Warum Sie ein Datenschutz Management System brauchen.

Der Verantwortlicher muss nachweisen können das er für die Verarbeitung von personenbezogenen Daten geeignete, überprüfbare und aktuelle Verfahren zur Gewährleistung der Sicherheit der Verarbeitung in seinem Verantwortungsbereich einsetzt.

Dieser Satz ist eine Zusammenfassung folgenden Artikeln der Datenschutz-Grundverordnung (DS-GVO);

• • Art. 5 Abs. 2 – Grundsätze für die Verarbeitung personenbezogener Daten

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

• • Art. 24 Abs. 1 – Verantwortung des für die Verarbeitung Verantwortlichen

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

• • Art. 32 Abs. 1 d – Sicherheit der Verarbeitung

… ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

• • Erwägungsgrund (EG) 78 – Sicherheit der Verarbeitung

Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden.

Vorgaben oder Standards für die Umsetzung eines Datenschutz Management Systems

Im Gegensatz zur anderen Managementsystemen gibt es für ein DSMS keine Vorgaben oder Standards. Die Ausgestaltung des Datenschutz Management Systems muss aber im Rahmen der geltenden Gesetze und Verordnungen sowie Politiken, Ziele und Prozessen mit Bezug zum Datenschutz erfolgen.

Somit kann die konkrete Umsetzung je nach Unternehmen und Branche sehr individuell gestaltet werden, wobei die zu erfüllende Ziele gesetzlich vorgeschrieben sind.

Normen für die Umsetzung

Um den Spagat zur freien Gestaltung und das Erreichen der gestellte Datenschutzziele, wie z.B. Umsetzung, Überprüfung und Instandhaltung/Verbesserung, möglich zu machen ist die Verwendung von Standards unerlässlich.

Hierzu eignen sich folgende Managementsystemen;

• • ISO 9001  –  Qualitätsmanagementsystem;
  • ISO 27001 – Informationssicherheitsmanagementsystem;
  • ISO 14001 – Umweltmanagementsystem;
  • ISO 31000 – Risikomanagement;
  • ISO 30414 – Personalmanagement;
  • ISO 45001 – Arbeitsschutzmanagement.

Der meistfavorisierte Standard für die Überprüfung von diese Managementsystemen ist die DIN EN ISO 19011. Dieser Leitfaden zur Auditierung von Managementsystemen ist eine Universalanleitung für Audits, deren Gegenstände auf Managementsystemen beruhen.

Ein Datenschutz Management System, welches sich an die Überprüfbarkeit auf Basis der ISO 19011 orientiert, profitiert somit auch von andere, oft verwendete, Managementsystemen.

Die DS-GVO erfordert einen “Compliance-Nachweis” über die Einhaltung der Vorschriften.

DS-GVO-konform zu sein bedeutet, alle Bestimmungen und Verbindlichkeiten der Datenschutzgrundverordnung auszuführen, zu dokumentieren, zu überprüfen, instandzuhalten und gegebenfalls zu aktualisieren.

DPM ONLINE ist die Lösung, die die Einrichtung und den Betrieb eines robusten Datenschutz Management Systems für Ihr Unternehmen unterstützt. Das Managementsystem ermöglicht Ihnen die Erfüllung der Anforderungen der DS-GVO und anderer relevanter Bestimmungen.

Mithilfe dieses Webbasiertes Managementsystems, die relevanten Informationen zum Datenschutz und den nutzlichen Vorlagen meistern Sie die vielfältigen Anforderungen, die Nachverfolgung von Maßnahmen, die Berichterstellung sowie die Bewertung von Risiken. Außerdem wird der Prozess der Erfassung möglicher Datenschutzvorfälle und -verletzungen konsolidiert und optimiert.

 

 

 

Am Beispiel Betroffenenrechte möchte ich den Sinn und Zweck eines prozessbasiertes Datenschutz Management System erläutern.

Ein Datenschutz Management System (DSMS) ist ein Hilfsmittel, mit dem die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch erfasst, organisiert und kontrolliert werden können.

DS-GVO-Konformität mit feste und dokumentierte Arbeitsabläufe

Zu den von der DS-GVO geforderten Dokumentations- und Rechenschaftspflichten gehört auch die Beweislastumkehr. Damit muss nicht die Behörde, sondern der Verantwortlicher, nachweisen dass er im Einklang mit den Datenschutzgesetzen agiert. Zu ein wasserdichtes Datenschutz-Management-System, das alle datenschutzrechtlich relevanten Unternehmensprozesse abbildet und beschreibt, ist ein prozessbasierter Ansatz sinnvoll und eine wichtige Voraussetzung für die DS-GVO-Konformität.

Betroffenenrechte
(DS-GVO Kapitel 3, Art. 12 bis 23)

Inventarisieren Sie die Rechte der betroffenen Personen

Betroffenen Personen haben mit der DS-GVO Art. 15 bis 21 umfangreiche Rechte bekommen, durch die sie den Umgang mit ihren personenbezogenen Daten kontrollieren und steuern können.

Zunächst einmal ist es für den für die Datenverarbeitung Verantwortlichen wichtig zu inventarisieren, welche Betroffenendaten beim Unternehmen geltend gemacht werden können. Ebenso wichtig ist es zu wissen zu welchem Zweck diese Daten verarbeitet werden, wo diese gespeichert werden und wie lange er die Daten speichern möchte muss. Zur Einrichtung seiner technischen und organisatorischen Maßnahmen muss er sich auch über die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen und damit am Schutzbedarf der Daten orientieren.  Der Schutzbedarf hängt u.a. von der Datenkategorie ab.

Im Datenschutz Management System DPM-Online ist dieses einer der 18 Bausteine für das Verarbeitungsverzeichnis. Diese Bausteine und das Verarbeitungsverzeichnis sind die Grundlage für die vom Gesetzgeber geforderte DS-GVO-Konformität.

DS-GVO-Konformität mit feste und dokumentierte Arbeitsabläufe

Angesichts der Frist von ein Monat nach Eingang der Anfrage für die Bearbeitung und Beantwortung einer Betroffenenanfrage, ist es wichtig, dass es für die Betroffenenanfragen feste Arbeitsabläufe (Workflows, Prozesse) eingerichtet werden.  Unerheblich sind dabei welche Anfragen an dem Unternehmen gestellt werden könnten. Prinzipiell sind alle Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragung) innerhalb der gesetzlich vorgesehenen Frist, von einem Monat nach Eingang der Anfrage, zu beantworten.

Die Dokumentierung dieser Arbeitsabläufe sind im Datenschutz Management System DPM-Online aufgenommen und gehören damit zu den 18 Bausteine zur DS-GVO-Konformität.  Beispielsweise ist es bei einem Auskunftsersuchen unerlässlich, dass Sie schnell nachvollziehen können, wo Sie bestimmte Daten gespeichert haben, den damit verbundenen Zweck sowie die vorhergesehene Speicherdauer, getroffenen Schutzmaßnahmen und die Rechtsgrundlager der Verarbeitung belegen können.

„Glücklicherweise“ sind Sie bereits durch die DS-GVO verpflichtet, diese Informationen im Verarbeitungsverzeichnis vorzuhalten.

 Das Verarbeitungsregister als Zentrales Dokument zur DS-GVO -Konformität

Über das Verarbeitungsregister müssen Sie Informationen zur Datenverarbeitung   aufzeichnen. Diese Informationen betreffen unter anderem:

• • • welche personenbezogenen Daten werden verarbeitet;
    • zu welchem Zweck werden personenbezogenen Daten verarbeitet;
    • mit welcher Erlaubnis/Rechtsgrundlage werden diese Daten verarbeitet;
    • wo werden diese Daten gespeichert;
    • wie lange werden diese daten gespeichert;
    • welchen Schutzbedarf haben diese Daten

Zusätzlich muss das Verarbeitungsregister Informationen zu den getroffenen Sicherheitsmaßnahmen und der Übersicht über Dritte, an dem das Unternehmen die personenbezogenen Daten weitergibt oder verarbeiten lässt, enthalten.  Da es die Aufgabe des Verantwortlichen ist, dass auch Auftragsverarbeiter die Daten der betroffenen Person im Auftrag des Unternehmers verarbeiten, den Löschantrag nachkommen ist eine Übersicht von Auftragsverarbeiter einer der 18 Bausteine des Datenschutz Management Systems DPM-Online.

Kurz gesagt: Stellen Sie sicher, dass Sie als Verantwortlicher, aber auch als Auftragsverarbeiter, Ihre Dokumentationen sowie Arbeitsabläufe übersichtlich und nachvollziehbar geordnet haben. Damit geben Sie sich die Möglichkeit, schnell und angemessen auf die Rechte der betroffenen Personen zu reagieren.

Nach Rolle unterscheiden

In Übereinstimmung mit dem oben Gesagten ist es wichtig, ein gutes Verständnis dafür zu entwickeln, welche Rolle Sie in Bezug auf die personenbezogenen Daten betroffener Personen spielen. Denn wo Sie als Verantwortlicher letztlich für die personenbezogenen Daten verantwortlich sind, ist es durchaus möglich, dass Sie als Auftragsverarbeiter auch bei Anfragen betroffener Personen kooperieren müssen. Vereinbarungen über die Bearbeitung von Anfragen aus der Rolle des Auftragsverarbeiters werden häufig in den bekannten Auftragsverarbeitungsverträgen (AV-Verträge) getroffen.  Es ist für den Verantwortlichen daher unerlässlich sich eine Übersicht über die Auftragsverarbeiter zu verschaffen und zu dokumentieren welche Aufgaben und vor allem welche Datenverarbeitungen diese Auftragsverarbeiter auszuführen haben. Ebenso wichtig ist eine Überprüfung des AV-Vertrags des Auftragsverarbeiters. Hier muss darauf geachtet werden das der Vertragsinhalt alle Vorgaben der DS-GVO beinhaltet und dass die organisatorischen und technischen Maßnahmen (TOM) zu dem Auftraggeber passen. Ebenso wichtig ist zu wissen, ob der Auftragsverarbeiter Teile seines Auftrages wiederum an Unterauftragsverarbeiter weitergibt.  Der Auftragsverarbeiter muss seine mit diesem Auftrag zusammenhängende Informationen mitteilen.

Zu diesem Zweck ist im Datenschutz Management System DPM-Online, als einer der 18 Bausteine zur DS-GVO-Konformität, eine Übersicht der eingesetzte Auftragsverarbeiter, die jeweiligen AV-Verträge, garantierte Schutzmaßnahmen sowie eine Möglichkeit zur regelmäßigen Überprüfung der Auftragsverarbeiter vorgesehen.

Überprüfungen der Prozesse und Workflows

Nachdem klar ist, wo all die Daten zu finden sind, mit welchen Rechten Sie was als Organisation tun haben und klar ist wo diese gespeichert und vom wem sie bearbeitet werden, ist es wichtig, die Prozesse einmal zu überprüfen. Ein Vergleich von Theorie und Praxis lohnt sich immer.  Zu diesem Zweck können im Datenschutz Management System DPM Online die Prozessbeschreibungen und grafisch dargestellten Workflows auf einer einfachen Weise der Realität angepasst werden. Diese interne Überprüfung gleicht ein Audit und gibt Ihnen auch einen guten Einblick in die Faktoren, welche zu Verzögerungen innerhalb der Organisation führen können. Beispielsweise kann es für Sie schwierig sein, eine Antwort von Ihren Auftragsverarbeitern auf einen Antrag auf Löschung zu erhalten, oder Sie sind möglicherweise nicht in der Lage, Daten in einer maschinenlesbaren Datei als Antwort auf einen Antrag auf Datenübertragbarkeit abzulegen. Eine Überprüfung der Dokumentation an die Situation in der Praxis lehrt Sie, wo die Schmerzpunkte liegen, und zeigt Ihnen, worauf Sie Ihre Aufmerksamkeit richten sollten, um den Umgang mit den Betroffenenrechten erfolgreich zu gestalten.