Digitales Datenschutzmanagement – Anforderungen und Strategien in der Praxis

INHALTE DES BEITRAGS

Umsetzung der Datenschutzvorgaben im Unternehmen
Gesetzliche Anforderungen an Datenschutzmanagement(systeme)
Ausgestaltung von Datenschutzmanagementsystemen in der Praxis
PDCA-Zyklus
Zusammenfassung

Umsetzung der Datenschutzvorgaben im Unternehmen

Die Einhaltung datenschutzrechtlicher Vorgaben stellt einen wichtigen Bestandteil der Unternehmens-Compliance dar. Die Nichtbeachtung kann neben Bußgeldern auch strafrechtliche Folgen, Schadensersatzansprüche von Betroffenen sowie Reputations- bzw. Imageschäden nach sich ziehen. Viele Unternehmen stehen aufgrund der Fülle an zu berücksichtigenden Faktoren in der Praxis jedoch vor einigen Herausforderungen. Die Menge an bestehenden gesetzlichen Vorgaben stellt dabei nur eine der grundlegenden Problematiken dar. Hinzu kommt, dass eine Vielzahl an Beteiligten und Abteilungen zusammengebracht, sensibilisiert und geschult werden müssen, da Datenschutz die meisten oder sogar alle Unternehmensbereiche betrifft. Zudem erfolgt die Umsetzung von Datenschutzvorgaben häufig nur bedarfsbezogen in einzelnen Bereichen.

Ein übergreifendes Konzept, das alle bestehenden und zu erstellenden Prozesse, Vereinbarungen, Richtlinien und Anweisungen miteinander verbindet und aufeinander abstimmt, fehlt hingegen in der Regel. Auch die Einbindung von (externen) Datenschutzbeauftragten (DSB) in die Unternehmens-Organisation ist bei fehlenden Strukturen in der Praxis schwierig und häufig (kosten-)ineffizient. Es bedarf demnach einer Methode, die Bewusstsein für die Relevanz von Datenschutz in allen Unternehmensbereichen schafft, rechtliche Vorgaben definiert und umsetzt, Rollen verteilt und einheitliche Strukturen schafft. Hierdurch können Haftungsrisiken minimiert und vorhandene Ressourcen (kosten-)effizient eingesetzt werden. Dies kann durch die Einführung eines Datenschutzmanagements und unter Zuhilfenahme eines Datenschutzmanagementsystems erzielt werden.

Gesetzliche Anforderungen an Datenschutzmanagement(systeme)

Das Datenschutzmanagement ist ein fortlaufender und übergreifender Prozess, der die Umsetzung der gesetzlichen und betrieblichen Anforderungen an den Datenschutz im Unternehmen zum Ziel hat. Ein Datenschutzmanagementsystem (DSMS) ist dabei als Rahmenwerk zu verstehen, das aus internen Leit- und Richtlinien, Prozessen, Verfahren und Methoden zum Datenschutz besteht. Die Pflicht zur Einführung eines DSMS leitet sich nicht direkt aus dem Gesetz ab. Vielmehr werden Verantwortlichen und Auftragsverarbeitern abstrakte Nachweispflichten auferlegt. Diese ergeben sich allgemein aus Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“) und im Detail z. B. aus der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO).

Aus dem Gesetz geht demnach regelmäßig nur hervor, dass Verantwortliche und Auftragsverarbeiter bestimmten Pflichten nachkommen müssen. Das „Wie“, also die Anforderungen an die Umsetzung, kann bestenfalls von Stellungnahmen der Datenschutzkonferenz oder Checklisten von Aufsichtsbehörden abgeleitet werden. Unternehmen müssen daher in Eigenleistung Strategien entwickeln, um den gesetzlichen Vorgaben und betrieblichen Anforderungen gerecht zu werden.

Ausgestaltung von Datenschutzmanagementsystemen in der Praxis

Mit analogen Strategien, reinen Dokumentationslösungen oder Dokumentenmanagementsystemen können die gesetzlichen Vorgaben und betrieblichen Anforderungen, wenn überhaupt, nur bedingt erfüllt werden. Es empfiehlt sich demnach ein ganzheitlicher digitaler Ansatz, der fortlaufende und flexible Lösungen bietet. Insbesondere für mittelständische Unternehmen, aber auch für die Organisation in kleinen und großen Unternehmen, kann hierbei ein digitales DSMS Unterstützung bieten.

Wie alle klassischen Managementsysteme (z. B. nach ISO 9001 oder 27001), sollten auch DSMS nach dem sog. „PDCA-Zyklus“ aufgebaut sein. Dieser folgt einem geschlossenen Prozesskreislauf von vier aufeinanderfolgenden Schritten. Bei der Wahl einer Datenschutzmanagement-Software sollte darauf geachtet werden, dass die Software diesem Zyklus folgt und bestmöglich die gesetzlichen Vorgaben abdeckt.

PDCA-Zyklus:

PLAN: Identifizierung der bestehenden Datenverarbeitungsvorgänge, einschlägigen Vorgaben und bestehenden Risiken sowie Planung von Umsetzungsmaßnahmen
DO: Umsetzung der definierten Maßnahmen sowie Dokumentation der Umsetzung
CHECK: Regelmäßige Überprüfung der getroffenen Maßnahmen auf Aktualität und Wirksamkeit
ACT: Anpassung des aktuellen Vorgehens bei Bedarf

Zusammenfassung

Analoges Datenschutzmanagement ist definitiv nicht undenkbar. Bei der heutigen Vielzahl an Unternehmensbereichen, die durch die DSGVO berührt werden, ist es jedoch von Vorteil, zumindest teilweise digitale Lösungen heranzuziehen. Gerade bei der Identifizierung von Compliance-Lücken und notwendigen Maßnahmen kann sich ein großer Mehrwert ergeben. Kostbare Zeit, die bei manueller Erarbeitung auch für relativ simple Anforderungen erbracht werden muss, kann hierdurch eingespart werden. Der ganzheitliche Überblick, der oftmals nicht durch manuelle Methoden abzubilden ist, trägt zu der Sorgfalt bei, die benötigt wird, um aus datenschutzrechtlicher Sicht gesetzeskonform zu handeln.

Auszug aus: Dold, Nathalie / Markin, Isabell: Digitales Datenschutzmanagement – Anforderungen und Strategien in der Praxis. In: Datenschutz für Praktiker, November 2021, S. 4–8.