close
Share with your friends

Implementierung eines Datenschutz-Managementsystems

Implementierung eines Datenschutz-Managementsystems

Warum die Konzeptionierung und Implementierung eines Datenschutz-Managementsystems unerlässlich ist

Ansprechpartner

Barbara Scheben

Partner, Corporate Governance Services, Head of Forensic, Head of Data Protection

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

Sicherheitskamera

Durch die EU-Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) haben Unternehmen aller Branchen und Größen umfangreiche Datenschutzanforderungen, bei gleichzeitig drastisch gestiegenen Sanktionen, zu beachten. Dies erfordert die Einrichtung eines Datenschutz-Managementsystems.

In Anlehnung an den IDW PS 980 setzt sich ein Datenschutz-Managementsystem aus sieben Komponenten zusammen:

  1. Datenschutzkultur – Festlegung der Datenschutzstrategie und „Tone from the top“: Grundeinstellung und Verhaltensweisen des Managements sowie Rolle des Aufsichtsorgans
  2. Datenschutzziele – Festlegung der Regeln auf Grundlage der allgemeinen Unternehmensziele (zum Beispiel Datenschutzkonzept)
  3. Datenschutzrisiken – Einführung eines Verfahrens zur systematischen Risikoanalyse und Datenschutz-Folgenabschätzung: Datenschutz-Risikomanagement sowie Überwachung der Gesetzgebung und ggf. aktive Interessenvertretung bei neuen Gesetzgebungsvorhaben
  4. Datenschutzprogramm – Einführung von Grundsätzen und Maßnahmen, die auf die Vermeidung von Verstößen ausgerichtet sind: laufende Beratung durch DSB, Richtlinien, Verarbeitungsverzeichnis, Datenschutzhinweise, technische und organisatorische Maßnahmen (TOMs), Prozess zu Meldepflichten bei Datenschutzverstößen, Umgang mit Betroffenenrechten, Vorgaben zur Auftragsverarbeitung und Drittstaatenübermittlung, Tools und Templates
  5. Datenschutzorganisation – Festlegung von Rollen und Verantwortlichkeiten (Verantwortlicher, Datenschutzbeauftragter, Fachbereiche, etc.), der Aufgabenverteilung von 1st, 2nd und 3rd line, Strukturierung der Aufbau- und Ablauforganisation sowie der Bereitstellung von Ressourcen
  6. Datenschutzkommunikation – Information über das Datenschutzprogramm an Mitarbeiter und Festlegung der Berichtslinien sowie Schulung und Awareness-Maßnahmen
  7. Datenschutzüberwachung und -verbesserung – Überwachungs- und Optimierungsmaßnahmen, insbesondere Reportings, Audits, Risikoanalysen etc. 

Zur Umsetzung und Verankerung dieser Kriterien in das Unternehmen muss dieses die Datenschutzziele und -risiken bestimmen und ein entsprechendes Rahmenregelwerk schaffen. Dieses beinhaltet eine Aufbau- und Ablauforganisation, Regelprozesse, darauf abgestimmte Kontrollmaßnahmen und eine prüfungssichere Dokumentation. Der Datenschutz wird nicht „vom Datenschutzbeauftragten gemacht“. Vielmehr kommt er an den verschiedensten Stellen in allen Unternehmensprozessen zum Tragen und muss von den jeweiligen Prozessverantwortlichen (first line) beachtet und umgesetzt werden. Die Datenschutzfunktion nimmt hingegen eine beratende und kontrollierende Rolle ein (second line).

Das Verarbeitungsverzeichnis wird zum Kernelement des Datenschutz-Managements in seiner Funktion als Dokumentations- und Steuerungstool. Die im Verzeichnis von Verarbeitungstätigkeiten erfassten Informationen unterstützen den Verantwortlichen bei der Erfüllung seiner Rechenschaftspflicht.

Neben diesen umfangreichen Anforderungen an die Dokumentation betont die DSGVO insbesondere den Aspekt der Risikoanalyse. So verpflichtet die DSGVO den Verantwortlichen, geeignete technische und organisatorische Maßnahmen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Dementsprechend müssen Unternehmen für jede Verarbeitung eine ausführliche Risikoanalyse unter Berücksichtigung dieser Aspekte durchführen und deren Ergebnisse dokumentieren.

Mit Blick auf die praktische Umsetzung kann das „Plan-Do-Check-Act“-Modell, mit seinen iterativen vier Phasen, verwendet werden, um den Managementprozess zu strukturieren: 

  • Plan:
    • Formulierung der Ziele und Identifikation der Anforderungen (beispielsweise durch die Durchführung einer Analyse der Ist-Situation)
    • Definition der erforderlichen Maßnahmen und Erstellung eines Umsetzungsplans
  • Do:
    • Realisierung der Ziele und Maßnahmen aus der Planungsphase
    • Kommunikation des Umsetzungsplans an die Mitarbeiter und Sensibilisierung (beispielsweise durch Schulungsmaßnahmen)
    • Dokumentation der Verantwortlichkeiten
  • Check:
    • Laufende Kontrolle und Überwachung der Maßnahmen (beispielsweise durch die Durchführung von Testfällen und Penetrationstests)
  • Act:
    • Optimierung (beispielsweise Anpassung von Prozessen, Richtlinien)

Letztlich ist zu betonen, dass die Implementierung und Verankerung eines Datenschutz-Managementsystems insbesondere der Nachweispflichten nach Art. 5, 24 DSGVO dient. Mit Blick auf die gesetzlichen Vorgaben der DSGVO und des BDSG-neu und zur Verringerung des Bußgeldrisikos ist die Konzeptionierung und Implementierung eines Datenschutz-Managementsystems folgerichtig unerlässlich.

 

So kontaktieren Sie uns

 

Angebotsanfrage (RFP) einreichen

 

loading image Zum Angebotsformular