durchführung einer DSFA eine vollständige Prozessbeschreibung und -dokumentation im Managementsystem vorgesehen. Mittels eine “Kalenderfunktion” ist eine regelmäßige Überprüfung vorgesehen.

  • Incident Response und Meldung von Datenschutzverletzungen:

Das Datenschutz Managementsystem unterstützt den Verantwortlichen bei der prozessbasierten Etablierung eines Incident Response Management. Auch hierzu ist eine Prozessbeschreibung und -dokumentation implementiert.

Sicherheit der Verarbeitung

  • Datenschutz durch Technikgestaltung (Privacy by Design) und Datenschutzfreundliche Voreinstellungen (Privacy by Default):

Das DSMS sollte Prinzipien der Datenschutzfreundlichkeit in die Gestaltung von Prozessen, Systemen und Produkten integrieren. Eingesetzte Dienst-, System- oder Geräte-Software muss regelmäßig auf den Stand der Technik und Voreinstellungen überprüft werden.

  • Technische und organisatorische Maßnahmen:

Zu einem umfassenden und datenschutzkonformen Datenschutz Management System müssen die technische und organisatorische Maßnahmen im Unternehmen umgesetzt und für den Fall einer Kontrolle durch die Aufsichtsbehörde für den Datenschutz dokumentiert werden. Die Maßnahmen mussen regelmäßig überprüft werden.

  • Datenschutz durch Technikgestaltung (Privacy by Design) und Datenschutzfreundliche Voreinstellungen (Privacy by Default):

Am Managementsystem wurde die möglichkeit zur Überprüfung der eingesetzte Dienst-, System- oder Geräte-Software regelmäßig auf den Stand der Technik und Voreinstellungen überprüfen. Mittels eine “Kalenderfunktion” ist eine regelmäßige Überprüfung vorgesehen.

  • Technische und organisatorische Maßnahmen:

Sie finden bereits alle gängigen technischen und organisatorischen Maßnahmen in Ihrem System beschrieben und können diese mit einem Klick ganz einfach anpassen oder ergänzen. Zur Uberprüfung wurde eine “Kalenderfunktion” sowie eine Dokumentationsmöglichkeit implementiert.

PDCA-Zyklus – Datenschutzschulung, -sensibilisierung und -bewusstsein

  • Schulung und Sensibilisierung:

Das DSMS sollte Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter bereitstellen, um das Bewusstsein für Datenschutzrisiken zu schärfen.

Der Verantwortliche sollte die Dürchführung der Maßnahmen dokumentieren und nachweisen können.

  • Überwachung und Audits:

Regelmäßige Überwachung und interne Audits sollten durchgeführt werden, um sicherzustellen, dass das DSMS effektiv und rechtskonform ist.

  • Kontinuierliche Verbesserung:

Das DSMS sollte einen Mechanismus für kontinuierliche Verbesserung beinhalten, der auf den Ergebnissen von Audits, Überwachungen und Erfahrungen aus Datenschutzvorfällen basiert. Dabei ist es wichtig, dass das DSMS dynamisch bleibt und sich an sich ändernde rechtliche Anforderungen und Technologien anpasst.

  • Schulung und Sensibilisierung:

Das DSMS ist auch für die Mitarbeiter zugänglich. Nach dem Einloggen werden wechselnde Informationen zur Bewusstsein und Achtsamkeit bei der Verarbeitung von Personenbezogenen Daten gezeigt. Die Sensibilisierungsmaßnahmen können somit dokumentier und nachgewiesen werden

  • Überwachung und Audits:

Das Managementsystem besitzt eine “Kalenderfunktion” zur regelmäßige Überwachung der zu prüfende Dokumentationen. Auf dieser Weise  kann sichergezustellt werden, dass das DSMS effektiv und rechtskonform ist.

  • Kontinuierliche Verbesserung:

Ebenfalls ermöglicht die Kalenderfunktion durch eine regelmäßige Überprüfung und komtrolle die möglichkeit für eine  kontinuierliche Verbesserung. Das DSMS ist auf der Basis eines CMS aufgebaut und ist somit dynamisch und kann an sich ändernde rechtliche Anforderungen und Technologien anpasst werden.

Mit DPM-Online haben Sie ein vollständiges Datenschutz Managementsystem womit Sie die 99 Artikeln und die 173 Erwägungsgrunde der DS-GVO, die 72 Paragraphen des BDSG und die sonstige Datenschutzvorschriften einhalten können.

DPM Online – Datenschutz Management

Rechtssicher, strukturiert und effizient