skip to Main Content

Countdown zur EU-Datenschutz-Grundverordnung (DSGVO) Teil 2

Countdown Zur EU-Datenschutz-Grundverordnung (DSGVO) Teil 2
Beitragsserien: Die EU-Datenschutz-Verordnung

Im ersten Teil zur DSGVO haben wir uns mit dem Verzeichnis der Verarbeitungstätigkeiten und der Datenschutz-Folgenabschätzung beschäftigt.

Rund um die Diskussionen zur Umsetzung der DSGVO stößt man regelmäßig auf die Empfehlung zum Einrichten eines DSMS.  In diesem Teil beleuchten wir daher Managementsysteme im Allgemeinen und den Nutzen eines solchen Systems für die Umsetzung der Verordnung im Besonderen. Was sind also die treibenden Faktoren für ein Datenschutz-Managementsystem (DSMS)?

Treiber 1: Die Vorschriften aus der DSGVO

Auch wenn das Gesetz es nicht direkt vorschreibt, gute Gründe für den Einsatz eines DSMS kann man aus einigen Artikeln des Gesetzes gut ableiten. So ist im Artikel 5 „Grundsätze für die Verarbeitung personenbezogener Daten“ die Forderung nach Transparenz erhoben und diese mit einer Nachweis- und Rechenschaftspflicht verknüpft. Ein Unternehmen muss nicht nur die gesetzlichen Vorgaben erfüllen, sondern darüber hinaus jederzeit den Nachweis erbringen, dass es sich nachhaltig um die Erfüllung der Vorgaben bemüht hat. Diese Forderung stellt erhebliche Ansprüche an die Dokumentation der Datenschutzstrategie, also der Dokumentation von Unternehmensleitlinien, Prozessbeschreibungen und sonstiger datenschutztechnischer Maßnahmen. Die Wirksamkeit der eingeführten Methoden und Verfahren sind regelmäßig zu überprüfen, auch darüber sind Nachweise zu erbringen.

Treiber 2: Die Komplexität der Verordnung

Die DSGVO stellt in 99 Artikeln sehr komplexe Anforderungen an den Datenschutz eines Unternehmens. Schon alleine die Komplexität der einzelnen Vorschriften erfordert ein sehr strukturiertes Vorgehen und stellt höchste Anforderungen an die eingesetzten Methoden und Prozesse. Speziell in großen Unternehmen, welche weit verzweigt und global agieren und außerdem noch zahlreiche Subunternehmen zur Erfüllung ihrer Aufgaben einbeziehen, müssen von Beginn an effektive Strukturen aufgebaut werden. Dies berührt die Definition der Verantwortlichkeiten, das Aufsetzen globaler Prozesse und die Schaffung von Transparenz der gesamten Datenschutzorganisation.

Treiber 3: Kontrolle und Weiterentwicklung

Die Organisationsabteilungen vieler Unternehmen sind häufig recht erfahren in der raschen Umsetzung von Maßnahmen zur Einführung einer Datenschutzorganisation. Schnell sind Leitlinien geschrieben, Prozesse definiert und Schulungen erstellt, welche für alle Mitarbeiter verpflichtend angeboten werden. In vielen Fällen endet der organisatorische Aufbau an dieser Stelle. Es fehlen Betrachtungen zur Effektivitätskontrolle und zur Nachhaltigkeit der getroffenen Maßnahmen. Die Vernachlässigung dieser Aspekte könnte sich bei einer Prüfung durch die Behörde als großes Problem erweisen; der Gesetzgeber verpflichtet die Unternehmen ja nicht zu breitem Aktivismus, sondern erwartet eine nachhaltige und wirksame Umsetzung der Vorgaben.

Was ist ein Managementsystem?

Ein Managementsystem ist grundsätzlich eine Methode, mit der sich komplexe Sachverhalte in einer stark strukturierten Form darstellen und adressieren lassen. Managementsysteme folgen im Kern meist dem bekannten Demingkreis, einem wiederkehrenden Zyklus mit den Phasen plan – do – check – act. Bekannte Managementsysteme gibt es in der ISO-Welt, prominente Vertreter sind hier z. B. der ISO 9001 für Qualitätsmanagement oder der ISO 27001 für Informationssicherheit.

Betrachtet man die Ziele der unterschiedlichen Phasen, so stellt man recht schnell fest, dass dies sehr viel mit den Anforderungen der DSGVO gemein hat:

  • Planung (plan): Es werden datenschutzrechtliche Leitlinien, Prozesse und Organisationsstrukturen erstellt
  • Umsetzung (do): Die Unternehmensvorgaben werden der Belegschaft bekannt gemacht und ggfs. geschult
  • Kontrolle (check): Es werden Kontrollmechanismen aufgebaut und regelmäßige Kontrollen durchgeführt, meist in Form von Audits
  • Kontinuierliche Verbesserung (act): Die Ergebnisse aus den Kontrollen werden analysiert, bewertet und Maßnahmen zur Verbesserung des Systems beschlossen

Was ist nun ein Managementsystem für den Datenschutz?

Im Prinzip folgt ein Datenschutzmanagementsystem (DSMS) dem gleichen Ansatz. Leider gibt es bis heute kein von den Behörden anerkanntes Managementsystem für den Datenschutz. Es gibt eine Reihe von Anbietern solcher Systeme und deren Anwendung hilft sicherlich beim Aufbau einer geeigneten Datenschutzorganisation. An dieser Stelle sei auf den relativ unbekannten Standard BS10012 der British Standards Institution hingewiesen. Dieser Standard beinhaltet in seiner neuesten Fassung alle Anforderungen der Datenschutz-Grundverordnung und eignet sich somit hervorragend als Checkliste für die Einführung und den operativen Betrieb eines DSMS. Über die BSI ist es auch möglich, diesen Standard zertifizieren zu lassen.

Ob sich die Zertifizierung eines DSMS lohnt, hängt im Wesentlichen von den Zielen ab, die man mit einer solchen Zertifizierung verfolgt. Mit der Prüfung durch einen unabhängigen Dritten erlangt man sicherlich eine größere Sicherheit in Bezug auf das unternehmenseigene Managementsystem. Das Zertifikat lässt sich Kunden gegenüber auch werblich nutzen und man kann mit einem solchen Zertifikat auch gegenüber den Behörden punkten. Es ersetzt jedoch nicht die Kontrollpflichten der Kunden zur Durchführung eigener Kontrollmaßnahmen bei ihren Lieferanten.

Der Aufbau des DSMS nach Phasen

Planungsphase:

In dieser ersten Phase werden die notwendigen Strukturen erstellt. Üblicherweise entstehen in dieser Phase die Dokumente wie Unternehmensleitlinien (Policies) und mitarbeitertaugliche Anweisungen. Während die Leitlinien lediglich das sehr generische Bekenntnis des Unternehmens zu Datenschutzanforderungen beinhaltet, sind die Anweisungen an die Mitarbeiter sehr detailliert. Sie sollten aus der Sicht eines Mitarbeiters klare Regelungen zum täglichen Umgang mit personenbezogenen Daten aufzeigen.

Als weiterer Schritt der Planungsphase sind die Verantwortlichkeiten zu regeln. Es ist zu bestimmen, wer für zentrale Prozesse des Datenschutzes zuständig ist und wie diese im Unternehmen durchzusetzen sind. In größeren Unternehmen wird man hier häufig einen hybriden Ansatz suchen, bestehend aus einem zentralen Datenschutzteam und den Verantwortlichen der einzelnen Geschäftsbereiche.

Zu dieser Phase gehören auch die Festlegung von Geltungsbereichen und der Ausprägungsgrad des DSMS. Der Geltungsbereich lässt sich lokal definieren, z. B. nach Geschäftsstellen oder über die Firmenstruktur oder auch nach Geschäftsbereichen. Zusätzlich beinhaltet das Scoping auch alle Prozesse, welche personenbezogene Daten verarbeiten.

Die Elemente der Planungsphase werden dokumentiert, diese Dokumentation bildet die Grundlage des DSMS.

Umsetzungsphase:

In der zweiten Phase müssen die Strukturen aus der Planungsphase in die Tat umgesetzt werden. Dazu gehört, dass das DSMS im Unternehmen bekannt gemacht wird und dass ab dem Zeitpunkt der Bekanntmachung die Vorgaben des DSMS einzuhalten sind. Die Bekanntmachung erfolgt über die üblichen Informationskanäle des Unternehmens, z. B. via Rundmails oder über die unternehmenseigenen Portale.

Unterstützt wird die Bekanntmachung durch geeignete Schulungsangebote. Schulungen können in Form von Klassenraumschulungen, geführten Präsentationen, Videos oder auch anhand von Materialien zum Selbststudium angeboten werden. Inhaltlich müssen die Schulungen die datenschutzrechtlichen Vorgaben für die Mitarbeiter widerspiegeln.

Da die Wirkung von Schulungsmaßnahmen tendenziell schnell verfliegt, ist zu überlegen, welche weiteren Maßnahmen zur nachhaltigen Wirksamkeit eingeführt werden können. Der Einsatz speziell ausgebildeter „Datenschutzabgeordneter“ in den Standorten kann eine solche Maßnahmen sein. Diese Datenschutz-Hilfskräfte sind in der Regel einfache Mitarbeiter, welche in einer Lokation durch geeignete Aktivitäten die Datenschutzthemen lebendig halten. Solche Aktivitäten sind z. B. die Durchführung von Datenschutz-Denkspielen, regelmäßige Inspektionen der Arbeitsplätze, Intensivtrainings zu den DSMS-Vorgaben oder ein entsprechender Auftritt in Team-Meetings.

Kontrollphase:

Wie bereits zuvor angesprochen, enden viele Projekte nach der guten Vorarbeit der ersten beiden Phasen. Der große Nachteil ist jedoch, dass das Unternehmen keinen Nachweis über die Wirksamkeit der Aktivitäten des DSMS hat. Ein gutes Rückmeldungskonzept beinhaltet zwei Dinge:

Zum einen müssen sogenannte Controls gebildet werden, also klar definierte Prüfpunkte, welche der Realität im Unternehmen gegenübergestellt werden. Derartige Controls lassen sich recht einfach aus den Vorgaben des DSMS erstellen. Fordert beispielsweise eine Anweisung, dass vertrauliche Ausdrucke in einem Schredder zu vernichten sind, können darauf folgende Controls gebildet werden:

  • Sind Schredder in den Büros vorhanden?
  • Entsprechen die Schredder den Mindestanforderungen?
  • Kennen die Mitarbeiter die Standorte der Schredder?
  • Erkennen die Mitarbeiter Dokumente, die gesondert entsorgt werden müssen?
  • Finden sich in den normalen Papierkörben vertrauliche Unterlagen?
  • Werden die Vorgaben regelmäßig kontrolliert?

Der zweite wichtige Aspekt ist die geeignete Prüfmethode. Hier kommen meist Auditverfahren zu Einsatz. Auf Basis der Controls werden eingesetzte Dokumente, die Einhaltung von Prozessen, das Wissen und Verhalten der Mitarbeiter und auch die genutzten Räumlichkeiten überprüft. Als praktikabel haben sich Audits bewährt, welche für jede Lokation aus einer Kombination dieser Elemente bestehen. So lassen sich z. B. in einem Audit die Datenschutzvereinbarungen mit eingesetzten Subunternehmern prüfen. In einzelnen Interviews mit einer kleinen Zahl von Mitarbeitern überprüft man das Wissen von Mitarbeitern und sichtet die Aktivitäten der Datenschutzabgeordneten. Mit einer Inspektion der Büroräume lässt sich die Einhaltung datenschutzreiner Arbeitsplätze kontrollieren.

Audits sollten regelmäßig, mindestens in jährlichen Zyklen durchgeführt werden. Die Ergebnisse sind stets zu protokollieren und bei Abweichungen geeignete Maßnahmen zur Abstellung der Schwächen zu definieren.

Die Phase der Kontinuierlichen Verbesserung:

Ist der jährliche Auditzyklus abgeschlossen, gilt es aus den gewonnen Erkenntnissen Verbesserungsaktivitäten abzuleiten. Die gefunden Schwachpunkte werden im Detail mit den Verantwortlichen der Geschäftsbereiche diskutiert und gemeinsame Verbesserungsmaßnahmen für das gesamte DSMS überlegt.

Die Umsetzung der beschlossenen Verbesserungen muss ebenfalls überwacht werden. Solche Maßnahmen können z. B. Schulungen und Nachschulungen sein oder auch flankierende Aktivitäten, welche dazu beitragen, das Bewusstsein für den Datenschutz zu schärfen. Manchmal sind auch Änderungen einzelner Prozessschritte oder auch eine Ergänzung zu den Vorgaben des DSMS notwendig.

Ein DSMS ist mit Sicherheit ein geeignetes Instrument zum Aufbau und zum Betrieb einer gut strukturierten Datenschutzorganisation. Der höhere Investitionsaufwand zu Beginn amortisiert sich sehr schnell durch die erhöhte Transparenz und die sich daraus ergebenden Steuerungshilfen.

Im nächsten Teil der Beitragsserie zur DSGVO widmen wir uns den Betroffenenrechten und der datenschutzrechtlichen Prüfung von Subunternehmern.

Michael Wiedemann arbeitet als stellvertretender Datenschutzbeauftragter bei der SAP SE in Walldorf. Als Verantwortlicher für den Bereich Data Protection Operations sorgt er für die weltweite Umsetzung und Kontrolle der Datenschutzvorschriften. Die Schwerpunkte seiner datenschutztechnischen Aktivitäten liegen bei der Verfahrensaufzeichnung und –kontrolle, dem Aufbau und Betrieb von Managementsystemen und der Lieferantenkontrolle. Michael Wiedemann referiert regelmäßig im Auftrag von Management Circle, tritt häufig als Redner bei datenschutzrechtlichen Veranstaltungen auf und ist Mitverfasser des Buches „Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems“ (Springer Verlag).

Datenschutz-Grundverordnung: Sie müssen jetzt handeln!

Schützen Sie sich mit diesem Seminar vor hohen Strafzahlungen und vermeiden Sie schwere Konsequenzen. Michael Wiedemann informiert Sie aus erster Hand über Ihre Verpflichtungen.
Datenschutz-Grundverordnung

Datenschutz-Grundverordnung – Was ändert sich für Unternehmen?

Unternehmen müssen jetzt handeln, um datenschutzrechtliche Anforderungen umzusetzen – sonst drohen erhebliche Bußgelder. Wie Sie dem entgehen können, verrät Fachanwalt für IT-Recht Falk W. Müller.
Jetzt kostenlos herunterladen!

Claudia Blum

Bei Management Circle bin ich für die Personal-, Produktions- und Soft Skills-Themen zuständig. Ich betreue außerdem den Blog zu den Iran-Veranstaltungen. In diesen Portalen informiere ich Sie stets über alle Trends und Entwicklungen. Ich freue mich auf Ihre Anregungen und einen guten Wissensaustausch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top

Künstliche Intelligenz: Mythen, Daten & Fakten

Welche KI-Mythen sind wahr? Lernen Sie beim Lesen oder Filmeschauen die neusten Debatten zur Künstlichen Intelligenz kennen und erweitern Sie Ihren Horizont!

Jetzt mehr erfahren!

Download: KI kann auch unterhaltsam sein!

Modernes Recruiting

Modernes Personalmarketing und Recruiting ist heute viel umfassender und wichtiger denn je. Bereiten Sie sich mit Hilfe dieses Whitepapers auf alle Trends und Besonderheiten vor.

Jetzt herunterladen!