Datenschutzmanagementsysteme – Anforderungen durch die EU-Datenschutz-Grundverordnung

Die neue EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Spätestens dann müssen in Unternehmen, in denen personenbezogene Daten verarbeitet werden, die technischen und organisatorischen Datenschutzvorkehrungen geklärt sein. Um den hohen Anforderungen der Datenschutzgrundverordnung gerecht zu werden, ist ein Datenschutzmanagementsystem erforderlich. Es muss konsequent in die Geschäftsprozesse eingebunden werden, um eine rechtskonforme Umsetzung, Kontrolle und gegebenenfalls Anpassung der Abläufe und Verantwortlichkeiten zum Datenschutz zu ermöglichen.

Wir geben Ihnen einen Überblick zu den Herausforderungen der Einhaltung der DSGVO und den in diesem Zusammenhang gestiegenen Anforderungen an ein professionelles Datenschutzmanagementsystem.

Die neue DSGVO: höhere Ansprüche an den Nachweis des Datenschutzes

Laut der am 25. Mai in Kraft tretenden Verordnung müssen Unternehmen, die personenbezogene Daten verarbeiten, jederzeit nachweisen können, dass sie sich dabei an alle Bestimmungen der DSGVO halten. Neben diesen Informationspflichten bringt die Verordnung u.a. folgende Neuerungen mit sich:

  • neuer Bußgeldkatalog mit deutlich höheren Strafgeldern – bis zu 4 % des Konzernumsatzes
  • Privacy by Default: Datenschutzfreundliche Voreinstellungen, besonders in Hinsicht auf weniger technikaffine Personen
  • Privacy by Design: Schon im Entwicklungsstadium von IT-Produkten soll der Datenschutz integriert werden
  • Marktortprinzip: Datenschutzanforderungen betreffen alle auf dem europäischen Markt tätigen Unternehmen, sofern die Datenverarbeitung EU-Bürger betrifft
  • Datenschutzvorfälle sind binnen 74 Stunden zu melden

Funktionsweise eines Datenschutzmanagementsystems

Es gibt nicht das eine Datenschutzmanagementsystem (DSMS), denn je nach Geschäftsabläufen gibt es ganz unterschiedliche Abläufe bei der Datenverarbeitung. Außerdem ist ein DSMS nicht mit einem IT-System gleichzusetzen. IT-Systeme können zur Unterstützung eingesetzt werden, reichen aber allein nicht aus, um den Anforderungen der DSGVO gerecht zu werden. Das ist nur möglich, wenn der Datenschutz fest in die Organisation des Unternehmens eingebunden ist, und genau das leistet ein DSMS.

Besteht bereits ein Management- bzw. Kontrollsystem ist es natürlich sinnvoll, das DSMS damit zu verknüpfen.

Die Umsetzung bzw. Einbindung eines Datenschutzmanagementsystems kann folgendermaßen ablaufen:

Basis für ein DSMS

Organigramm des Unternehmens erstellen, mit genauen Angaben zu Geschäftsprozessen und dahinter stehenden Personen sowie Angaben, an welcher Stelle in welcher Form Daten verarbeitet werden

Dadurch können Sie den konkreten Handlungsbedarf und die Risiken ermitteln, um im Anschluss die ggf. fehlenden Ressourcen zu beschaffen.

Maßnahmen zur Umsetzung

Die konkrete Umsetzung des DSMS ist stark abhängig vom Geschäftsmodell und den Geschäftsabläufen. Sie beinhaltet z.B. Anpassungen bei:

  • unternehmensinternen Prozessen
  • IT-Systemen
  • Kommunikation mit Kunden, Mitarbeitern und Partnern
  • externen Dienstleistern, soweit sie in die Verarbeitung personenbezogener Daten involviert sind
  • Datenschutzerklärungen
  • Einwilligungserklärungen
  • Datenschutz-Folgenabschätzung
  • Wahrung von Betroffenen-Rechten
  • Meldung von Datenschutzverstößen

Wichtig ist hierbei vor allem die erweiterte Rechenschaftspflicht im Zuge der neuen DSGVO. Genau sie macht ein fest in die Unternehmensabläufe integriertes Datenschutzmanagement-System erforderlich. Darin müssen Sie die einzelnen Schritte zur Einhaltung des Datenschutzes dokumentieren, um diese bei einer Prüfung nachweisen zu können.

Wie gesagt, handelt es sich bei den oben beschriebenen Abläufen zur Einbindung eines Datenschutzmanagementsystems lediglich um einen Vorschlag. Der Aufwand variiert nicht nur entsprechend der Unternehmensgröße, sondern auch entsprechend der bisher im Unternehmen etablierten Datenschutzsysteme.

 


keine Kommentare  |  Kommentar schreiben

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.