Was ist ein Datenschutzmanagementsystem?
Seit dem Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) taucht der Begriff „Datenschutzmanagementsystem“ (DSMS) in Publikationen und in Gesprächen zwischen Datenschützern immer häufiger auf. Allerdings ist der Begriff keine Erfindung, die erst seit Mai 2018 existiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verwendet diesen Begriff in seinen IT-Grundschutzkatalogen schon lange vor der DS-GVO-Ära. Nach der Definition des BSI werden mit einem Datenschutzmanagement die Prozesse bezeichnet, die notwendig sind, um die Umsetzung der rechtlichen Anforderungen des Datenschutzes sicherzustellen. Dabei bezieht das BSI den gesamten Lebenszyklus der Verarbeitung von personenbezogenen Daten und den verwendeten Datenverarbeitungssystemen, also die Planung, die Einrichtung, den Betrieb und auch Außerbetriebnahme mit ein.
Managementsysteme bezeichnen im Allgemeinen miteinander verbundene Prozesse, um systematisch die Ziele oder Vorgaben der jeweiligen Organisation zu erreichen. Bekannte Managementsysteme, denen internationale Normen zugrunde liegen, sind das Qualitätsmanagement nach ISO 9001 oder das Informationssicherheitsmanagement im Sinne der ISO 27001.
Datenschutzmanagementsystem – die Umsetzung
Das Datenschutzmanagement und dessen Umsetzung hat durch die DS-GVO einen erhöhten Stellenwert bekommen. An verschiedenen Stellen der DS-GVO werden Vorgaben gemacht, die durch Prozesse umgesetzt werden müssen.
Sehr deutlich wird das in Art. 24 DS-GVO. Danach muss der Verantwortliche technische und organisatorische Maßnahmen umsetzen, die sicherstellen und dazu geeignet sind, den Nachweis zu erbringen, dass die Verarbeitung von personenbezogenen Daten den Anforderungen der DS-GVO entspricht. Die technischen und organisatorischen Maßnahmen, um die es sich hier handelt, sind nicht mit den Maßnahmen zur Sicherheit der Verarbeitung im Sinne des Art. 32 DS-GVO gleichzusetzen. Vielmehr sind es Maßnahmen, um den Anforderungen der DS-GVO insgesamt gerecht zu werden.
Hierzu gehören auch die Grundsätze für die Verarbeitung von personenbezogenen Daten nach Art. 5 DS-GVO. Danach gehören unter anderem die Aspekte Rechtmäßigkeit, Zweckbindung und Speicherbegrenzung zu den allgemeinen Anforderungen, die es einzuhalten gilt und über die Rechenschaft abzulegen ist. Dazu bedarf es Vorgaben im Unternehmen, zum Beispiel eines Prozesses zum Löschen von personenbezogenen Daten.
Aber auch weitere Vorgaben der DS-GVO sind in Form von Prozessen abzubilden. So sind die Anforderungen und die Fristen, die sich aus den Betroffenenrechten ergeben typischerweise nur einzuhalten, wenn bereits Prozesse existieren, in denen die Aktivitäten und Verantwortlichkeiten festgeschrieben sind. Um zum Beispiel die Frist von vier Wochen bei dem Recht auf Auskunft nach Art. 15 DS-GVO einzuhalten, muss bereits vor der ersten Anfrage klar sein, in welchen Systemen welche Daten gespeichert sind, wer die Daten aufbereitet, wie und durch wen die Auskunft erteilt wird. Vielleicht kann man die Anforderung innerhalb der Frist einhalten, wenn sporadische Anfragen von betroffenen Personen erfolgen. Spätestens wenn regelmäßige Auskunftsersuche gestellt werden muss der Prozess definiert sein.
Überprüfung der Umsetzung
Die Maßnahmen nach Art. 24 DS-GVO müssen regelmäßig überprüft und aktualisiert werden. Damit folgt die DS-GVO einer zentralen Anforderung an ein Prozessmanagement, der stetigen oder kontinuierlichen Verbesserung. Managementsysteme und besonders die Managementsysteme aus den ISO-Familien tragen die Idee der stetigen Verbesserung schon in ihrem Aufbau. Dem zugrunde liegt ein Prozessoptimierungsmodell, dass auf die Idee von William Edwards Deming zurückgeht und auch als PDCA-Modell oder PDCA-Zyklus bekannt ist. PDCA steht als Akronym für die Begriffe Plan – Do – Check – Act. Durch den regelmäßigen Durchlauf dieser vier Zyklen Plan – Planen, Do – Ausführen, Check – Messen, Act – Anpassen, erreicht man eine kontinuierliche Verbesserung eines Systems und der zugrundeliegenden Prozesse und Abläufe.
Diese Idee der kontinuierlichen Verbesserung kommt deutlich bei Art. 32 DS-GVO, der Sicherheit der Verarbeitung zum Tragen. Danach ist ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (TOMs) zur Gewährleistung der Sicherheit der Verarbeitung zu etablieren. Das bedeutet, dass die Maßnahmen, die etabliert worden sind, regelmäßig hinsichtlich ihrer Angemessenheit zu bewerten sind und gegebenenfalls Anpassungen und Verbesserungen vorzunehmen sind. Grundlage für den Prozess „Sicherheit in der Verarbeitung“ kann die ISO 31000 liefern. Die ISO 31000:2018 ist eine ISO-Norm, die sich mit dem Risikomanagement beschäftigt. Mit dem strukturierten Vorgehen nach der ISO 31000 können auch die Risiken und der Umgang mit diesen Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen behandelt werden.
Auch weitere Prozesse, die Bestandteil des Datenschutzmanagementsystems sein sollen sind diesem Zyklus unterworfen.
Die Auswahl eines Auftragsverarbeiters nach Art. 28 DS-GVO soll aufgrund von hinreichenden Garantien des Dienstleisters erfolgen. Dazu gehören wiederum Garantien zur Sicherheit der Verarbeitung und Garantien dafür, dass die Verarbeitung beim Dienstleister den Anforderungen der DS-GVO entspricht. Diese Vorgaben sind beim Dienstleister regelmäßig zu überprüfen. Diese Überprüfung kann in Form von Audits vor Ort bei dem jeweiligen Dienstleister erfolgen. Dazu ist es notwendig, einen Prozess zu definieren. Vorgaben, wie der Prozess zur Auditierung vorgenommen werden kann, bietet die internationale Norm ISO 19011, die einen Leitfaden für die Auditierung von Managementsystemen liefert.
Die Dokumentation der Verarbeitungstätigkeiten nach Art. 30 DS-GVO muss regelmäßig überprüft werden. Dazu ist es auch hier sinnvoll, einen Prozess zu definieren, der die Aufgaben beschreibt und festlegt, wer für die Umsetzung der Aufgaben verantwortlich ist.
Je nach Definition und Betrachtung kann man zwischen 20 oder 30 Prozesse innerhalb eines Datenschutzmanagementsystems definieren, wobei die Zahlen keine verbindliche Vorgabe darstellen.
Phasen bei der Erstellung von Prozessen
Insgesamt können die Abläufe bei der Erstellung von Prozessen innerhalb eines Datenschutzmanagementsystems in folgende Phasen eingeteilt werden:
- Verantwortlichkeiten definieren
Identifizierung beziehungsweise Festlegung der am Prozess beteiligten in- und externen Funktionen und Stellen inklusive deren Verantwortlichkeiten im Prozess. Die Verantwortlichkeiten innerhalb der Prozesse können gut über eine sogenannte RACI-Matrix abgebildet werden.
RACI steht für:
- R – Responsible – verantwortlich (Durchführungsverantwortung), zuständig für die eigentliche Durchführung. Die Person, die die Initiative für die Durchführung (durch Andere) gibt oder die die Aktivität selbst durchführt.
- A – Accountable – rechenschaftspflichtig (Kostenverantwortung), verantwortlich im Sinne von „genehmigen“, „billigen“ oder „unterschreiben“. Die Person, die im rechtlichen oder kaufmännischen Sinne die Verantwortung trägt. Wird auch als Verantwortung aus Kostenstellensicht interpretiert.
- C – Consulted – konsultiert. Eine Person, die nicht direkt an der Umsetzung beteiligt ist, aber relevante Informationen für die Umsetzung hat und deshalb befragt werden soll oder muss.
- I – Informed – zu informieren (Informationsrecht). Eine Person, die Informationen über den Verlauf beziehungsweise das Ergebnis der Tätigkeit erhält oder die Berechtigung besitzt, Auskunft zu erhalten.
- Schnittstellen identifizieren
Identifizierung der ein- und ausgehenden Schnittstellen in andere Geschäftsprozesse / Managementsysteme. Häufig bedient sich ein Prozess von Informationen aus anderen Prozessen oder startet erst, wenn eine Bedingung aus einem anderen Prozess erfüllt ist.
- Schnittstellen beschreiben
Beschreibung der Schnittstellen in Bezug auf die logischen Abhängigkeiten, die auszutauschenden Daten inklusive Format und Technik des Austauschs und den jeweiligen Auslöser für die Bedienung der Schnittstelle.
- Prozess-Hilfsmittel (Vorlagen/Checklisten)
Erstellung beziehungsweise Anpassung der Vorlagen und Arbeitshilfen, wie zum Beispiel Erfassungsformulare.
- Kennzahlen definieren
Definition und Abstimmung der Indikatoren zur Messung der Prozessqualität mit Fachbereichen und Verantwortlichen. Jeder Prozess muss ein messbares Ergebnis liefern, das Grundlage für die Bewertung und Identifizierung von Verbesserungen ist.
- Messverfahren für jede Kennzahl definieren
Definition der Verfahren zur Erfassung und Messung der Istwerte der Indikatoren. Die festgelegten Kennzahlen müssen regelmäßig gemessen werden.
- Sollwerte für jede Kennzahl definieren
Definition der Sollwerte zur Beurteilung der Prozessqualität. Jeder Prozess muss nach vorab definierten Kriterien bewertet und gegebenenfalls angepasst werden.
- Prozessbeschreibung erstellen
Erstellung und Abstimmung der Verschriftlichung des Prozesses. Jeder Prozess muss dokumentiert sein. So kann die Information einfach allen beteiligten beziehungsweise interessierten Parteien zur Verfügung gestellt werden.
Fazit
Insgesamt lässt sich festhalten, dass die Einführung eines DSMS nicht nur sinnvoll ist, um den gesetzlichen Anforderungen der DS-GVO gerecht zu werden. Vielmehr dient ein Datenschutzmanagementsystem auch dazu, das Datenschutzniveau im Unternehmen insgesamt zu erhöhen.
Abgesehen von der Erfüllung der gesetzlichen Vorgaben der DS-GVO und der damit einhergehenden Prophylaxe gegen Bußgelder, wird so auch gegenüber Kunden, Lieferanten und auch den eigenen Mitarbeitern gezeigt, dass sich ein Unternehmen ernsthaft mit dem Schutz der Rechte und der Freiheiten der jeweils Betroffenen und mit dem Schutz der personenbezogenen Daten an sich beschäftigt. Die Implementierung eines funktionierenden DSMS dürfte dabei weitaus größere Strahlkraft haben, als ein bloßes Bekenntnis auf der Internetseite im Rahmen der Datenschutzerklärung.
Sie wollen ein Datenschutzmanagementsystem einführen? Welche fünf Fehler dabei vermieden werden sollten, erfahren Sie in unserem Podcast.
Zum Autor:
Markus Zechel ist seit 2004 Berater für Datenschutz und Informationssicherheit. Nach seiner Tätigkeit als selbstständiger Berater ist er seit 2011 Managing Consultant der Firma migosens GmbH. Zu den Aufgaben von Herrn Zechel gehören u.a. die Beratung, Betreuung und Schulung zu den Themen Datenschutz und Informationssicherheit, sowie die Übernahme der Funktion des externen Datenschutzbeauftragten oder des externen Informationssicherheitsbeauftragten.
