Datenschutzmanagementsystem (DSMS) zur Prävention von Datenpannen

Ein Datenschutzmanagementsystem (DSMS) gewährleistet und protokolliert die Einhaltung des Datenschutzes in einem Unternehmen. Insbesondere die Befolgung der EU-Datenschutz-Grundverordnung (DSGVO) soll durch ein einheitliches System sichergestellt werden. Das Ziel ist es, speziell die Anforderungen der Rechenschafts- und Nachweispflichten gemäß DSGVO zu erfüllen.

Ein Datenschutzmanagementsystem (DSMS) bietet einen Rahmen, in dem Ziele definiert und daraus resultierend passende Werkzeuge zur Umsetzung ermittelt werden. Die einzelnen Maßnahmen zur Sicherung des Datenschutzes sollen Schutz und Sicherheit garantieren, Verstöße vermeiden und im Störfall für eine schnelle Wiederherstellung der Daten sorgen.

Generell unterliegt jeder, der personenbezogene Daten verarbeitet, den Rechenschafts- und Nachweispflichten gemäß DSGVO. Diese schreiben allen Unternehmen, die personenbezogene Daten verarbeiten, Folgendes vor:

• Sie müssen Rechenschaft ablegen können, dass die Vorgaben zur Verarbeitung personenbezogener Daten eingehalten werden (Art. 5 Abs. 2 DSGVO)
• Sie müssen nachweisen können, dass ihre Maßnahmen zu Datenschutz und Datensicherheit wirksam sind.

Für jedes Unternehmen, das diese Vorgaben umsetzen muss, ist daher ein Datenschutzmanagementsystem (DSMS) sinnvoll.

„Ich halte Datenschutz für eines der wichtigsten Themen des 21. Jahrhundert überhaupt. Wir brauchen eine Bill of Rights für das Digitale!”

Tim Cook

CEO Apple, 2018

Prinzipiell ist ein gut funktionierendes Datenschutzmanagementsystem (DSMS) das beste Werkzeug, um einer Datenpanne im Unternehmen vorzubeugen. Die Konsequenzen einer solchen Panne können gravierend sein: Es drohen finanzielle Schäden, Reputationsschäden oder rechtliche Folgen.

Welche Arten von Datenpannen es gibt, warum sie so gefährlich sind und was ein Unternehmen in diesem Fall beachten muss, lesen Sie in unserem Blogbeitrag Datenpanne in Unternehmen: Wie Sie mit DSGVO-konformen Maßnahmen Ihre Daten schützen.

Welche Vorteile bringt ein funktionierendes DSMS?

1. Rechtssicherheit: Durch die Gewährleistung eines effektiven Datenschutzes und die Nachweisbarkeit schützt das Managementsystem vor hohen Bußgeldern und Haftungsansprüchen. Sollte es dennoch zu einem Verstoß kommen, kann ein Datenschutzmanagementsystem (DSMS) die Bußgelder mindern.
2. Sicherheit für Kunden: Ein striktes Datenschutzmanagementsystem (DSMS) kann ein positiver Imagegewinn für ein Unternehmen sein, da das Thema Datenschutz für Kunden immer wichtiger wird.
3. Sicherheit der personenbezogenen Daten der eigenen Mitarbeitenden: Auch für die Mitarbeitenden erhöht ein Datenschutzmanagementsystem (DSMS) die Sicherheit ihrer Daten.
4. Effizientere Prozesse: Da der Datenschutz für die meisten Unternehmen nicht die Kernkompetenz darstellt, bringt ein automatisiertes Managementsystem Sicherheit und schafft Kapazitäten für das eigentliche Geschäft.

1. PLAN

Der erste Schritt stellt die Planungsphase für das Datenschutzmanagementsystem (DSMS) dar. Die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Standarddatenschutzmodell (SDM) [H5] entwickelt, das 7 Gewährleistungsziele formuliert:

• Verfügbarkeit
• Integrität
• Vertraulichkeit
• Transparenz
• Intervenierbarkeit
• Nicht-Verkettbarkeit
• Datenminimierung

Es geht nun darum, diese Ziele für das eigene Unternehmen zu konkretisieren, beispielweise durch Regeln und klare Rollenverteilungen. Ein weiterer wichtiger Punkt im Datenschutzmanagementsystem (DSMS) ist, zu klären, ob ein Datenschutzbeauftragter installiert werden soll. Insbesondere bei mittleren und größeren Unternehmen empfiehlt sich dieser Schritt. Grundsätzlich verantwortlich für den Datenschutz ist der Geschäftsführer bzw. Chef des Unternehmens. Die Aufgabe des Datenschutzbeauftragten ist es, den oder die Verantwortlichen zu beraten und zu kontrollieren.

Als nächster Schritt beim Aufbau eines Datenschutzmanagementsystem (DSMS) können die einzelnen Maßnahmen definiert werden. Dies kann durch den Datenschutzbeauftragten alleine geschehen oder in einem Team, das mehrere Kompetenzen vereint. Zu den Maßnahmen gehören:

• Technische Maßnahmen wie Firewalls, Systeme zur Daten-Verschlüsselung und regelmäßigen Software-Updates.
• Organisatorische Maßnahmen wie interne oder externe Schulungen für Mitarbeiter oder Zugangskontrollen zu sensiblen Firmenbereichen (beispielsweise Rechenzentrum oder IT-Zugänge).
• Notfallpläne und Reaktionsstrategien (für den Fall einer Datenpanne) wie ein „Incident Response Plan“, der Prozeduren, Schritte und Verantwortungsbereiche festlegt.

Zur Planungsphase gehört auch das Risikomanagement. Dabei werden die einzelnen Maßnahmen hinsichtlich des jeweiligen Risikos für den Datenschutz bewertet und gegebenenfalls priorisiert. 

2. DO

In dieser Phase des Datenschutzmanagementsystems (DSMS) geht es um die Umsetzung der definierten Maßnahmen. Laut Artikel 32 Absatz 1 (Sicherheit der Verarbeitung) der DSGVO sind dabei folgende Punkte zu beachten:

• „Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
• Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
• Das Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“

Quelle: Deutsche Bundesstiftung Datenschutz

Welche Bereiche im Unternehmen sind in einem Datenschutzmanagementsystem (DSMS) zu berücksichtigen?

Wir haben für Sie eine Checkliste erstellt, anhand derer Sie eine Übersicht über verschiedene Bereiche, in denen technisch-organisatorische Maßnahmen angesetzt werden können, erhalten. Je nach Unternehmen variieren diese, sodass nicht zwangsläufig in jedem Bereich Maßnahmen zu ergreifen sind. Diese Checkliste richtet sich insbesondere an kleine und mittlere Unternehmen, die ein wirkungsvolles Datenschutzmanagementsystems (DSMS) aufbauen oder ein bestehendes modifizieren möchten.

3. CHECK

Nach erfolgter Umsetzung der Maßnahmen im Rahmen des Datenschutzmanagementsystems (DSMS) erfolgt die Überprüfung, ob die in der Planungsphase gesetzten Ziele erreicht sind. Dabei wird untersucht, wie sicher und zuverlässig das System in der Praxis arbeitet. Für diese Analyse können Audits (intern oder extern) eingesetzt werden. In diesem Zuge wird ebenfalls eine Überprüfung der Konformität zur DSGVO und zu eigenen Vorgaben und Regelwerken vorgenommen. Ebenso erfolgt eine Bewertung von Kennzahlen zur Leistung des Datenschutzmanagementsystems (DSMS). Einmal jährlich sollte eine solche Überprüfung stattfinden. Dies ist wichtig, um die weitere Entwicklung des Managementsystems bewerten zu können.

4. ACT

Die Ergebnisse der Untersuchung des Datenschutzmanagementsystems (DSMS) sollten im nächsten Schritt dazu verwendet werden, um gegebenenfalls korrigierend einzugreifen. Bei Abweichungen von den definierten Zielen sollten einzelnen Maßnahmen modifiziert werden. Ebenfalls kann über eine Veränderung von Zielen nachgedacht werden, sollten sich diese als nicht umsetzbar oder für den Datenschutz als nicht wirkungsvoll genug erweisen.

Da es sich beim Plan-Do-Check-Act (PDCA) Verfahren um einen Kreis handelt, beginnt der Zyklus nach Abschluss der verbesserten Planung nun wieder von Neuem. Idealerweise handelt es sich somit um ein kontinuierliches System zur Verbesserung des Niveaus des jeweiligen Datenschutzmanagementsystems (DSMS).

Aktuell gibt es keine gesetzlichen Vorgaben für ein Datenschutzmanagementsystem (DSMS). Jedoch bewegen sich Unternehmen immer im Rahmen rechtlicher Vorschriften wie dem Bundesdatenschutzgesetz (BDSG) und der europäischen Datenschutz-Grundverordnung (DSGVO). Für die Umsetzung dieser Vorgaben in der Praxis sind die jeweiligen Unternehmen eigenverantwortlich.

Sollte es trotz aller Bemühungen um ein effektives Datenschutzmanagementsystem (DSMS) dennoch zu einer Datenpanne kommen, ist es entscheidend, eine Versicherung abgeschlossen zu haben, die die finanziellen Konsequenzen zielgenau und nachhaltig absichert. Achten Sie darauf, dass 

• Datenschutzverstöße,
• Verletzungen von Geheimhaltungspflichten,
• Kosten für Rechtsstreitigkeiten und eine 
• automatische Vertrauensschaden-Versicherung

mitversichert sind.

Die auf dieser Website enthaltenen Angaben basieren auf Marktrecherchen und wurden sorgfältig ausgearbeitet. Sie stellen keine Rechtsberatung dar und können eine solche nicht ersetzen, sondern dienen lediglich der allgemeinen Information. Es besteht keine Gewähr auf Richtigkeit, Vollständigkeit und Aktualität. Bei enthaltenen Links handelt es sich stets um dynamische Verweisungen, deren Inhalte wir nicht ständig prüfen können. Wir übernehmen daher keine Haftung. Stand: Oktober 2024