Warum ist die Notwendigkeit eines Datenschutz-Managementsystems so wichtig? Die DS-GVO stellt insbesondere im Kapitel IV (Artikel 24-36) hohe Anforderungen an die Pflichten des Verantwortlichen. Die Einhaltung, Dokumentation und Nachkontrolle dieser Pflichten ist unabdingbar, um ein betriebliches Organisationsverschulden zu vermeiden.
In einer genauen Definition heißt es hier: „Datenschutzmanagement ist eine Methode, um die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch zu planen, zu organisieren, zu steuern und zu kontrollieren.“
Hinzu kommt der Artikel 5, der die datenschutzrechtlichen Grundsätze bestimmt und deren Einhaltung mitsamt Nachweis fordert.
Durch die hohen Bußgelder (Artikel 84) und das erweiterte Recht der betroffenen Personen auf Schadenersatz (Artikel 82) können diese Pflichten nicht einfach ignoriert werden.
Daraus folgt: Der Betrieb eines Managementsystems für den Bereich „Datenschutz“ ist unabdingbar.
Bewährte Beispiele für solche Managementsysteme sind
- Qualitätsmanagement (DIN EN ISO 9001)
- Umweltmanagement (DIN EN ISO 14001)
- Arbeits- und Gesundheitsschutz (DIN EN ISO 45001)
- Informationssicherheit (DIN ISO/IEC 27001)
In Anlehnung an bestehende Qualitäts-Managementsysteme ist gefordert:
1. ein iterativer Problemlösungsprozess, der eine
2. regelmäßige Überprüfung der Einhaltung und eine
3. nachhaltige und effiziente Umsetzung der Pflichten ermöglicht.
Das Datenschutzmanagementsystem stellt die planmäßige Umsetzung datenschutzrechtlicher Grundsätze (gemäß Artikel 24) bei der Datenverarbeitung personenbezogener Daten sicher. Innerhalb des Datenschutzmanagements sind Prozesse zu definieren und regelmäßig auf ihre Wirksamkeit zu überprüfen, welche die Pflichten der für die Verarbeitung Verantwortlichen als interne Vorgabe der Organisation festschreiben.
In der praktischen Umsetzung bedeutet, dass:
1. Die Verantwortliche Stelle erhält die Möglichkeit den Datenschutz zu prüfen und alle datenschutzrelevanten Prozesse ständig zu verbessern (Dokumentation)
2. Die Verantwortlichkeiten und Strukturen zur Einhaltung werden festgelegt und dokumentiert (Organisation der Ressourcen)
3. Das zu erreichende Datenschutz Niveau wird definiert (Inhalte, Zieldefinition, Anweisungen, Berichte zum Datenschutz, Vorfalls Meldung, Prozessdefinition)
4. Anforderungen durch Aufsichtsbehörden, Verträgen und internen Regelungen werden nachvollziehbar erfüllt. (Verarbeitungsverzeichnis, Auskunftspflicht, Risiko Analyse, AV Verträge, TOM´s, Aufbewahrungspflichten)
5. Prozesse etablieren, zur fortwährenden Überprüfung der Wirksamkeit auf Basis für interne oder externe Audits (Regelmäßige Überprüfung, Änderungen, Beschwerden, Verbesserungen)
------------------------------------------------------------------------
„Copyright: Bitte beachten Sie das Urheberrecht dieses Blog-Beitrags. Sie sind nicht befugt den Wortlaut für eigene Publikationen zu nutzen. Das Urheberrecht der Original- Inhalte liegt bei DSB-MIT-SYSTEM®, im Rahmen des Datenschutz-Praxisleitfadens PrivazyPlan®.“
