Im Rahmen der DSGVO-Einführung taucht immer wieder der Begriff eines Datenschutzmanagementsystems auf. Einige Kunden haben dabei das Gefühl, es handele sich um eine Software, andere nicken nur und sagen „Das kenn ich.“ Den meisten versuche ich das aber zu erklären, denn neu ist so etwas nicht.
Ach ja, interessant wird es schon, wenn man die vielen Schreibvarianten dieses Wortes betrachtet:
- Datenschutzmanagement-System
- Datenschutz-Managementsystem
- Datenschutzmanagementsystem
Hinzu kommen die Abkürzungsvarianten. Bei meiner Recherche in den Tiefen der deutschen Rechtschreibung bin ich dann zu dem Schluß gekommen, dass es sich um eine Aneinanderreihung von zwei Hauptwörtern handelt (Datenschutz und Managementsystem), die lt. Duden immer zusammengeschrieben werden. OK, ich hoffe das stimmt. Um das Ganze zu vereinfachen und zu verkürzen benutze ich für das Wort Datenschutzmanagementsystem häufig auch die Abkürzung DSMS (damit bin ich fein raus).
Was ist ein Managementsystem
Im Kern ist ein Managementsystem die Beschreibung einer Vorgehensweise, deren Messung und Verbesserung zur Erreichung eines i.d.R. unternehmerischen Ziels. Bekannt sind sicher die Systeme ISO 9001 (Qualitätsmanagement) oder ISO 27001 (Informationssicherheit). Im Kern zeichnet diese Systeme dadurch folgende Bestandteile aus:
- Organsationsbschreibung
- Richtlinien
- Verfahren
- Metriken (zur Messung)
- Dokumentationspflichten
- und häufig auch Verbesserungsverfahren bestehen, wobei sich diese fast immer auf einen Deming Cycle (oder auch PDCA-Cycle) beziehen.
Das Managemtsystem ist sozugaben Ihr Steuercockpit, mit dem Sie den Datenschutz zu Ihrem Ziel fliegen.
Wo steht, dass man das für die DSGVO braucht
In der DSGVO steht nicht explizit, dass ein Managementsystem einzuführen ist, aber die DSGVO deutet diesen Bedarf klar an.
Unter Artikel 5 Abs. 2 steht, dass der Verantwortliche die Einhaltung der Kernpflichten der DSGVO (Artikel 5, Abs. 1 ) nachweisen muss. (Rechenschaftspflicht). Wie soll das funktionieren, wenn hier nichts dokumentiert wird. Desweiteren fordert die DSGVO die Etablierung von Prozessen, z.B. zur Information von Aufsichtsbehörden (Artikel 33) oder auch zur Datenschutzfolgenabschätzung (Artikel 35). Es versteht sich von selbst, dass auch die Betroffenenrechte unter Abschnitt 2 der DeSGVO damit gemeint sind.
Und darüber hinaus fordert die DSGVO unter Artikel 5, Absatz 1 f) geeignete technische und organisatorische Maßnahmen. Insbesondere diese lassen sich am Besten über Richtlinien definieren und verpflichtend umsetzen. Ebenfalls sind mit dem Verantwortlichen (i.d.R. die Geschäftsführung), dem Datenschutzbeauftragten sowie der Aufsichtsbehörde nicht nur Rollen, sondern auch deren Aufgaben spezifiziert und damit klare organisatorische Festlegungen.
Damit ist der Kern eines Managementsystems bereits als Anspruch definiert, so dass es Sinn macht, dieses auch so zu bezeichnen und hierzu Erfahrungen anderer Systeme zu verwenden.
Was braucht man für ein Datenschutzmanagementsystem?
Ich empfehle, grunsätzlich folgende Inforationen zu dokumentieren:
- Datenschutzorganisation (wer spielt mit und macht hier was = Rollendefinition)
- Datenschutzrichtlinien (bisher auch Datenschutzhandbuch für Mitarbeiter, in denen Verhaltensweisen und Sanktionen festgelegt sind)
- Prozesse zum Datenschutz (dazu gehören die internen Prozesse zur Kanalisierung der Anfragen an die verantwortlichen Rollen) sowie die in der DSGVO spezifizierten Pflichten wie Auskunft,-Änderungensrechte, Informationfplichten, Übertragungsrechte, etc.)
Bzgl. der Messbarkeit empfehle ich
- eine Datenklassifikation für alle Daten zu etablieren,
- eine Risikoabschätzung für die Daten zu implementieren,
- die Zahl der Anfragen, Berabeitungen, etc.
als wesentliche KPIs zu verwenden. Und bzgl. Dokumentation sollten alle Anfragen zu diesen Themen systematisch erfasst und abgelegt werden. Dazu gehören die kontinuierliche Verbesserung von Dokumenten, eine Versionshistorie in Dokumenten sowie Meetings mit Protokollen. Gehen Sie immer davon aus, dass ein Dritter nachlesen möchte, was der Status ist und wie Sie das erreicht haben.
Und da die Informationssicherheit, auf die in der DSGVO immer wieder verwiesen bzw. deren Schutzziele Teil der DSGVO Schutzziele sind, empfiehlt sich mal einen Blick in ein solches Managementsystem zu werfen. Hier bietet sich z.B. eine kleine Norm wie die VdS3473 an, die man direkt mit implemntieren kann. Damit kann man dann auch Datenklassifikation und Risikoabschätzung für beides nutzen.
Bzgl. kontinuierlicher Verbesserung kann man sich an die Verfahren einer ISO 9001 Norm anschließen oder man beschreibt das Ganze selber. Dazu muss man zyklisch Meetings vorsehen, in denen über den Status (siehe auch Messbarkeit) berichtet und Maßnahmen abgeleitet weden. Natürlich alles dokumentiert und gemonitored.