Ein angemessenes Datenschutzmanagementsystem ist unverzichtbare Voraussetzung, um datenschutzrechtliche Anforderungen des Gesetzes aber auch der Kunden belegbar zu erfüllen. Wie ein solches Datenschutzmanagementsystem aussehen kann und welche Punkte besonders zu beachten sind, erklären wir Ihnen in vier wichtigen Schritten.

Warum bedarf es überhaupt eines Datenschutzmanagementsystems?

Genau wie in anderen Managementbereichen, obliegt es auch im Datenschutz der Geschäftsführung, die Einhaltung der Anforderungen sicherzustellen, also zu organisieren und zu ermöglichen. In vielen Fällen wird jedoch davon ausgegangen, dass sich die Pflichten der Geschäftsführung auf die Bestellung eines Datenschutzbeauftragten beschränken und sich fortan der Datenschutzbeauftragte um alle weiteren Angelegenheiten kümmern muss. Diese Vorstellung ist falsch.

Völlig unabhängig von der Bestellung eines Datenschutzbeauftragten, trägt die Geschäftsführung die Verantwortung für den Aufbau einer geeigneten Organisation, die Bereitstellung angemessener Ressourcen und die Vorgabe eines Rahmens, also einer greifbaren Umsetzungsstrategie, zur Erfüllung der Datenschutzanforderungen. Ebenso hat die Leitung dafür zu sorgen, dass alle vorgesehenen Umsetzungen gesteuert erfolgen und kontrolliert werden.

Um den Datenschutz im Unternehmen pflichtgemäß zu handhaben, ist es zwingend, dass die Geschäftsführung Herr der relevanten Prozesse bleibt. Das Management muss sich sichtbar zur Verantwortung im Bereich Datenschutz bekennen und die Belegschaft über die Bedeutung des Datenschutzes zu informieren.

Eine sehr praxistaugliche Orientierung bietet für diese Managementaufgaben das PDCA-Modell (Plan-Do-Check-Act), anhand dessen die nachstehend beschriebenen Schritte von Planung, Umsetzung, Kontrolle und Optimierung ausgerichtet sind.

Planung (P): Ist- und Soll-Zustand des Datenschutzes vergleichen

Die Einbindung des Datenschutzes in die Geschäftsabläufe muss durchdacht und geplant werden, um einerseits einen optimalen Schutz der Daten gewährleisten zu können und andererseits den Ressourceneinsatz möglichst gering zu halten. Daher gilt es zunächst einmal, den datenschutzrechtlichen Ist-Zustand zu erfassen und ihn mit dem gewünschten Soll-Zustand zu vergleichen. Hierzu sollte sich die Geschäftsführung bewusst machen, dass es in einem Unternehmen kaum Bereiche gibt, in denen Datenschutz keine Relevanz hat. So finden sich personenbezogene Daten in jeder E-Mail, jeder Rechnung, jedem Lieferschein, jeder Terminvereinbarung, in jedem Smartphone usw. Selbst eine Strichliste am Kaffeeautomaten ist datenschutzrelevant.

Stehen das gesetzlich geforderte oder von der Leitung gewünschte Niveau und die zu erreichenden Ziele fest, müssen die Wege zu deren Erreichung bestimmt und nachvollziehbar vorgegeben werden. Mindestens ist sicherzustellen, dass keinerlei personenbezogene Daten unkontrolliert oder ohne Rechtsgrundlage verarbeitet werden. Auch ist unumgänglich, Änderungen des Rechts und der Sicherheitstechnik konstant zu verfolgen und ggf. Anpassungen vorzunehmen.

Freilich erfordert all dies einiges an Zeit und Energie und kann nicht vollständig von der Geschäftsführung persönlich umgesetzt werden. Diese sollte daher die Aufgaben sinnvoll nach Qualifikationen und Kompetenzen delegieren und dabei stets darauf achten, den Überblick über die Verteilung zu wahren. Auch die Zuweisung von Verantwortung an geeignete und zuverlässige Personen ist originäre Aufgabe der Geschäftsführung.

Umsetzung (D): Datenschutzprozesse standardisieren

Sodann sind die Ziele umzusetzen. Dieser Schritt besteht im Wesentlichen darin, Regelungen, also Anweisungen und Leitlinien zu erstellen, an denen sich die Mitarbeiter bei der täglichen Arbeit orientieren können, und die begleitenden technischen Maßnahmen zu ergreifen. Regelungen müssen stets angemessen sein, sowohl was die Anforderungen angeht als auch was die an bestimmte Adressaten gerichteten Forderungen betrifft. Allgemein gilt, dass Abläufe im Unternehmen standardisiert und schriftlich fixiert werden sollten. Wichtige Regelungsbereiche sind, um nur einige wenige zu nennen, beispielsweise:

  • IT-Nutzungsrichtlinien, insb. auch die Regelung der Privatnutzung von Geräten bzw. der Nutzung von eigenen Geräten im Unternehmen (BYOD)
  • Aufbewahrungs- und Löschkonzepte
  • Notfallkonzepte
  • Datenschutzkonzepte
  • Erfüllung von Informations- und Betroffenenrechten
  • Bestimmung von und Umgang mit Risiken
  • Outsourcing

Kontrolle (C): Datenschutzmaßnahmen evaluieren

Im Rahmen der Kontrolle wird überprüft, ob die umgesetzten Maßnahmen eingehalten werden und ob diese die beabsichtigte Wirkung entfalten. Es geht vor allem darum, Bereiche mit weiterem Handlungsbedarf zu identifizieren und Verbesserungsmöglichkeiten festzustellen.

Wesentlich ist hier, die Umsetzungserfolge sinnvoll messbar zu machen und dann in bestimmten Abständen auch tatsächlich zu messen, um überhaupt eine Vergleichsmöglichkeit zu erhalten. Denn sind zwar Datenschutzvorschriften vorhanden, werden diese aber im Ergebnis durch Mitarbeiter ignoriert, kann dies ohne weiteres zu Bußgeldern führen, wie eine Verurteilung der DEBEKA bereits vor einigen Jahren zeigte.

Optimieren (A): Datenschutz verbessern

Anschließend gilt es, das Vorgehen und die zugrundeliegenden Regelungen regelmäßig zu überdenken und festzustellen, wie deren Wirksamkeit verbessert werden kann oder sogar muss. Dabei sind auch alternative Maßnahmen oder Anpassungen in Betracht zu ziehen. Veränderte Rahmenbedingungen machen meist eine Anpassung des Vorgehens erforderlich.

Fazit: Ein Managementsystem für den Datenschutz hilft

Die Erfahrung zeigt, dass ein Datenschutzmanagementsystem mit den vier Schritten des PDCA-Modells (Planung, Umsetzung, Kontrolle und Optimierung) einen sehr effizienten Weg bietet, um ein angemessenes Datenschutzniveau im Unternehmen zu erreichen. Darüber hinaus können Datenschutzmaßnahmen so stetig verbessert und schnell an sich ändernde Bedingungen angepasst werden.

Bitte bewerten Sie diese Inhalte!
[0 Bewertung(en)/ratings]

Dieser aktualisierte Artikel wurde zuerst am 23. Januar 2015 veröffentlicht.