Datenschutzmanagement

Mit Inkrafttreten der neuen Gesetzgebung sind alle Unternehmen, öffentlichen Institutionen, Ärzte, Freiberufler, Vereine usw. (folgend wird vereinfachend nur von Organisationen gesprochen) dazu angehalten, Datenschutzmanagement zu betreiben. Je nach Größe der Organisation sowie der Risikoklasse der zu verarbeitenden personenbezogenen Daten steht die Implementation eines Datenschutzmanagementsystem (DSMS) zur Disposition.

Durch die eingetretene Beweislastumkehr zu Lasten der Organisationen ist von hoher Bedeutung, ob ein DSMS eingesetzt werden muss und in welcher Form dieses zu betreiben ist. Das Datenschutzmanagement(system) kann den Verantwortlichen (z. B. den Geschäftsführer) in die positive Lage versetzen, im Falle eines Datenschutzvorfalls einen Unschuldsbeweis erbringen zu können – oder eben nicht.

Datenschutzmanagement als Chance zur Optimierung der Organisation sowie zur Erzielung von Wettbewerbsvorteilen

Neben Kosten und Zeitaufwand kann die gesetzliche Vorgabe, DS-GVO-konform zu agieren auch Chancen beinhalten: Bei genauer  datenschutzseitiger  Betrachtung  der  Abläufe  ergeben  sich    – neben den offensichtlichen Vorteilen der erhöhten Kunden-/Mandanten-/Patienten- sowie Mitarbeiterzufriedenheit – sehr häufig Möglichkeiten, die Prozesse viel effizienter zu organisieren und/oder Verwaltungsaufwand dauerhaft zu verringern. Es lohnt sich demnach, den Betrachtungswinkel auf die Aufgabe weiter – um nicht zu sagen ganzheitlich – zu fassen. Es wird das Ziel ausgegeben, die Kosten des Projekts durch den erzielbaren Nutzen überzukompensieren.

Aufgrund vorhandener Prozess- und Datenschutzexpertise bieten wir Ihnen insofern gerne Unterstützung an. Wenden Sie sich einfach über das SSL-verschlüsselte Kontaktformular an uns.

Höhe des Aufwands zur Erstellung eines Datenschutzmanagementsystems

Der Umfang, der mit dem Datenschutzmanagement betrieben werden muss, ist u. a. in Abhängigkeit von der Organisationsgröße und der Art der zu verarbeitenden personenbezogenen Daten zu sehen. Beispielsweise wird ein Automobilzulieferer mit 5.000 MitarbeiterInnen datenschutzseitig anders mit der Einführung einer neuen Softwarelösung oder einer Videoüberwachungslösung umgehen, als ein mittelständisches, 25 Personen zählendes Handwerksunternehmen, eine Ärztliche Gemeinschaftspraxis oder ein(e) freiberuflich agierende(r) Künstler(in).

Herauszufinden, welchen Umfang ein Datenschutzmanagementsystem haben muss, ist bereits eine Managementaufgabe. Die Europäische Datenschutz-Grundverordnung gibt hierfür eine Reihe von Vorgaben, an denen sich Verantwortliche orientieren können (für Interessierte: u. a. DS-GVO Art. 5, 30, 32, 35).

Bestandteile eines Datenschutzmanagementsystems

Grundsätzliche Bestandteile des Datenschutzmanagements – und somit IM Datenschutz- und Digitalisierungsberatung-Unterstützungsaufgaben – können sein:

  1. Informieren aller relevanten Akteure hinsichtlich aktueller Datenschutzvorgaben (nach DS-GVO, BDSG, ePrivacy-Verordnung und weiteren)
  2. Definition des Ist- sowie des Sollzustands (immer in Abhängigkeit von der Größe der Organisation sowie des Grades der Schutzwürdigkeit der personenbezogenen Daten)
  3. Durchführung einer Lückenanalyse
  4. Herbeiführen des Sollzustands unter Berücksichtigung sämtlicher datenschutzrelevanter Faktoren
  5. Aufbau und Pflege eines Datenschutz-Dokumentations- und -Kontrollwesens

Die obigen Punkte werden iterativ durchlaufen, in größeren Organisationen stetig, in kleineren beispielsweise jährlich: Ist Punkt Nr. 5 abgearbeitet, wird wieder mit Punkt Nr. 1 begonnen. Schon der zweite Durchlauf bedeutet in der Regel wesentlich weniger Aufwand als der erste.

Arbeitsschritte auf dem Weg zum DS-GVO-konformen Datenschutzmanagementsystem

Im Einzelnen können oder sollten – wiederum situativ für die unterschiedlichen Organisationen – folgende Punkte bearbeitet werden (Auswahl):

  • Prüfung, ob ein Datenschutzbeauftragter bestellt werden muss
  • Festlegung, wer in der Organisation für Überprüfung der Datenschutzvorschriften verantwortlich ist
  • Visualisierung und Dokumentation datenschutzrelevanter Prozesse
  • Erstellen des Verzeichnisses von Verarbeitungstätigkeiten
  • Bestimmung von Zwecken und Rechtsgrundlagen für jeden Datenbereich
  • Zuordnung der Daten zu Risikoklassen
  • Durchführen von Datenschutzfolgenabschätzungen
  • Prüfung (und Aktualisierung)  der Verpflichtungserklärungen der Mitarbeiter
  • Prüfung (und Aktualisierung) der Verträge zur Auftragsverarbeitung
  • Erarbeitung eines Konzepts für die Vorgehensweise im Fall von Datenschutzverletzungen
  • Aktualisierung der Website-Datenschutzerklärung sowie der Cookie-Richtlinie
  • Erfüllen sonstiger Informationspflichten
  • Erarbeitung eines Daten-Löschfristenkonzepts
  • Festlegung eines Prozesses im Fall von Anfragen zur Datenmitnahme, Löschung, Berichtigung usw.
  • Prüfung (gegebenenfalls Optimierung) vorhandener IT-Sicherheitsmaßnahmen
  • Erarbeitung eines Schulungskonzepts für die Mitarbeiter

Stellt sich heraus, dass bestimmte Bereiche für eine Organisation nicht relevant sind (häufig für kleinere Organisationen beispielsweise die Datenschutzfolgenabschätzung), wird dies dokumentiert und trägt somit ebenfalls zur Entlastung der/des Verantwortlichen bei.

Ein Datenschutzmanagementsystem zu erarbeiten ist in Summe somit eine komplexe Aufgabe. Die IM Datenschutz- und Digitalisierungsberatung unterstützt Sie hierbei gerne. Ob und wie wir Ihnen helfen können, lässt sich während eines kostenlosen Gesprächs bei Ihnen vor Ort oder im fußläufig 5 Minuten vom Hauptbahnhof Hannover entfernten IM-Büro ermitteln. Rufen Sie uns jederzeit an oder vereinbaren Sie hier einen Termin.

Zurück zur Startseite