Was ist ein Datenschutzmanagementsystem?
Unter einem Datenschutzmanagementsystem (DSMS) wird ein System verstanden, dass die Einhaltung der datenschutzrechtlichen Anforderungen sichert und dokumentiert.
Zugleich dient es als Methode, um die datenschutzrechtlichen Anforderungen systematisch planen, organisieren, steuern und kontrollieren zu können.
Wer braucht das?
Alle datenschutzrechtlich Verantwortlichen sind verpflichtet die Einhaltung einer datenschutzkonformen Arbeitsweise nachzuweisen und dies teilweise auch zu dokumentieren.
Zwar ergibt sich aus der DSGVO selbst nicht, dass Verantwortliche ein DSMS führen müssen. Gleichwohl stehen Verantwortliche nach Art. 5 Abs. 2 DSGVO in der Pflicht, die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten, welche sich aus Art. 5 Abs. 1 DSGVO ergeben, nachweisen zu können (sog. Rechenschaftspflicht bzw. „Accountability“).
Daraus ergibt sich, dass alle Verantwortlichen ihr datenschutzkonformes Arbeiten nachweisen können müssen.
Weiter verdeutlicht wird die Rechenschaftspflicht durch Art. 24 Abs. 1 DSGVO. Danach müssen Verantwortliche für ihre Verarbeitungen angemessene und geeignete technische und organisatorische Maßnahmen (TOM) umsetzen, um den Nachweis für die Sicherstellung einer der DSGVO entsprechenden Verarbeitung erbringen zu können.
Neben diesen teils umfangreichen Rechenschaftspflichten und Nachweispflichten ergibt sich die Notwendigkeit eines DSMS auch aus den Dokumentationspflichten.
Explizite Dokumentationspflichten werden in Art. 30 Abs. 4 DSGVO für Verzeichnisse von Verarbeitungstätigkeiten und in Art. 33 Abs. 5 DSGVO für Verletzungen des Schutzes personenbezogener Daten konkretisiert. Das Verzeichnis der Verarbeitungstätigkeiten muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Die Verletzung des Schutzes personenbezogener Daten muss einschließlich aller damit zusammenhängenden Fakten, der Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentiert werden.
Welche Inhalte sollte ein DSMS haben?
Neben den zwingenden Inhalten hängt es von der Art der Datenverarbeitungen ab, wie umfangreich ein für die jeweilige Organisation angemessenes DSMS aufgebaut sein sollte.
Ein DSMS könnte beispielsweise die folgenden Kategorien enthalten:
- Meldung des Datenschutzbeauftragten
- Verzeichnis der Verarbeitungstätigkeiten (VVT)
- Auftragsverarbeitung (AV-Verträge)
- Drittlandübermittlung
- Informationspflichten
- Technische und organisatorische Maßnahmen (TOM)
- Datenschutz-Folgenabschätzung (DSFA)
- Management von Datenauskunftsanträgen
- Management von Datenlöschanträgen
- Notfallplan
- Dokumentation von Datenschutzvorfällen
- Nachweis über Mitarbeiterschulungen
Ist damit alles getan?
Das DSMS entwickelt sich stets weiter und ist somit nie „fertig“. Damit unterliegt es, wie Management-Systeme aus anderen Disziplinen auch, einem kontinuierlichen Verbesserungsprozess. Für die TOM folgt dies aus Art. 24 Abs. 1 Satz 2 DSGVO. Danach werden diese erforderlichenfalls überprüft und aktualisiert. Die Marschrichtung folgt damit dem PDCA-Zyklus: plan, do, check, act.
Fazit
Zahlreiche Anforderungen sowie umfangreiche Rechenschafts- und Dokumentationspflichten machen ein geordnetes Vorgehen und damit ein DSMS schon aus Gründen der Übersichtlichkeit für alle Verantwortlichen letztlich unumgänglich.
Ein großer Vorteil ist, dass die Einhaltung datenschutzrechtlicher Pflichten mit dem DSMS besser nachweisbar wird.