Aug. 03, 2022

Datenschutzmanagementsystem: Wo fängt man an?

Mit einem Datenschutzmanagementsystem können Organisationen die unterschiedlichsten technischen und organisatorischen Maßnahmen strukturübergreifend initiieren, umsetzen und verfolgen.
Datenschutzmanagementsystem

Durch ein Datenschutzmanagementsystem (DSMS) können Organisationen ihre Corporate Governance integrieren und wirksame Compliance etablieren sowie ihren Datenschutz kontinuierlich verbessern.

Was ist ein Datenschutzmanagementsystem

Im Rahmen eines Datenschutzmanagementsystems (DSMS) ist es für Unternehmen möglich, eine effiziente Datenschutzinfrastruktur zu entwickeln und aufzubauen. Es werden darin systematische Regeln und Vorschriften zur Verfügung gestellt, um Richtlinien, Prozesse und Aktivitäten abzudecken, die die Verarbeitung personenbezogener Daten betreffen. Ein DSMS enthält Richtlinien für die Bestimmung von Rollen und Zuständigkeiten der für den Datenschutz verantwortlichen Personen im Unternehmen. Ein effektiv implementiertes DSMS unterstützt Organisationen dabei, die Datenschutz-Compliance nachzuweisen, die Sicherheit zu stärken und die vertrauensvollen Beziehungen zu den Anspruchsberechtigten, Kunden und Partnern zu fördern.

Schlüsselkomponenten eines Datenschutzmanagementsystems

„Die Implementierung eines DSMS sollte mit einem Überblick über aktuelle und verbundene Prozesse beginnen, dann werden betroffene und verantwortliche Personen ermittelt und zum Schluss wird eine Richtlinie festgelegt“, empfiehlt unser Partner expertree consulting.

Was sind die beiden wichtigsten Herausforderungen im Datenschutzmanagement? Datensilos, keine konsolidierten Systeme, verteilte Daten und manuelle Arbeit sind einige der Probleme, für die Unternehmen Lösungen finden müssen. Eine Datenschutzmanagement-Software ist der Schlüssel zum Erfolg bei diesen Herausforderungen, mit dem Organisationen auf ein effektives und funktionierendes Datenschutzmanagement zugreifen können.

DSMS Komponenten
Die wichtigsten Komponenten eines Datenschutzmanagementsystems

Prozess

Um ein DSMS umzusetzen, sollten Organisationen also damit beginnen, sich einen Überblick über aktuelle und verbundene Prozesse im gesamten Unternehmen zu verschaffen. Der Datenlebenszyklus beginnt mit der Erfassung personenbezogener Daten, endet mit ihrer Archivierung/Löschung und erstreckt sich über die damit einhergehenden Geschäftsprozesse, Systeme, Produkte oder Dienstleistungen. Darüber hinaus müssen Unternehmen die Umsetzung ihrer Datenschutzrichtlinien bei den Prozessen in der gesamten Organisation kontinuierlich kontrollieren und überarbeiten.

Nachstehend finden Sie eine kurze Anleitung zur Wartung aller Prozesse im DSMS:

Prozess

1. Dokumentation der Datenflüsse bei personenbezogenen Daten

Implementierung

Anwendung einer Datenbestandskarte oder eines Datenflussdiagramms.
Erstellung eines Zustimmungsregisters.

2. Integration des Datenschutzes in Geschäftsprozesse, Systeme, Produkte oder Dienstleistungen

Einführung eines Datenschutz-by-Design-Ansatzs bei der Datenschutz-Folgenabschätzung für Systeme oder Prozesse, die neu sind oder großen Änderungen unterliegen.
Gewährleistung der Compliance bei den Datenschutzrichtlinien der Organisation.
Anwendung von Vertragsklauseln.
Durchführung von Kontrollen zur Einhaltung von Klauseln.
Etablierung eines Prozesses für Datenschutzverletzungen.
Erstellung von Protokollen für die Dokumentation der Vorfälle und der Reaktionen nach einem Verstoß gegen den Datenschutz.

3. Einrichtung von Risikoüberwachung und Berichterstattung

Verwaltung von Risiken durch ein unternehmensweites Risikomanagement-Framework mit Mechanismen zum Berichten. Durchführung von internen Audits, um die Umsetzung der Datenschutzrichtlinien und -prozesse zu überwachen und zu bewerten.

Personal

Die Leitung muss mindestens eine Person zum/r Datenschutzbeauftragten (DSB) ernennen, die für alle Angelegenheiten im Zusammenhang mit dem Schutz personenbezogener Daten verantwortlich ist und sich um die Datenschutz-Compliance kümmert.

DSB-Hauptaufgaben:

  • Durchsetzung der Einhaltung von Datenschutzrichtlinien und -prozessen;
  • Förderung der Kultur des Schutzes personenbezogener Daten und Vermittlung der Datenschutzrichtlinien an die Stakeholder;
  • Bearbeitung von Zugriffs- und Berichtigungsanfragen zu personenbezogenen Daten;
  • Verwaltung von Anfragen und Beschwerden im Zusammenhang mit dem Schutz personenbezogener Daten;
  • Benachrichtigung des Managements über alle Risiken, die bezüglich der von der Organisation verarbeiteten personenbezogenen Daten entstehen könnten.

Datenschutzrichtlinie

Die Datenschutzrichtlinie (DSR) ist integraler Bestandteil der Corporate Governance und muss eine strategische Anleitung zur Umsetzung des Datenschutzrahmens darstellen.

Eine DSR muss Folgendes beinhalten:

  • Überwachung und Verwaltung von Risiken für den Schutz personenbezogener Daten im Rahmen der Corporate Governance
  • Durchführung von Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIA)
  • Ernennung von DSB, ISB/CISO
  • Etablierung von Datenschutzschulungen für Mitarbeitende
  • Zuweisung von Ressourcen für den Datenschutz, z.B. beim Budget und Personal
  • Bereitstellung von Anweisungen für den Umgang mit Datenschutzpannen, Umsetzung von Abhilfemaßnahmen, Bearbeitung von eskalierenden Beschwerden.

Checkliste mit Fragen für ein DSMS

Richtlinie

  • Was sind personenbezogene Daten per definitionem?
  • Was ist der Zweck der Richtlinie?
  • Wie oft wird diese Richtlinie überprüft?

Personal

  • Wie ist die Zielgruppe der Richtlinie?
  • Für wen gilt die Richtlinie? Sind die Rollen und Verantwortlichkeiten klar und vollständig beschrieben?
  • Wer ist der Inhaber der Richtlinie?
  • Wer überprüft die Compliance und gibt die Richtlinie frei?

Verfahren

  • Wessen personenbezogene Daten werden verarbeitet?
  • Zu welchem Zweck werden die personenbezogenen Daten erhoben?
  • Welche Arten von personenbezogenen Daten werden verarbeitet (z.B. Name, Ausweisangaben, Geburtsdatum, Gesundheitsdaten)?
  • Wie werden Formulare, Rückmeldungen, Beschwerden und Anfragen behandelt?
  • An welche Drittorganisationen werden personenbezogene Daten gegebenenfalls weitergegeben?
  • Wie wird Datenschutz bei Drittanbietern sichergestellt?
  • Wie werden die Datenschutz- und Do-Not-Call-Bestimmungen des PDPA während des gesamten Datenlebenszyklus eingehalten?
  • Wie werden personenbezogene Daten geschützt?
  • Wie sollte man mit Datenschutzvorfällen und -verletzungen umgehen?
  • Wann und bei welchen Systemen oder Prozessen wird die DSFA durchgeführt?
  • Wie sind Ausnahmen laut Richtlinie zu handhaben?

Überprüfung der Datenschutzrichtlinien und -praktiken

Organisationen sollten ihre Richtlinien regelmäßig überprüfen, um Lücken zu schließen und Probleme rechtzeitig zu beheben. Dazu müssen die verantwortlichen Personen innerhalb der Organisation die Veränderungen innerhalb und außerhalb der Organisation überwachen, z.B. Änderungen von Vorschriften, Best Practices für DSMS, Datenschutzvorfälle, neue oder sich ändernde Prozesse usw. nachverfolgen.

Bei festgestellten Veränderungen müssen Organisationen ihre Datenschutzrichtlinien und -prozesse überarbeiten. Je nach auftretenden Ereignissen können die Richtlinien sofortige oder regelmäßige Aktualisierungen erfordern:

Ad-hoc-Änderungen: Größere Vorfälle (z.B. Datenlecks), Gesetzes- und Regelungsänderungen, größere Veränderungen innerhalb der Organisation (z.B. Umstrukturierung, Fusion oder Übernahme).

Regelmäßige Änderungen: Geringfügige Vorkommnisse (z.B. versehentlicher unbefugter Zugriff von Mitarbeitenden auf personenbezogene Daten), Überarbeitung von Prozessen oder Systemen mit minimalen Auswirkungen auf den Datenschutz (z.B. Änderung der Kontaktdaten von Datenschutzbeauftragten).

Kostenfreies Konto

Kontaktieren Sie uns, um einen unverbindlichen Testzugang zu erhalten

    Welche Standards interessieren Sie?

    Mit dem Setzen des Hakens akzeptiere ich die Datenschutzrichtlinien und stimme zu, weitere Informationen zu meiner Anfrage und zum Produkt "Compliance Aspekte" zu erhalten. Ich verstehe, dass ich die Compliance Aspekte Updates jederzeit abbestellen kann.