Datenschutz-Management-System

Was ist eigentlich ein Datenschutzmanagementsystem (DSMS/ DMS) und wozu brauche ich das?

Das DSMS (Datenschutzmanagementsystem) ist im Grunde nichts anderes als eine Sammlung von Dokumenten. Es enthält Regelungen, Prozesse und Maßnahmen zum DSGVO-konformen Umgang mit personenbezogenen Daten. Umrahmt wird das Ganze von einer allgemeinen Richtlinie.

Die Notwendigkeit eines Datenschutzmanagementsystem ergibt sich dabei aus der DSGVO selbst.

Artikel 5 (2) DSGVO:
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 30 (3, 4) DSGVO:
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis (von Verarbeitungstätigkeiten) ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(4) Der Verantwortliche (…) (stellt) der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

Artikel 32 DSGVO:
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

(…)
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Artikel 35 DSGVO:
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, (…) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Diese Liste ist natürlich nicht vollständig, reicht aber aus, um die Notwendigkeit eines DSMS zu verdeutlichen.

(An dieser Stelle gebe ich gern noch einmal den Hinweis, dass die DSGVO im Art. 83 Bußgelder bis zu 20 Mio € bzw. 4% des weltweiten Vorjahresumsatzes vorsieht, wenn man seinen Pflichten als Verantwortlicher nicht nachkommt.)

Ziele des Datenschutzmanagementsystems

Das primäre Ziel eines Datenschutzmanagementsystem ist zunächst einmal, der Rechenschaftspflicht nachzukommen.

Rechenschaftspflicht

Im Grunde kann man sich das DSMS wie eine Reihe Zahnräder vorstellen, die alle ineinander greifen. Dreh- und Angelpunkt ist die Rechenschaftspflicht, gemäß Artikel 5 DSGVO. Der Verantwortliche muss nachweisen können, dass er sich an die Prinzipien der Verarbeitung personenbezogener Daten hält.

Hier noch einmal zur Erinnerung die Prinzipien der Verarbeitung personenbezogener Daten gemäß Artikel 5 DSGVO:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung (dem Zweck angemessen und auf das notwendige Maß beschränkt)
  • Richtigkeit
  • Speicherbegrenzung (nur so lange wie nötig)
  • Integrität und Vertraulichkeit (angemessene Sicherheit gewährleistet)

Nachweise über die Einhaltung der Prinzipien sind, wie eingangs genannt, das Verzeichnis der Verarbeitungstätigkeiten (VVT), Vereinbarungen zur Auftragsverarbeitung, die Datenschutzfolgeabschätzung (DSFA oder auch PIA) sowie Technisch Organisatorische Maßnahmen (TOMs).

Datenschutzorganisation

Datenschutz soll aber im Verein und Unternehmen nicht nur “pro forma” dargestellt sein, sondern im Geschäftsprozess integriert und gelebt werden. Dabei hilft das Datenschutzmanagementsystem. Es gibt den Mitarbeitern und Vereinsmitgliedern klare Vorgaben, regelt Verantwortlichkeiten und schafft so auch im Alltag Sicherheit. Schon das Verzeichnis der Verarbeitungstätigkeiten (Verfahrensverzeichnis) hilft Ihnen, eventuelle Datenschutzverstöße zu erkennen und frühzeitig abzustellen.

Nicht zuletzt ist das Datenschutzmanagementsystem ein Qualitätsmerkmal, das nach außen für Vertrauen sorgt und zugleich eine systematische Weiterentwicklung der Organisation unterstützt.

So weit, so gut. Wir wissen jetzt also, was ein Datenschutzmanagementsystem ist und welches Ziel damit verfolgt wird. Bleibt nur noch die Frage:

Wie erstelle ich mein eigenes Datenschutzmanagementsystem?

Es gibt mittlerweile eine Vielzahl an DMS-Software-Lösungen in den unterschiedlichsten Preiskategorien. Wer sich eine solche Softwarelösung leistet, braucht vermutlich gar nicht weiterlesen.

Denjenigen, die mit wenig Budget haushalten, stelle ich hier Lösungen vor, die sie ohne Zusatzkosten mit einfachsten Mitteln umsetzen können. Das sieht vielleicht nicht so “fancy” aus, aber tut seinen Dienst. Sie brauchen im Grunde nichts weiter als Ihren PC, einen eigenen Ordner, den Sie “DSMS” (oder wie auch immer) nennen und ein Office-Programm-Paket (egal ob von Microsoft, Apple oder Linux). Word, Excel, Powerpoint und deren Äquivalente reichen völlig aus.

Wie gehen Sie also vor?

Schritt 1: Bestandsaufnahme und Strukturen festlegen (Plan)

Meist gibt es im Verein oder Unternehmen schon viele entsprechende Strukturen. Dann müssen Sie das Rad nicht neu erfinden. Dann geht es eigentlich nur noch darum, vorhandene Strukturen klar darzustellen.

Datenschutz ist zwar Chefsache, aber trotzdem ein Teamsport. Setzen Sie sich mit Ihren Kollegen, leitenden Angestellten oder Vorstandsmitgliedern zusammen und sammeln Sie erst einmal. (Dazu benötigen Sie noch nicht einmal einen Rechner. Papier und Stift reichen völlig aus.) Lassen Sie sich gerne auch von Ihrem Datenschutzbeauftragten beraten, falls Sie einen haben.

Sammeln Sie:

  • Wer trägt welche Verantwortungen im Bezug zur Verarbeitung personenbezogener Daten?
    (Bsp: Marketingleitung verarbeitet Newsletter-Adressen, Trainer verarbeitet Spielerdaten,…)
  • Welche Regelungen gibt es schon – auch, wenn Sie vielleicht noch nicht an die DSGVO angepasst wurden? (Mitarbeiterverpflichtung auf das Datengeheimnis, Einwilligungsformulare für Fotofreigaben, IT-Richtlinie …)
  • Welche technischen Voraussetzungen gibt es?
    (Schließsysteme, geschützte E-Mails, Datenvernichtung, …)
  • Gibt es schon ein Unternehmensleitbild? Gibt es ein Organigramm?
  • Welche Anforderungen gibt es seitens Kunden, Dienstleistern, Sponsoren, Mitgliedern, Fans? Wie verhalten sie sich, wo gibt es Schnittstellen?
  • Welche Geschäftsprozesse/ Datenverarbeitungen gibt es?
  • Welche Kooperationen/ Out-Sourcings gibt es?
  • Gibt es schon Einwilligungsformulare und Informationsmaterial für Betroffene?
  • ….

Geschafft? Prima. Dann geht es weiter mit:

Schritt 2: das Gerüst bauen, mit Inhalten füllen und in die Tat umsetzen (Do)

Überlegen Sie weiter: Wohin wollen Sie gehen? Wie soll sich Ihr Unternehmen/ Ihr Verein darstellen?

Richtlinien

Falls Sie noch keines haben, formulieren Sie ein Unternehmensleitbild und machen Sie den Datenschutz zu einem zentralen Bestandteil. Falls Sie schon ein Leitbild haben, ergänzen Sie zu den Zielsetzungen des Unternehmens auch den Datenschutz (#Selbstverpflichtung). Dieses Leitbild speichern Sie in Ihrem “DSMS”-Ordner zum Beispiel in einem Unterordner “00-Richtlinien”.

Dort legen Sie auch alle weiteren übergeordneten Richtlinien ab, wie z.B.:

  • Ihr Datenschutzkonzept,
  • Übersicht über Technische und Organisatorische Maßnahmen (TOMs)
  • den Prozess zur Meldung von Datenpannen (inkl. Meldebogen)
  • die IT-Richtlinien (inkl. Back-up-Richtlinie, Passwortrichtlinie, Nutzung von Internet/ E-Mail/ Social-Media/ privaten Geräten)
  • Datenschutzrichtlinien (inkl. Löschkonzept)
  • Richtlinien für Telearbeit
  • Einwilligungen zur Nutzung von Mitarbeiterfotos
  • Richtlinie zum Umgang mit Bewerberdaten (insbes. Löschfristen)
  • Vertraulichkeitsverpflichtung samt Merkblatt
  • Kollektivvereinbarungen (falls vorhanden),
  • die Festlegungen der Verantwortlichkeiten (vielleicht auch Funktionsbeschreibungen)

Hier können Sie auch die Richtlinien zum Umgang mit den Betroffenenrechten (Auskunft, Löschung, Übertragung) ablegen – oder Sie entscheiden sich für einen eigenen Ordner. Auch AGB, die Datenschutzerklärung und Vorgaben zu den Pflichten “privacy-by-design/ privacy-by-default” könnte hier abgelegt werden.

Wichtig ist, dass Sie eventuelle Änderungen ein Jahr lang aufbewahren. (Dazu weiter unten mehr). Es empfiehlt sich also, in jedem Unterordner einen weiteren Unterordner “Archiv” anzulegen und die Dateien mit Versionsnummern und/oder Datum (nach dem Prinzip JJJJ-MM-TT) zu versehen.

Dokumente

Als nächstes legen Sie im DSMS-Ordner Ihr Verfahrensverzeichnis an, zum Beispiel als Ordner “10-VVT”, unter dem Sie alle Dokumente sammeln, die Verfahren beschreiben.

Dann benötigen Sie noch einen Ordner für Ihre Auftragsverarbeitungen, z.B. “11-AVV”

Wenn Sie die Datenschutzfolgeabschätzung nicht in Ihrem VVT integriert haben, können Sie hierfür ebenfalls einen Ordner anlegen (“12-DSFA”)

Im nächsten Nummernkreis sortieren Sie dann “20-Schulungen” sowie “21-Arbeitsanweisungen/ Verfahrensanweisungen” für die Mitarbeiter.

Da Sie Ihre Datenschutz-Anstrengungen jährlich überprüfen sollten (dazu unten mehr), darf in Ihrem DSMS-Ordner ein Unterordner zu “Audits” und “Jahresberichten/ Reports” nicht fehlen.

Auch ein Ordner zu “Vorfällen” kann sinnvoll sein. Dort können Sie Beschwerden und tatsächliche Pannen ablegen.

Im Ordner “Betroffenenrechte” ist Platz für Informationsblätter (Auskunftsrecht) und Formularvorlagen (Einwilligung). Aber auch tatsächliche Anfragen gehören hierher. Wenn Sie eine andere Logik haben, folgen Sie selbstbewusst Ihrer Lösung. Schließlich müssen Sie sich zurecht finden.

Für die Übersicht der Anfragen reicht eine Excel-Tabelle.

Natürlich müssen Sie all diese Ordner noch mit tatsächlichen Inhalten füllen – das ist die eigentliche Herausforderung 😉

Fertig

Sie sehen – gar nicht so schwer, auch ohne schickes Programm. Herzlichen Glückwunsch, Sie haben auch den 2. Schritt geschafft! Sie haben Ihrer Rechenschaftspflicht genüge getan.

Aber was ist mit dem “gelebten Datenschutz”? Vergeben Sie gegebenenfalls Leserechte an alle Nutzer, die informiert sein müssen (z.B. Mitarbeiter im Ordner Richtlinien und Schulungen) und Schreibrechte an alle, die die Dokumente bearbeiten sollen. Somit leben Sie auch ganz offensichtlich das Prinzip Datenminimierung 😉

Dann bleibt nur noch:

Schritt 3: die Überprüfung der Maßnahmen (Check)

PDCA – Plan-Do-Check-Act

Nach Artikel 24 (1) DSGVO empfiehlt sich der klassische PDCA-Zyklus.

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

PDCA, das steht für Plan-Do-Check-Act. Die Planung (Plan) haben wir im Schritt 1 gemacht. Die Umsetzung (Do) erfolgte im Schritt 2. Beide Schritte haben vermutlich in Projektform stattgefunden, also in einer zeitlich begrenzten Aktion. Fehlt also jetzt noch die Überprüfung (Check) und das daraus resultierende Umsetzen der vermutlich notwendigen Änderungen (Act).

Schön. Und nun?

Die Schritte 1 und 2 sind besonders für kleine Unternehmen und Vereine schwierig, da es schlicht an Ressourcen fehlt.  Ich höre schon die Stimmen, die stöhnen: “Was für eine Arbeitsbeschaffungsmaßnahme!” … und jetzt muss man das Ganze auch noch ständig wiederholen?!

Ja, Datenschutz ist aufwändig. Deshalb hat der Gesetzgeber die hohen Strafen vorgesehen – reine Motivation 😉

Aber: Wenn Sie den Datenschutz künftig leben, fallen Ihnen schnell immer wieder Punkte auf, die angepasst werden müssen. Also: Tun Sie’s! Ändern Sie Ihre Dokumente und speichern Sie sie unter einem neuen Namen ab, z.B. “Arbeitsanweisung E-Mail-Versand V2 2018-09-27”. Die alte Anweisung (“Arbeitsanweisung E-Mail-Versand V1 2018-05-17”) legen Sie in das Archiv. Dort müssen Sie das Dokument bis Ende des Folgejahres zur Nachweiserfüllung aufbewahren (in diesem Fall also bis zum 31.12.2019).

Am besten Sie sammeln Änderungswünsche im Team und besprechen diese spätestens alle 6 Monate. Dann nehmen Sie sich einmal im Jahr ein wenig Zeit und gehen alle unveränderten Dokumente im Datenschutzmanagementsystem durch. Stimmen noch alle Verfahren im VVT? Haben Sie alle Dienstleister in der AVV-Übersicht erfasst oder fehlen welche/ fallen welche weg? (Im Idealfall haben Sie eine Arbeitsanweisung, die vorsieht, Dienstleister automatisch auf die Liste zu setzen, sobald man einen Vertrag abschließt. Wenn nicht, ist jetzt der ideale Moment eine solche Richtlinie zu ergänzen.)

Passt noch alles? super! Speichern Sie die Datei mit alter Versionsnummer und neuem Datum ab. Es sind Änderungen nötig? Dann ändern Sie die Dokumente (inklusive Versionsnummer und neuem Datum im Dateinamen)! Vergessen Sie nicht, bei Änderungen die Mitarbeiter zu informieren.

Fazit

Ich habe Ihnen ein einfaches Modell für kleine Firmen und Vereine vorgestellt. Am kompliziertesten und zeitaufwändigsten ist garantiert Schritt 2. Bis Sie alle Dokumente erstellt haben, vergeht (besonders in Vereinen, die mit Ehrenamtlichen arbeiten) viel Zeit. Konzentrieren Sie sich in diesem Fall auf die wichtigsten Dokumente VVT und AVV und arbeiten Sie sich dann Stück für Stück weiter durch. Verpflichten Sie Ihre Mitarbeiter auf die Einhaltung des Datenschutzes und schulen Sie sie. Durch eine Schulung der Mitarbeiter schaffen Sie schnell ein Bewusstsein und erhalten so im Zweifel “Feedback von der Basis”. Nutzen Sie dies! Wenn Ihre Mitarbeiter wissen, worauf es zu achten gilt, können sie bereits Formularentwürfe erstellen, die Sie im Zweifel nur noch prüfen und freigeben müssen.

Netter Nebeneffekt eines Datenschutzmanagementsystem: Sie stellen Ihre Strukturen auf den Prüfstand und können auf diese Weise sogar noch effizienter werden. Eingefahrene Strukturen müssen ja nicht so bleiben, nur, weil sie schon immer so gewesen sind 😉

Weiterführende Links:

Datenschutz-Organisation und Verantwortlichkeiten

Datenschutz-Organisation: GDD-Praxishilfe DS-GVO VIII (Unternehmensrichtlinie zur Datenschutz-Organisation)

passend dazu auch: GDD-Praxishilfe DS-GVO II (Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung)

Welche Vorteile Datenschutz für Sie als Unternehmen hat lesen Sie im Artikel:
Datenschutz ist die Kür – und nicht die Pflicht

Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.

Bildquellen

  • Akten-Pixabay-Fachdozent-cr: Pixabay Fachdozent