Datenschutz-Managementsystem im Unternehmen

Ein angemessenes Datenschutz-Managementsystem (DSMS) ist unverzichtbare Voraussetzung, um datenschutzrechtliche Anforderungen des Gesetzes aber auch der Kunden belegbar zu erfüllen. Wie ein solches Datenschutz-Managementsystem aussehen kann und welche Punkte besonders zu beachten sind, erklären wir Ihnen in vier wichtigen Schritten.

Warum bedarf es überhaupt eines Datenschutzmanagementsystems?

Genau wie in anderen Managementbereichen, obliegt es auch im Datenschutz der Geschäftsführung, die Einhaltung der Anforderungen sicherzustellen, also zu organisieren und zu ermöglichen. In vielen Fällen wird jedoch davon ausgegangen, dass sich die Pflichten der Geschäftsführung auf die Bestellung eines Datenschutzbeauftragten beschränken und sich fortan der Datenschutzbeauftragte um alle weiteren Angelegenheiten kümmern muss. Diese Vorstellung gibt es auch etliche Jahre nach Inkrafttreten der DSGVO immer noch, sie ist aber nach wie vor falsch.

Völlig unabhängig von der etwaigen Pflicht zur Bestellung eines Datenschutzbeauftragten, trägt die Geschäftsführung die Verantwortung für den Aufbau einer geeigneten Organisation, die Bereitstellung angemessener Ressourcen und die Vorgabe eines Rahmens, also einer greifbaren Umsetzungsstrategie, zur Erfüllung der Datenschutzanforderungen. Ebenso hat die Leitung dafür zu sorgen, dass alle vorgesehenen Umsetzungen gesteuert erfolgen und kontrolliert werden. Um den Datenschutz im Unternehmen pflichtgemäß zu handhaben, ist es zwingend, dass die Geschäftsführung Herr der relevanten Prozesse bleibt. Das Management muss sich sichtbar zur Verantwortung im Bereich Datenschutz bekennen und die Belegschaft über die Bedeutung des Datenschutzes informieren (bzw. entsprechend schulen).

Eine sehr praxistaugliche Orientierung bietet für diese Managementaufgaben das PDCA-Modell (Plan-Do-Check-Act), anhand dessen die nachstehend beschriebenen Schritte von Planung, Umsetzung, Kontrolle und Optimierung ausgerichtet sind.

Planung (P): Ist- und Soll-Zustand des Datenschutzes vergleichen

Die Einbindung des Datenschutzes in die Geschäftsabläufe muss durchdacht und geplant werden, um einerseits einen optimalen Schutz der Daten gewährleisten zu können und andererseits den Ressourceneinsatz möglichst gering zu halten. Daher gilt es zunächst einmal, den datenschutzrechtlichen Ist-Zustand zu erfassen und ihn mit dem gewünschten Soll-Zustand zu vergleichen. Hierzu sollte sich die Geschäftsführung bewusst machen, dass es in einem Unternehmen kaum Bereiche gibt, in denen Datenschutz keine Relevanz hat. So finden sich personenbezogene Daten in jeder E-Mail, jeder Rechnung, jedem Lieferschein, jeder Terminvereinbarung, in jedem Smartphone usw. Selbst eine Strichliste am Kaffeeautomaten ist datenschutzrelevant.

Stehen das gesetzlich geforderte oder von der Leitung gewünschte Niveau und die zu erreichenden Ziele fest, müssen die Wege zu deren Erreichung bestimmt und nachvollziehbar vorgegeben werden. Mindestens ist sicherzustellen, dass keinerlei personenbezogene Daten unkontrolliert oder ohne Rechtsgrundlage verarbeitet werden. Auch ist unumgänglich, Änderungen des Rechts und der Sicherheitstechnik konstant zu verfolgen und ggf. Anpassungen vorzunehmen.

Freilich erfordert all dies einiges an Zeit und Energie und kann nicht vollständig von der Geschäftsführung persönlich umgesetzt werden. Diese sollte daher die Aufgaben sinnvoll nach Qualifikationen und Kompetenzen delegieren und dabei stets darauf achten, den Überblick über die Verteilung zu wahren. Auch die Zuweisung von Verantwortung an geeignete und zuverlässige Personen ist originäre Aufgabe der Geschäftsführung.

Umsetzung (D): Datenschutzprozesse standardisieren

Sodann sind die Ziele umzusetzen. Dieser Schritt besteht im Wesentlichen darin, Regelungen, also Anweisungen und Leitlinien zu erstellen, an denen sich die Mitarbeiter bei der täglichen Arbeit orientieren können, und die begleitenden technischen Maßnahmen zu ergreifen. Regelungen müssen stets angemessen sein, sowohl was die Anforderungen angeht als auch was die an bestimmte Adressaten gerichteten Forderungen betrifft. Allgemein gilt, dass Abläufe im Unternehmen standardisiert und schriftlich fixiert werden sollten. Wichtige Regelungsbereiche sind, um nur einige wenige zu nennen, beispielsweise:

Kontrolle (C): Datenschutzmaßnahmen evaluieren

Im Rahmen der Kontrolle wird überprüft, ob die umgesetzten Maßnahmen eingehalten werden und ob diese die beabsichtigte Wirkung entfalten. Es geht vor allem darum, Bereiche mit weiterem Handlungsbedarf zu identifizieren und Verbesserungsmöglichkeiten festzustellen.

Wesentlich ist hier, die Umsetzungserfolge sinnvoll messbar zu machen und dann in bestimmten Abständen auch tatsächlich zu messen, um überhaupt eine Vergleichsmöglichkeit zu erhalten. Denn sind zwar Datenschutzvorschriften vorhanden, werden diese aber im Ergebnis durch Mitarbeiter ignoriert, kann dies ohne weiteres zu Bußgeldern führen, wie eine Verurteilung der DEBEKA bereits vor einigen Jahren zeigte.

Optimieren (A): Datenschutz verbessern

Anschließend gilt es, das Vorgehen und die zugrundeliegenden Regelungen regelmäßig zu überdenken und festzustellen, wie deren Wirksamkeit verbessert werden kann oder sogar muss. Dabei sind auch alternative Maßnahmen oder Anpassungen in Betracht zu ziehen. Veränderte Rahmenbedingungen machen meist eine Anpassung des Vorgehens erforderlich.

Softwareunterstützte Umsetzung eines DSMS

Gerade die Messung und notwendige Korrektur der eigenen Vorgehensweise erfolgt in der Praxis häufig nicht oder völlig unzureichend. Dies liegt einerseits schlicht und ergreifend daran, dass Verantwortliche – teils trotz Beratung – nicht wissen, dass es interner Audits bedarf. Zum anderen und weitaus häufiger wird der Aufwand gescheut.

Das eigene Datenschutz-Managementsystem inklusive der Voraussetzungen, der Umsetzung und eben der Messung wirksam voranzutreiben und Aufgaben zu verteilen und nachzuverfolgen, ist nicht ganz einfach. Unternehmen können sich hier durch Einsatz geeigneter Software das Leben dramatisch einfacher machen und zugleich die immer notwendige Dokumentation führen.

Übrigens: activeMind stellt den betreuten Mandanten ein eigens entwickeltes Compliance-Portal bereit, das Dokumentenmanagementsystem und Terminplanung sowie Ticketsystem mit den Funktionalitäten der üblichen Datenschutz-Management-Softwarelösungen verbindet. Neben einer zentralen Ablage und gemeinsamen Pflege und Versionierung derselben Dokumente und Aufzeichnungen, lassen sich auch Aufgaben nachverfolgen, Erfolge dokumentieren, Pflichtdokumente des Datenschutzes erstellen usw.

Fazit: Ein Managementsystem für den Datenschutz ist der einzige richtige Weg

Die Erfahrung zeigt, dass ein Datenschutz-Managementsystem mit den vier Schritten des PDCA-Modells (Planung, Umsetzung, Kontrolle und Optimierung) einen sehr effizienten Weg bietet, um ein angemessenes Datenschutzniveau im Unternehmen zu erreichen. Darüber hinaus können Datenschutzmaßnahmen so stetig verbessert und schnell an sich ändernde Bedingungen angepasst werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.