Was ist ein Datenschutz Mangementsystem (DSMS)

Der Begriff „Managementsystem“ ist aus vielen Bereichen der Unternehmensorganisation bereits bekannt. Es gibt Managementsysteme z. B. für Qualität (ISO 9001) oder Informationssicherheit (ISO 27001). Managementsystem bezeichnet dabei die Gesamtheit all dessen, was ein Unternehmen benötigt um einen Aspekt des Unternehmens zu steuern.

Zu einem Managementsystem gehören typischerweise:

  • Leit- und Richtlinien
  • Prozesse, Verfahren und Methoden
  • Dokumente und Aufzeichnungen
  • Regelmäßige Überprüfungen

Merke: Ein Managementsystem bezeichnet kein System im technischen Sinn, sondern ein Rahmenwerk zum Festlegen von Zielen und zur Auswahl von Werkzeugen um diese Ziele zu erreichen. Ein Managementsystem ist keine Software, die einmal installiert wird und dann den Datenschutz managed. Es gibt Software, die den Datenschutzbeauftragten beim Betrieb des DSMS unterstützt, wie z. B. den DSGVO Navigator von Magelan und andere. Der Einsatz eines solchen Tools macht auch Sinn, ist aber kein Ersatz für ein DSMS.

Moderne Managementsystem wie z.B. ISO 9001 oder ISO 27001 folgen dem PDCA Kreis von Deming. PDCA steht für Plan, Do, Check und Act. Frei übersetzt bedeutet das Plane, Setze um, Überprüfe und Handle. Der PDCA Ansatz sorgt für kontinuierliche Verbesserung, denn nach jeder Überprüfung kommt eine Phase der „Handlung“, d. h. Reaktion auf die Ergebnisse der Prüfung. Anschließend beginnt eine neue Phase der Planung usw. Die Überprüfung und das anschließende Handeln sorgen dafür, dass das Rad sich nicht mehr zurückdreht, sondern sich immer weiter in Richtung Verbesserung bewegt.

PDCA Kreis nach Deming

Bislang gibt es keinen international anerkannten Standard für ein Datenschutz Managementsystem. Der PDCA Ansatz lässt sich jedoch auch in der DSGVO finden. Es ist also nicht verkehrt von einem Datenschutz Managementsystem zu sprechen.

Plan

In dieser Phase finden sämtliche Planungsaktivitäten statt. Die Umsetzung der Anforderungen der DSGVO erfordern einiges an Planung. Auch wenn die DSGVO wenig konkrete Planung fordert, ist doch klar, dass eine konzentrierte und zielführende Umsetzung der Anforderungen ohne Planung nicht möglich ist.

Eine konkrete Forderung der DSGVO, die ganz eindeutig in die Planungsphase gehört, ist das Vorhandensein einer Strategie. Erwägungsgrund 78 fordert von dem Verantwortlichen interne Strategien um die Einhaltung der Verordnung nachzuweisen, insbesondere im Hinblick auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen.

Zu den Aufgaben des Datenschutzbeauftragten gehört die „Überwachung der Einhaltung [der] Verordnung … sowie der Strategien des Verantwortlichen.“ Das Vorhandensein einer Datenschutzstrategie ist also verpflichtend. Diese Strategie bildet die Grundlage, die Eckpfeiler und die Rahmenbedingungen des Datenschutz Managementsystems.

Zu dieser Strategie gehören nach Artikel 39 DSGVO auch die „Zuweisung von Zuständigkeiten“. Auch das ist ein Aspekt der Planungsphase denn zur Zuweisung von Zuständigkeiten gehört auch das Festlegen von benötigten Kompetenzen (Qualifikation) – siehe z.B. Artikel 37 Abs. 5 – und die Planung des Ressourcenbedarfs – siehe z. B. Artikel 38 Abs. 2.

Zur Planungsphase gehört auch das Risikomanagement und die daraus folgende Festlegung der Maßnahmen die zur Reduktion der Risiken für den Datenschutz ergriffen werden. Da das Risikoidentifikation auf Basis des Verzeichnisses der Verarbeitungstätigkeiten durchgeführt werden kann, würde ich auch dieses in der Planungsphase sehen. Dementsprechend gehört auch die Datenschutz-Folgenabschätzung in die Planungsphase.

Do

Die Do-Phase ist sicher die aufwendigste Phase des PDCA, denn in dieser Phase wird die Planung umgesetzt. Dazu gehört die Umsetzung der risikoreduzierenden Maßnahmen wie z.B.

  • Verbesserung der Datensicherheit​
  • Ausbildung und Sensibilisierung der Mitarbeiter​
  • Privacy-by-design​
  • Datenminimierung​
  • Informationspflichten​
  • Löschung von Daten​

Gerade in der Anfangsphase gehört dazu auch der Aufbau der Datenschutz-Managementprozesse, wie die konsequente Einbindung des Datenschutzbeauftragten in Projekte, die Ergänzung von Methoden (z. B. der Projektmanagementmethode) um die Anforderungen des Datenschutzes, der Aufbau von Kompetenzen im Bereich Datenschutz usw.

Im Laufenden Betrieb des Datenschutz Managementsytems gehört dazu das Anfertigen von Dokumenten zum Steuern aller Aktivitäten rund um den Datenschutz aber auch als Nachweis der Erfüllung der Verordnung.

Check

Auf die Umsetzung folgt die Überprüfung. Zweck dieser Phase ist es festzustellen, ob die Ziele des Managements erreicht wurden. In der anfänglichen Strategie wurden Ziele definiert. Nach der Planung der Zielerreichung und der Umsetzung der entsprechenden Maßnahmen muss überprüft werden, ob die Ziele des Managements erreicht wurden und ob das Managementsystem die geforderte Leistung erbringt.

Diese Überprüfung erfolgt z. B. in Form von internen und externen Audits. Mindestens jährlich sollte überprüft werden, ob die Ziele des Managements erreicht wurden. Dazu gehört eine Überprüfung der Konformität zur DSGVO und zu eigenen Vorgaben und Regelwerken ebenso wie die Bewertung von Kennzahlen zur Leistung des Managementsystems.

Artikel 32 Abs. 1 d) DSGVO fordert ausdrücklich Verfahren zur regelmäßigen „Überprüfung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen“. Zur Durchführung von Audits möchte ich hier auf den Artikel „Was macht ein gutes internes Audit aus?“ verweisen.

Eine „organische“ Überprüfung findet auch bei der Bearbeitung von Datenschutzvorfällen statt, denn solche Vorfälle sind der „Reality-Check“. Die daraus gewonnenen Erkenntnisse sind wertvoll für die weitere Verbesserung des Datenschutzes im Unternehmen.

Act

Nach der Überprüfung kommt das Handeln. Die Überprüfungen und Audits der Checkphase zeigen Abweichungen, Nichtkonformitäten und Verbesserungspotential auf. Die Korrektur von Abweichungen und Nichtkonformitäten führt zur Verbesserung des Datenschutzes im Unternehmen.

Fazit

Eine kontinuierliche Verbesserung des Datenschutzes ist möglich, wenn die DSGVO im Rahmen eines PDCA-orientierten Managementsystems betrachtet wird. Auch wenn dies nicht explizit von der DSGVO gefordert wird, lässt es sich doch sehr leicht daraus ableiten.

Diese Sichtweise wird auch von den Aufsichtsbehörden vertreten. Viele der hier dargelegten Aspekte werden explizit in den Fragebögen der Aufsichtsbehörden abgefragt.

Die Frage nach der Notwendigkeit eines Datenschutz Managementsystems stellt sich nicht wirklich. Es sind jedoch Fragen zu klären, wie

  • Welche Prozesse und Verfahren gehören zu einem Datenschutz Managementsystem?
  • Wie kann die Rechenschaftspflicht durch ein Datenschutz Managementsystem erfüllt werden?
  • Welche Ressourcen werden für Aufbau, Betrieb und Weiterentwicklung des DSMS benötigt?
  • Steht die nötige Qualifikation für Aufbau, Betrieb und Weiterentwiclung des DSMS zur Verfügung?

Mit diesen und anderen Fragen werden sich die weiteren Teile dieser Blogreihe beschäftigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.