Datenschutzmanagement

Unterstützung bei der Einführung eines Datenschutzmanagment System

Wofür und warum Datenschutzmanagment?

Eine zentrale Anforderung der Datenschutz-Grundverordnung ist die Einführung eines unternehmensinternen Datenschutzmanagementsystems. Die Forderung eines Datenschutzmanagements lässt sich indirekt den Art. 24-31, 35, 36 DSGVO entnehmen. Auch wenn es  nicht explizit gefordert ist, ist kaum vorstellbar, dass die Anforderungen auf andere Weise wirksam erfüllt werden könnten. Das Datenschutzmanagementsystem stellt grundsätzlich gesagt sicher, dass das Unternehmen oder die soziale Einrichtung die datenschutzrechtlichen, vertraglichen und sonstigen Anforderungen mit Bezug zum Datenschutz einhält und dokumentiert. Datenschutz besteht aus einer Vielzahl von einzelnen Anforderungen, die es umzusetzen gilt. Eine Übersicht finden Sie weiter unten.

Was man unter einem Datenschutzmanagment versteht, ist darüber hinaus etwas schwierig zu erklären. In der Regel hilft der Blick auf die ISO 27001, welche ein Managementsystem für die Informationssicherheit bescheibt, mit der die Unternehmen in der Regel schon länger Erfahrungen gesammelt haben. Ein Managementsystem ist nach ISO 27000 ein Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken, Ziele und Prozesse zum erreichen dieser Ziele festzulegen. Mittlerweile gibt es mit der ISO/IEC 27701:2019-08 "Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“ eine ISO Norm zum Datenschutzmanagment, für die man sich jedoch nicht eigenständig zertifizieren kann.

Für den Bereich der Krankenhäuser haben der Bayerische Landesbeauftragte für den Datenschutz und das Bayerisches Landesamt für Datenschutzaufsicht einen "Leitfaden Anforderungen an das Datenschutzmanagement in bayerischen öffentlichen und privaten Krankenhäusern" (Stand: März 2018) herausgegeben, der auch die Anforderungn in dieser Hinsicht deutlich macht, die die Aufsichtsbehörde haben.  "Öffentliche wie private Krankenhäuser sollten deshalb ein Datenschutzmanagement einrichten, aus dem heraus alle Fragen des Datenschutzes schnell und umfassend behandelt werden können." heißt des dort. 

Was sollte in einem Datenschutzmanagmentsystem geregelt werden?

Der Verantwortliche muss faktisch belegen können, dass er die Vorschriften der DSGVO eingehalten hat (vgl. z.B. Art. 5 Abs. 2). Ist er nicht in der Lage das konforme Handeln zu belegen, liegt bereits ein bußgeldbewehrter Verstoß gegen die DSGVO vor! Die aus Art. 5 Abs. 2 und 24 Abs. 1 DSGVO erwachsenden Pflichten sind nach Literaturmeinungen nur ganzheitlich durch die Einführung eines Datenschutzmanagementsystems  abbildbar und kontrollierbar.

Dieses sollte insbesondere die folgenden Aspekte berücksichtigen:

• ——Rechtsgrundlagen der Datenverarbeitungsvorgänge dokumentieren
• —Risikobasierte Betrachtung
• —Die Einhaltung der Datenschutzvorschriften dokumentieren
• —Die Einhaltung der Informations- und Meldepflichten sicherstellen
• Die Umsetzung der Betroffenenrechte in den vorgeschriebenen Fristen gewährleisten
• —Die sorgfältige Auswahl von Dienstleistern unterstützen
• —Die technischen und organisatorischen (Sicherheits-)Maßnahmen konzipieren und ihre Umsetzung überwachen
• Die Einhaltung aller gesetzlicher Datenschutzvorschriften und betrieblichen Regelungen kontrollieren

Erforderlich ist dies, da wir mit der DSGVO insgesamt eine stärkere Prozessorientierung bekommen haben. Diese wirkt sich aus auf die datenschutzkonforme Verarbeitung, die Sicherstellung der Betroffenenrechte und die Handhabung von Datenschutzverletzungen / Datenpannen sowie dem Management von Dienstleistern.

Besondere Bedeutung bekommt hier insbesondere auch der Festlegung der Zuständigkeiten im UNternehmern für die Durchführung und regelmäßige Kontrolle der Datenschutzaufgaben sowie der Umgang mit Incidents.

Grundsätzlich kann man die folgenden Rollen in einer Datenschutzorganisation definieren:

• Geschäftsleitung
• Datenschutzbeauftragter
• Datenschutzberater
• Datenschutzmanager
• Datenschutzexperten
• Datenschutzkoordinatoren
• Datenschutzauditoren
• Mitarbeiter
   

Meistens regelt man die wesentlichen Aspekte des Dateschutzmanagmentsystems in einer Datenschutzrichtlinie oder einem Datenschutzkonzept. Manche bezeichnen dies wohl auch als Privacy Plan, aus den klassischen Managementsystemen ist uns dieser Begriff jedoch nicht bekannt.

Übersicht der DSGVO Anforderungen

Wie helfen wir Ihnen bei der Einführung Ihres Datenschutzmanagmentsystems!

Wir haben entsprechende Organisationsrichtlinien und Arbeitsanweisungen vorbereitet, die mit geringeren Aufwand übernommen werden können und unterstützen Sie bei der Implementierung der beschriebenen Prozesse in Ihrer individuellen Prozesslandschaft. Die Einführung eines Datenschutzmanagmentsystems ist ein zentraler Punkt für die Umsetzung des Datenschutzes und bei der Gewährleistung von Corporate Governance in diesem Bereich, auch wenn es oft das "unbekannte Wesen" für die Entscheider ist.

Sie brauchen hierbei ein intensivere Unterstützung? Kein Problem, wir übernehmen auch gerne die Projektplanung und - verfolgung für Sie.