Das Ziel eines Datenschutz-Managementsystems (DSMS) ist die Identifikation datenschutzrechtlicher Probleme und Risiken innerhalb eines Unternehmens oder einer Organisation sowie deren Behebung.

Ein DSMS ist ein fortlaufender Prozess und umfasst periodisch die folgenden Maßnahmen:

• Optimierung von Abläufen und Dokumenten
• Aufstellung strukturierter Prozesse
• Regelmäßige Überprüfung und Bewertung

Ein Datenschutz-Managementsystem (DSMS) wird oft in Verbindung gebracht mit der seit 2018 in Kraft getretenen DS-GVO. Einerseits schreibt die Datenschutz-Grundverordnung den Einsatz eines DSMS nicht explizit vor, andererseits geht es auch nicht ohne.

Betrachtet man die Vorschriften der DS-GVO, vor allem Artikel 5 (Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten), Artikel 30 (Verzeichnis von Verarbeitungstätigkeiten), Artikel 32 ( Sicherheit der Verarbeitung) und Artikel 35 (Datenschutz-Folgenabschätzung), dann wird deutlich, dass ein Datenschutz-Managementsystem essenziell ist, um alle Vorgaben zu erfüllen.

Des Weiteren liegt es in der alleinigen Verantwortung des Unternehmens, die Vorgaben der DS-GVO proaktiv umzusetzen.

Datenschutz ist für Unternehmen vom Gesetzgeber rechtlich vorgegeben, aber warum ist dafür ein Managementsystem nötig?

Ähnlich zu anderen Managementbereichen, ist es auch im Datenschutz die Aufgabe der Geschäftsführung, die Einhaltung der Datenschutzanforderungen sicherzustellen, d.h. zu organisieren und zu ermöglichen.

Mit Hilfe eins Data Protection Management Systems (DSMS) wird im gesamten Unternehmen der Datenschutz, insbesondere die Einhaltung der DS-GVO sichergestellt und dokumentiert. Ein DSM erfüllt die Rechenschafts- und Nachweispflichten nach DS-GVO.

Ein Unternehmen sollte vorrangig ein Verfahren einführen, das die Einhaltung der Datenschutzgrundsätze kontinuierlich überprüft und im Verzeichnis festhalten kann (Verantwortung und Verpflichtung zur Bereitstellung von Nachweisen).

Die Gewährleistung einer ausreichenden Datensicherheit ist das Ziel des DSMS. Es sollen Verstöße vermieden werden, und bei Störfällen die Wiederherstellung der Daten sichergestellt sein.

Mit einem Managementsystem profitiert Ihr Unternehmen von strukturierten und optimierten Datenschutzprozessen und vor allem von der kontinuierlichen Verbesserung, die den Hauptfokus eines jeden Managementsystems darstellt. Gerade im sich stetig wandelnden Bereich Datenschutz hilft ein Managementsystem, schnell und dynamisch zu reagieren und Unternehmensprozesse optimal anzupassen.

Das Datenschutz-Managementsystem folgt dabei wie die meisten anderen modernen Managementsysteme einem Zyklus der Planung, Durchführung, Überprüfung und Verbesserung (Plan-Do-Check-Act), welcher immer wieder wiederholt wird, um den kontinuierlichen Verbesserungsprozess zu gewährleisten.

Das bedeutet also, begonnen wird zunächst mit der Planung, in dem der Soll- und Istzustand des Datenschutzes miteinander verglichen werden. Auch wenn man beim Thema Datenschutz wahrscheinlich meist an die IT-Abteilung denkt, sollte man sich bewusst machen, dass es in einem Unternehmen kaum Bereiche gibt, in denen Datenschutz keine Bedeutung hat. So finden sich beispielsweise personenbezogene Daten in fast jeder E-Mail, jeder Rechnung, jedem Diensthandy, jeder Terminvereinbarung, jedem Lieferschein usw. Sind in diesen Bereichen alle gesetzlich geforderten und von der Unternehmensleitung gewünschten Ziele festgelegt, können Methoden zur Erreichung dieser Ziele erarbeitet und implementiert werden. Hier sollte man sämtliche rechtlichen Änderungen und Vorgaben im Blick haben, um ggf. Änderungen vornehmen zu können.

Im nächsten Schritt (Durchführung) werden zielführende Anweisungen und Leitlinien erstellt, an denen sich die Mitarbeiter orientieren können. Wichtige Bereiche, die hier geregelt werden müssen, umfassen u.a. Aufbewahrungskonzepte von Daten, Erfüllung von Informations- und Betroffenenrecht, Konzepte zur eventuellen privaten Nutzung von Dienstgeräten etc. Diese Prozesse und Konzepte sollten in der Regel schriftlich fixiert und standardisiert werden.

Nach der Durchführung erfolgt der Kontrollschritt. Hier wird geprüft, ob die erarbeiteten Maßnahmen eingehalten werden und wirklich messbar zur Erreichung des Ziels dienen. In diesem Schritt geht es darum, Regelungen eventuell noch einmal anzupassen und weitere Bereiche zu identifizieren, in denen es einen Handlungsbedarf gibt oder in denen Verbesserungsmöglichkeiten bestehen.

Die Verbesserung folgt als vierter und letzter Schritt, nach welchem es dann wieder von vorne losgeht. Hier werden bestehende Maßnahmen und Regelungen überdacht und im besten Fall festgestellt, wie diese auf ihre Wirksamkeit hin optimiert werden können. Ebenfalls können hier alternative Regelungen oder Anpassungen aufgrund veränderter Rahmenbedingungen implementiert werden.