Aufbau und Nutzen eines Datenschutzmanagementsystems

Mit der Datenschutzgrundverordnung (DSGVO) sind umfassende Anforderungen rund um die Verarbeitung personenbezogener Daten definiert worden. Verantwortlich für die Umsetzung eines angemessenen Datenschutzniveaus ist die Unternehmensleitung und nicht – wie mancherorts auch heute noch erwartet – der Datenschutzbeauftragte. Letzter hat im Sinne der DSGVO neben der Beratung der Unternehmensleitung u.a. die Überwachung der eingerichteten Maßnahmen zur Einhaltung der DSGVO als Aufgabe.

Obwohl die Datenschutzgrundverordnung den Aufbau eines strukturierten Datenschutzmanagementsystems (DSMS) u.a. zur Erfüllung der Rechenschaftspflicht nahelegt, sind die konkreten Anforderungen an die Ausgestaltung eines solchen DSMS vom Gesetzgeber und den Aufsichtsbehörden bisher nicht weiter spezifiziert. Trotzdem ist der Aufbau eines DSMS ein lohnendes Investment, da gem. DSGVO die vom Unternehmen ergriffenen Maßnahmen bei der Sanktionierung angerechnet werden und somit ein wirksames Datenschutzmanagement neben Reputationsrisiken auch Bußgeldrisiken sowie die Eintrittswahrscheinlichkeit für Datenschutzverletzungen reduzieren kann.

Was ist ein Datenschutzmanagementsystem?

Das Datenschutzmanagementsystem ist neben anderen Managementsystemen (z.B. ISMS) Teil der Gesamtorganisation. Mit dem DSMS werden die Datenschutzgrundsätze und Einzelanforderungen aus DSGVO, BDSG und anderen Datenschutzgesetzen strukturiert zusammengeführt und in die Unternehmensorganisation überführt. Nachfolgend greifen wir als Referenzmodell auf die Definition eines Compliance-Managementsystems im Sinne des IDW PS 980 zurück.

Dementsprechend besteht das Datenschutzmanagementsystem aus den folgenden sieben Kernelementen:

Bei der inhaltlichen Ausgestaltung der sieben Kernelemente kann auf den ebenfalls vom IDW veröffentlichten Prüfungshinweis IDW PH 9.860.1 und die dort definierten Grundsätze, Verfahren und Maßnahmen zur Ausgestaltung der Datenschutzorganisation zurückgegriffen werden.

Welche Komponenten sind im DSMS zu berücksichtigen?

Grundlage eines erfolgreichen Managementsystems ist die gelebte Kultur, in diesem Fall der Umgang der Führungskräfte mit Datenschutzfragestellungen. Zudem sollten von der Unternehmensleitung eine Vision der zukünftigen Entwicklung sowie Ziele für die Datenschutzorganisation definiert und in der Datenschutzstrategie festgeschrieben werden.

Auf dieser Basis wird die Datenschutzorganisation bzw. das Governance-Modell zur Bestimmung der Rollen und Verantwortlichkeiten (Aufbauorganisation) sowie der Vorgaben und schriftlich-fixierten Ordnung entlang der klassischen Dokumentenpyramide (Ablauforganisation) aufgebaut. Abhängig von der Unternehmenssituation sollte in einem modernen DSMS die gesetzlich definierte Rolle des Datenschutzbeauftragten beispielsweise um einen zentralen Datenschutz-Manager sowie operative Datenschutzkoordinatoren ergänzen werden, um Datenschutz-Compliance ganzheitlich zu ermöglichen.

Ein adäquates Risikomanagement stellt die ressourcenschonende Implementierung und fortlaufende Identifikation und Bewertung von Risiken, die der Erreichung der definierten Ziele entgegen stehen können, sicher. Hierbei sind die Risiken in Bezug auf die eigene Strategieerreichung sowie für die Betroffenen zu berücksichtigen (z.B. Datenschutzfolgenabschätzung). Das Datenschutzprogramm beschreibt die Datenschutzkernprozesse (z.B. Verzeichnis der Verarbeitungstätigkeiten), die Prozesse zum Umgang mit Betroffenenrechten (z.B. Auskunft) sowie passende Kontrollen (z.B. 4-Augenprinzip) unter Berücksichtigung der unternehmensspezifischen Besonderheiten und Risiken aus Sicht der Verarbeitung personenbezogener Daten.

Wichtig für die wirksame Umsetzung sind eine zielgruppenorientierte Kommunikation sowie sinnvolle Awareness-Maßnahmen. Darüber hinaus erhöht ein aussagekräftiges Managementreporting inkl. Kennzahlen die Transparenz und bildet einen weiteren Baustein zur Erfüllung der Rechenschaftspflicht.

Ein Prozess zur kontinuierlichen Überwachung und Verbesserung sichert dem Unternehmen auch zukünftig eine aktuelle und zugeschnittene Datenschutzorganisation, die somit die digitale Transformation erfolgreich begleitet.

Wie kann die Funktionsfähigkeit eines DSMS nachgewiesen werden?

Aktuell gibt es eigentlich keine akkreditierten Zertifizierungslösungen im Sinne der DSGVO. Da die vorgestellten Referenzmodelle aber auf Prüfungsstandards des IDW basieren, ist auf dieser Basis eine Prüfung des aufgebauten DSMS durch einen sachverständigen Wirtschaftsprüfer möglich. Service-Dienstleister können zudem über die Berücksichtigung ihres datenschutzbezogenen IKS im Kontrollreporting gem. IDW PS 951 / ISAE 3402 nachdenken und entsprechende Kontrollziele und Kontrollen definieren, damit die Auftraggeber über die Angemessenheit und Wirksamkeit informiert werden und eigene Prüfungshandlungen vor Ort (z.B. im Rahmen der Überwachungstätigkeit bei Auftragsverarbeitung) entfallen können.

Was leistet PwC für Sie?

Als Sparringspartner werden wir Sie dabei unterstützen, das richtige Maß zwischen Vorgaben und Freiheitsgrad beim Aufbau ihres DSMS zu erreichen und bspw. soweit sinnvoll die Verzahnung mit dem ISMS herbeiführen. Nach unserer Erfahrung liegt die Schwierigkeit im Aufbau eines DSMS oft in der effizienten Ausgestaltung und in der unternehmensweiten Operationalisierung. Im Rahmen unserer Tätigkeit zeigen wir Ihnen deshalb auch Tool-basierte Lösungen (z.B. PwC Data Protection Manager) auf und definieren mit Ihnen die nötige Schulungs- und Awareness-Strategie.

Um den Status Quo zu erheben und möglichst ressourcenschonend auf den bestehenden Prozessen aufzusetzen empfiehlt sich die Durchführung einer Gap-Analyse. Mit unserem 5-stufigen Datenschutz-Health-Check helfen wir Ihnen bei der Identifizierung der notwendigen Maßnahmen, die zur Sicherstellung einer effektiven und zeitgemäßen Datenschutz-Compliance führen.

PwC verfügt als Netzwerk aus Wirtschaftsprüfungs- und Rechtsanwaltsgesellschaft über einen umfangreichen Erfahrungsschatz hinsichtlich der Identifikation datenschutzbezogener Risiken, der Begutachtung datenschutzrechtlicher Fragestellung sowie der Konzeption und Implementierung einer sachgerechten und wirksamen Datenschutzorganisation. Wir freuen uns auf den Austausch mit Ihnen.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */