Datenschutz
Digitales Datenschutzmanagement – Anforderungen und Strategien in der Praxis
Text: Nathalie Dold und Isabell Markin | Foto (Header): © WrightStudio – stock.adobe.com
Mit Geltung der DSGVO im Jahr 2018 sind viele Unternehmen tätig geworden und haben begonnen, die neuen Anforderungen zum Datenschutz im Unternehmen initial umzusetzen. Herausforderungen ergeben sich jedoch auch noch mehrere Jahre später bei der Implementierung und insbesondere der Erhaltung eines ganzheitlichen, strukturierten und effizienten Datenschutzmanagements. Dieses stellt den Dreh- und Angelpunkt einer gesetzeskonformen und langfristig erfolgreichen Auseinandersetzung mit den Datenschutzvorgaben dar.
Auszug aus:
Datenschutz für Praktiker
Ausgabe November 2021
Jetzt Leser werden
Umsetzung der Datenschutzvorgaben im Unternehmen
Die Einhaltung datenschutzrechtlicher Vorgaben stellt einen wichtigen Bestandteil der Unternehmens-Compliance dar. Die Nichtbeachtung kann neben Bußgeldern auch strafrechtliche Folgen, Schadensersatzansprüche von Betroffenen sowie Reputations- bzw. Imageschäden nach sich ziehen. Viele Unternehmen stehen aufgrund der Fülle an zu berücksichtigenden Faktoren in der Praxis jedoch vor einigen Herausforderungen. Die Menge an bestehenden gesetzlichen Vorgaben stellt dabei nur eine der grundlegenden Problematiken dar. Hinzu kommt, dass eine Vielzahl an Beteiligten und Abteilungen zusammengebracht, sensibilisiert und geschult werden müssen, da Datenschutz die meisten oder sogar alle Unternehmensbereiche betrifft. Zudem erfolgt die Umsetzung von Datenschutzvorgaben häufig nur bedarfsbezogen in einzelnen Bereichen.
Ein übergreifendes Konzept, das alle bestehenden und zu erstellenden Prozesse, Vereinbarungen, Richtlinien und Anweisungen miteinander verbindet und aufeinander abstimmt, fehlt hingegen in der Regel. Auch die Einbindung von (externen) Datenschutzbeauftragten (DSB) in die Unternehmens-Organisation ist bei fehlenden Strukturen in der Praxis schwierig und häufig (kosten-)ineffizient. Es bedarf demnach einer Methode, die Bewusstsein für die Relevanz von Datenschutz in allen Unternehmensbereichen schafft, rechtliche Vorgaben definiert und umsetzt, Rollen verteilt und einheitliche Strukturen schafft. Hierdurch können Haftungsrisiken minimiert und vorhandene Ressourcen (kosten-)effizient eingesetzt werden. Dies kann durch die Einführung eines Datenschutzmanagements und unter Zuhilfenahme eines Datenschutzmanagementsystems erzielt werden.
Gesetzliche Anforderungen an Datenschutzmanagement(systeme)
Das Datenschutzmanagement ist ein fortlaufender und übergreifender Prozess, der die Umsetzung der gesetzlichen und betrieblichen Anforderungen an den Datenschutz im Unternehmen zum Ziel hat. Ein Datenschutzmanagementsystem (DSMS) ist dabei als Rahmenwerk zu verstehen, das aus internen Leit- und Richtlinien, Prozessen, Verfahren und Methoden zum Datenschutz besteht. Die Pflicht zur Einführung eines DSMS leitet sich nicht direkt aus dem Gesetz ab. Vielmehr werden Verantwortlichen und Auftragsverarbeitern abstrakte Nachweispflichten auferlegt. Diese ergeben sich allgemein aus Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“) und im Detail z. B. aus der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO).
Aus dem Gesetz geht demnach regelmäßig nur hervor, dass Verantwortliche und Auftragsverarbeiter bestimmten Pflichten nachkommen müssen. Das „Wie“, also die Anforderungen an die Umsetzung, kann bestenfalls von Stellungnahmen der Datenschutzkonferenz oder Checklisten von Aufsichtsbehörden abgeleitet werden. Unternehmen müssen daher in Eigenleistung Strategien entwickeln, um den gesetzlichen Vorgaben und betrieblichen Anforderungen gerecht zu werden.
Ausgestaltung von Datenschutzmanagementsystemen in der Praxis
Mit analogen Strategien, reinen Dokumentationslösungen oder Dokumentenmanagementsystemen können die gesetzlichen Vorgaben und betrieblichen Anforderungen, wenn überhaupt, nur bedingt erfüllt werden. Es empfiehlt sich demnach ein ganzheitlicher digitaler Ansatz, der fortlaufende und flexible Lösungen bietet. Insbesondere für mittelständische Unternehmen, aber auch für die Organisation in kleinen und großen Unternehmen, kann hierbei ein digitales DSMS Unterstützung bieten.
Wie alle klassischen Managementsysteme (z. B. nach ISO 9001 oder 27001), sollten auch DSMS nach dem sog. „PDCA-Zyklus“ aufgebaut sein. Dieser folgt einem geschlossenen Prozesskreislauf von vier aufeinanderfolgenden Schritten. Bei der Wahl einer Datenschutzmanagement-Software sollte darauf geachtet werden, dass die Software diesem Zyklus folgt und bestmöglich die gesetzlichen Vorgaben abdeckt.
PDCA-Zyklus:
PLAN: Identifizierung der bestehenden Datenverarbeitungsvorgänge, einschlägigen Vorgaben und bestehenden Risiken sowie Planung von Umsetzungsmaßnahmen
DO: Umsetzung der definierten Maßnahmen sowie Dokumentation der Umsetzung
CHECK: Regelmäßige Überprüfung der getroffenen Maßnahmen auf Aktualität und Wirksamkeit
ACT: Anpassung des aktuellen Vorgehens bei Bedarf
Zusammenfassung
Analoges Datenschutzmanagement ist definitiv nicht undenkbar. Bei der heutigen Vielzahl an Unternehmensbereichen, die durch die DSGVO berührt werden, ist es jedoch von Vorteil, zumindest teilweise digitale Lösungen heranzuziehen. Gerade bei der Identifizierung von Compliance-Lücken und notwendigen Maßnahmen kann sich ein großer Mehrwert ergeben. Kostbare Zeit, die bei manueller Erarbeitung auch für relativ simple Anforderungen erbracht werden muss, kann hierdurch eingespart werden. Der ganzheitliche Überblick, der oftmals nicht durch manuelle Methoden abzubilden ist, trägt zu der Sorgfalt bei, die benötigt wird, um aus datenschutzrechtlicher Sicht gesetzeskonform zu handeln.
Auszug aus: Dold, Nathalie / Markin, Isabell: Digitales Datenschutzmanagement – Anforderungen und Strategien in der Praxis. In: Datenschutz für Praktiker, November 2021, S. 4–8.
Zur Person
Nathalie Dold ist Wirtschaftsjuristin (M.Sc. Rechts- und Wirtschaftswissenschaften Universität Augsburg) und TÜV-Süd-zertifizierte Datenschutzbeauftragte. Als Data Privacy Managerin betreut sie bei der Proliance GmbH, die unter anderem die Plattform datenschutzexperte.de betreibt, Unternehmen aus den verschiedensten Branchen bei der Umsetzung des Datenschutzes.
Isabell Markin hat Internationales und Europäisches Recht (LL.B – BACHELOR OF LAW) in Den Haag studiert. Als Data Privacy Managerin betreut sie bei der Proliance GmbH Unternehmen aus den verschiedensten Branchen bei der Umsetzung des Datenschutzes.