DSMS - Datenschutz-Managementsystem (Teil I/III)

orangefarbenes Hexagon mit einem weißen Textzettel in der Mitte und einem Häkchen COMPLIANCE,

Christian Werbik

VACE Business Consultant Compliance

E-Mail schreiben

Die DSGVO verpflichtet Unternehmen, für den Schutz der personenbezogenen Daten "Betroffener" (zB Mitarbeiter, Konsumenten) in angepasster und wirksamer Weise zu sorgen. Dazu werden "Maßnahmen" angewandt, welche technischer und/oder organisatorischer Natur sein können. Idealerweise werden Maßnahmen nicht sporadisch und willkürlich getroffen - sondern auf Basis einer Risikoerhebung (aus Sicht der Betroffenen) entschieden.

 

In der Folge werden typische Bestandteile eines DSMS - Datenschutz-Managementsystems - beschrieben, welche als IKS (Interne Kontrollsysteme) nicht zuletzt zur Vermeidung von behördlichen Strafen und anderen Haftungsrisiken dienen können.

Verzeichnis von Verarbeitungstätigkeiten (VV)

Dieses ist gesetzlich zwingend vorgeschrieben und listet die Personendatenverarbeitungen Ihres Unternehmens der Reihe nach auf. Die Profi-Variante vom sogenannten "VV" wird um Angaben zum Betroffenenrisiko - getrennt nach Vertraulichkeit, Verfügbarkeit und Integrität - ergänzt. Anhand dieser Risikobewertung könnte die Dringlichkeit und Wichtigkeit Ihrer Handlungen zum Datenschutz entschieden werden.

Eine (zumindest) jährliche Aktualisierung und eine nachweisliche Kenntnisnahme des VV durch den Geschäftsführer wäre mit Hinblick auf wirksame IKS ideal. Das VV dient auch als Ausgangspunkt, wenn unternehmensinterne Datenschutzkoordinatoren ausscheiden und ihre Aufgaben an einen Nachfolger übergeben - oder beim Beiziehen externer Datenschutzbeauftragter für einen ersten Überblick. Das VV sollte nicht nur mit Hinblick auf mögliche Prüfungen durch die Datenschutzbehörde gesehen werden - es ist der Dreh- und Angelpunkt Ihres DSMS.

Falls Sie noch kein VV vorweisen können, so ist es in vielen Fällen besser, mit einer etwas pragmatischen Herangehensweise "zügig 80%" Richtigkeit und Vollständigkeit zu erreichen - statt in einem langwierigen Projekt nach Perfektion zu streben. Denn: Das gänzliche Fehlen eines (aktuellen) VV wäre ein sehr offenkundiger Mangel - und ein Indiz für die völlige Missachtung der DSGVO.

Wer ist zuständig?

Ein übliches Konstrukt wäre: Ein DSK (Datenschutz-Koordinator) sammelt Sachverhalte im Unternehmen und leitet diese an einen externen DSBa (Datenschutzbeauftragten) weiter. Ihr DSK kann vom VACE-Datenschutzbeauftragten schnell ausgebildet werden und geht es in erster Linie um das Erkennen eines Handlungsbedarfs – nämlich bei Risiken für Betroffene. Der externe DSBa hat die nötige Sachkunde, hält sich durch Schulungen auf dem Laufenden - und ist der "Fremdvergleich" (mit dritten Unternehmen) ein großer Vorteil.

Hinsichtlich Ihres DSMS ist die bloße Beauftragung einer externen Unternehmensberatung bereits ein starkes Indiz, dass Schritte zum Personendatenschutz gesetzt werden. In aller Regel wird der DSBa bei der Aufsichtsbehörde genannt und übernimmt eine allenfalls notwendige Korrespondenz mit dieser.

Ein Schwachpunkt Ihres IKS könnte das Fehlen einer Regelung zur Urlaubs- und Krankenstandsvertretung vom DSK sein. Ebenso lässt die Übergabe der Agenden zum Datenschutz an einen Nachfolger oft zu wünschen übrig, da es sich zumeist um eine Nebentätigkeit handelt. Die Rolle mitsamt den Aufgaben Ihres DSK sollte in Stellenbeschreibungen, Organigrammen und dergleichen geregelt werden.

Besprechungen und Berichtswesen

Wie könnte die Kommunikation zwischen Datenschutzkoordinator und externem Datenschutzbeauftragten aussehen? Es versteht sich von selbst, dass Anlassfälle wie etwa Löschbegehren, Auskunftsansuchen oder 'Data-Breach' eine Zusammenkunft zwischen DSK und DSBa auslösen. Darüber hinaus empfiehlt sich aus meiner Sicht ein "Jour fixe", welches uns zu einer geordneten Zusammenarbeit veranlasst. Beispielsweise könnte diese Besprechung monatlich oder quartalsweise stattfinden.

Die Feststellungen, Ergebnisse und Maßnahmenempfehlungen solcher Besprechungen sollten - um Ihrem IKS gerecht zu werden – bspw. jährlich an den Geschäftsführer kommuniziert werden. Dieser wird entsprechende Schritte setzen und Budgets freigeben - oder seine "Entscheidungsgrundlagen" in Aktenvermerken dokumentieren, falls etwa hohe Kosten gegen ein sofortiges Beseitigen (geringer) Risiken sprechen.

Es ist häufig zu beobachten, dass das oben skizzierte Datenschutz-Team (DSK, DSBa) nur in seltenen Ausnahmefällen (willkürlich) von Personal-, Marketing-, IT-Abteilungen usw. herangezogen wird, die empfohlenen Schutzmaßnahmen ebenso beliebig angenommen oder abgelehnt werden - und die geleistete Arbeit niemals dem Geschäftsführer präsentiert wird. In einem solchen Fall ist die Wirksamkeit vom IKS höchst fraglich. Besser wäre ein zwingendes Einbeziehen "vom Datenschutz" im IT-Beschaffungswesen, bei neuen Marketingprojekten, in Machbarkeitsstudien usw.

Audit und/oder Experten-Workshop

Eine Auditierung dient u.a. dazu, die Angemessenheit und Wirksamkeit der oben beschriebenen Systeme zum Datenschutz zu beurteilen - und bei Mängeln Abhilfe zu schaffen. Der Begriff "Audit" ist oftmals etwas negativ konnotiert, da eine (gegebenenfalls mit Tadel verbundene) Kontrolle der Mitarbeiter erwartet wird. Sofern es sich um keine externen Audits mit Zertifizierungsabsichten handelt (wie etwa bei ISO-27000-Audits zur Informationssicherheit) bietet sich die Alternative eines (weniger formellen) Experten-Workshops an. Hier werden Interviews mit den Fachabteilungen geführt und kann aufgrund der eher "beratenden Natur" oftmals das Interesse zur Verbesserung vom Datenschutz geweckt werden.

Übliche Fehler sind eine mangelnde Vereinbarung vom 'Scope' und, dass die mit großem Aufwand erhobenen Feststellungen anschließend in Vergessenheit geraten. Im Zuge vom 'Scope' gilt es einerseits, den Anwendungsbereich (zB Einschränkung auf bestimmte Standorte, Zeiträume, Abteilungen) ohne Zweifel festzulegen. Andererseits muss gerade in der Zusammenarbeit mit einem externen Unternehmensberater die Erwartungshaltung genau abgesteckt werden. Am Ende eines Datenschutz-Audits könnte ein Auditbericht mit einer Liste möglicher Maßnahmen dem Geschäftsführer präsentiert werden.

Wird einem Datenschutz-Audit von Ihren Mitarbeitern mit Ablehnung begegnet (aufgrund der erwarteten "Prüf"-Situation) so kann ein (mehr auf "Diskussion" und Hilfestellung angelegter) Experten-Workshop mitunter dieselben Ziele erreichen. In allen Fällen gilt, dass die gewonnenen Erkenntnisse auch genutzt werden sollten. Sprechen geringe Betroffenenrisiken und/oder zu hohe Kosten gegen die sofortige Umsetzung von Abhilfemaßnahmen so ist dieser Umstand in Aktenvermerken zu dokumentieren.

Wie Sie sehen werden DSMS wie andere Management-Systeme nach dem Plan-Do-Check-Act Prinzip organisiert. Eine solche geordnete Vorgangsweise dient als Bestandteil Ihrer IKS zur Compliance nicht zuletzt dazu, Beschwerden bei der Datenschutzbehörde, die Verhängung von Strafen, zivilrechtliche Schadenersatzklagen usw. zu vermeiden.

In den nächsten Teilen dieser Newsletter-Serie erfahren Sie u.a. mehr zur Organisation Ihres Schulungswesens einschließlich Evaluierung, dem Verfassen von Arbeitsrichtlinien und dem Umgang mit Zwischenfällen wie etwa 'Data-Breach'.

Lassen Sie sich von der VACE Digital Solutions beim Aufbau und der Verbesserung Ihrer internen Kontrollsysteme zur Compliance (einschließlich Datenschutz-Management) unterstützen. Ein erster Schritt kann ein umgehender ‚Health-Check‘ Ihrer Ausgangssituation, insbesondere in Sachen Datenschutz, sein.