Datenschutzmanagement als Leitfaden für die Praxis


Laut Datenschutzrecht ist ein Datenschutzmanagementsystem explizit nicht vorgesehen. Normen zeigen jedoch die Wichtigkeit eines solchen Systems auf, mit dem sich der datenschutzkonforme Umgang mit personenbezogenen Daten systematisch steuern und kontrollieren lassen. Außerdem ist sicherzustellen, dass ein Datenschutzmanagementsystem evaluiert und verbessert werden muss.


Normen zum Datanschutzmanagementsystem in der DSGVO

  • Art. 5 stellt die Grundsätze der Verarbeitung personenbezogener Daten dar

  • Art. 30 verpflichtet den Verantwortlichen, Verzeichnisse sämtlicher Verarbeitungsvorgänge zu führen.

  • Art. 32 regelt den Einsatz von technischen und organisatorischen Maßnahmen (sog. TOMs) zur Sicherstellung, dass die Verarbeitung personenbezogener Daten gemäß der Datenschutzgrundverordnung erfolgt.

  • Art. 35 regelt die Verpflichtung des Verantwortlichen, um ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu garantieren, zuvor eine Datenschutz-Folgenabschätzung vorzunehmen.


Grundlagen eines Datenschutzmanagementsystems

Eines der wichtisten Elemente ist das sog. "accountability". Darunter verstehen sich die umfassenden Dokumentations- und Informationspflichten der DSGVO (siehe Art. 5 Abs. 2, nachdem der Verantwortliche für die Einhaltung dieser Pflichten einzustehen hat. D. h. der Verantwortlich muss nachweisen können, dass er geeignete Datenschutzrichtlinien und Maßnahmen umsetzt.

Das Datenschutzmanagementsystem trägt somit dazu bei, sie im Unternehmen zu "leben". Um das Managementsystem zu erstellen, ist die Einbindung des Datenschutzbeauftragten sinnvoll bzw. einen sog. Datenschutz-Koordinator zu bestellen. Er dient als Koordinationsstelle zwischen dem Datenschutzbeauftragten und den Mitarbeitern seiner Abteilung und sorgt dafür, dass alle datenschutzrechtlichen Sachverhalte seiner Abteilung an den Datenschutzbeauftragten weitergeleitet werden. Desweiteren fällt dem DSB die Aufgabe zu, die Beschäftigten hinsichtlich der Sensibilisierung pro Datenschutzmanagementsystem zu schulen.


Welche Regelungen soll das DSMS unter anderem beinhalten?

  • Behandlung von Beschwerden (Mitarbeiter, Kunden, Lieferanten)

  • Einführung von neuen IT-Systemen und/oder Tools

  • Einsatz eines neuen Dienstleisters

  • Werbe- und Marketingmaßnahmen (z. B. Versand von Newsletter)

  • Online-Marketing Maßnahmen, z. B. Google AdWords, Conversions Tracking etc.

  • Verkauf von Unternehmensteilen


Diese Beispiele sind nicht abschließend zu sehen. Sie müssen allerdings definiert und in das DMSM implementiert werden, dient den Beschäftigten als Vorgabe und können jederzeit ergänzt werden.


Verzeichnis von Verarbeitungstätigkeiten

Zunächst ist zu ermitteln, wie die Maßgaben der DSGVO eingehalten und geschützt werden können. Dabei können diese Vorgehensweisen als Grundlagen für die Verarbeitungsverzeichnissen dienen, wobei es keine Unterschiede zwischen öffentlichen und internen Verfahrensverzeichnissen gibt. Gemäß Art. 30 (Verzeichnis von Verarbeitungstätigkeiten) ist der Verantwortliche jedoch verpflichtet, diese Verzeichnisse zu führen, die Zwecke zu definieren sowie die Kategorien der personenbezogenen Daten festzulegen. Einzelne Verzeichnisse ergeben sich z. B. durch sämtliche IT-Tools und -Systeme wie Zeiterfassungssysteme, CRM-Systeme, Bewerbertools, HR-Managementtools etc.


Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Ergänzend sind Unternehmen dazu verpflichtet, Datenschutz-Folgenabschätzung durchzuführen, soferne eine Form der Verarbeitung wahrscheinlich hohe Risiken für personenbezogene Daten verursachen oder aufgrund Ihres Wesens, des Umfangs, ihres Kontexts oder ihrer Zwecke vorliegen.


Vertragsmanagement

Hier empfiehlt es sich, alle von einem Unternehmen eingesetzten Dienstleister in einer Liste zusammenzufassen und zwar unabhängig davon, ob diese personenbezogene Daten verarbeiten oder nicht. Danach ist zu prüfen,


ob durch den Dienstleister personenbezogene Daten erhoben, genutzt, übermittelt oder verarbeitet werden,

ob eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO erforderlich ist

ob eine solche Verarbeitung datenschutzkonform abgeschlossen ist.


Im Anschluss wäre noch zu prüfen, ob, und wenn ja, welche Verträge angepasst bzw. geändert werden müssen.


Verpflichtung der Beschäftigten auf das Datengeheimnis

Obwohl von der DSGGVO nicht vorgesehen, zählt die Verpflichtung auf das Datenschutzgeheimnis zu den wichtigen Elementen eines Datenschutzmanagementsystems in Verbindung mit entsprechenden Schulungen.


Meldung von Datenschutzverstößen

Legt man Art. 33 DSGVO zugrunde, sind Verletzungen des Schutzes personenbezogener Daten unverzüglich, in aller Regel binnen von 72 Stunden der Aufsichtbehörde zu melden, nachdem die Verletzung bekannt wurde. Von einer Meldung kann abgesehen werden, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Über die Verletzung sind Betroffene natürliche Personen hinreichend und umfassend zu informieren.


Fazit:

Bei unbeabsichtigten Datenchutzverstößen kann ein Dantenschutzmanagementsystem den Vorwurf der Fahrlässigkeit zwar nicht ausschließen. Aber es ist gemäß Art. 83 Abs. 2 d) wenigstens bußgeldhemmend. Zudem kann das System helfen, möglichst schnell auf Datenschutzverstöße zu reagieren und Maßnamen einzuleiten.









3 Ansichten

Fuggerstraße 6

89250 Senden

Montag - Freitag:

09.00 - 13.00 Uhr

14.00 - 18.00 Uhr

0 73 07 . 93 60 40 7

0 73 07 . 93 60 40 8

Notfall: 0176 . 71 14 84 36

Copyright 2020 Contana Datenschutzservice e. K.

Diese Website stellt keine Rechtsberatung gemäß Rechtsdienstleistungsgesetz (RDG) dar, die ausnahmslos Rechtsanwätinnen bzw. Rechtsanwälten vorbehalten ist und ausgeübt werden dürfen. Die Inhalte der Website dienen vielmehr der unverbindlichen Information.

Wir übernehmen deshalb keine Gewähr auf Richtigkeit und Vollständigkeit.