Der Begriff DSMS steht für Datenschutz Managementsystem. Davon haben Sie vielleicht schon einmal etwas gelesen oder gehört. Zumindest wenn Sie sich mit Datenschutz und Maßnahmen der DSGVO beschäftigt haben.
Ein DSMS ist keine Software die Sie installieren sollen. Bei einem DSMS geht es um das Management von Datenschutz im Unternehmen. Oder besser gesagt das Zusammenspiel der Maßnahmen, mit denen Sie die Sicherheit der Verarbeitung gewährleisten. Das ganze systematisch, also mit System zur
- Nachweisbarkeit / Rechenschaft
- Kontrolle
- Verbesserung
Ihrer getroffenen Maßnahmen im Datenschutz.
Eigentlich handelt es sich bei einem DSMS um ein dokumentiertes Vorgehen mit dem Sie Abläufe und Prozesse im Unternehmen planen, umsetzen, prüfen und verbessern.
Wer sich im Qualitätsmanagement etwas auskennt erkennt hier Parallelen.
In der DSGVO ist zwar keine direkte Forderung (in Worten) nach einem Managementsystem vorhanden, aber die allgemeinen Vorgaben können Sie nur mit einem Datenschutz Managementsystem umsetzen.
Konkret geht es um:
- Verantwortlichkeiten
- Zuständigkeiten
- Verhaltensweisen
- Nachweise
- ständige Überprüfungen
- Verbesserung
…und das geregelte Zusammenspiel all dessen.
Datenschutzmanagement in der DSGVO
Auf der Suche nach Datenschutzmanagement in der DSGVO, sehen Sie sich am besten direkt den Art. 24 DSGVO Abs. 1 zur „Verantworten des für die Verarbeitung Verantwortlichen“ an.
Kurz zusammengefasst steht darin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen muss um die Sicherheit der personenbezogenen Daten zu garantieren.
All das muss der Verantwortliche nachweisen können. Die Vorschriften für die vorgegebenen Maßnahmen finden Sieunter anderem in:
- Art. 37 DSGVO „Benennung des Datenschutzbeauftragten“
- Art. 38DSGVO „Stellung des Datenschutzbeauftragten“
- Art. 39 DSGVO „Aufgaben des Datenschutzbeauftragten“
- Art. 30 DSGVO „Verzeichnis von Verarbeitungstätigkeiten“
- Art. 32 DSGVO „Sicherheit der Verarbeitung“
- Art. 33 DSGVO „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“
- Art. 34 DSGVO „Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person“
- Art. 35 DSGVO „Datenschutz-Folgenabschätzung“
Artikel zu Benennung, Stellung und Aufgaben des Datenschutzbeauftragten auf dieser Webseite.
DSMS schafft kontinuierliche Verbesserung
In einem Managementsystem geht es im Kern um die kontinuierliche Verbesserung, den sogenannten PDCA-Zyklus – im Datenschutz mit Fokus auf die technischen und organisatorischen Maßnahmen.
Kern eines DSMS (Datenschutzmanagmentsystems)
Der Kern eines DSMS bildet ein Rahmenwerk zum Datenschutz – das können Vorgaben für die Beschäftigten sein – zum Beispiel Richtlinien.
Richtlinien sind eine einfach Möglichkeit der Umsetzung.
Darin stehen notwendige technische und organisatorische Maßnahmen (TOM) zur Umsetzung von Datenschutzanforderungen.
Beschäftigte erfahren so, was sie tun müssen um die Anforderungen aus dem Datenschutz umzusetzen.
Sie erhalten diese Vorgaben oder auch Weisungen von der für den Datenschutz verantwortlichen Geschäftsführung.
Der Schritt vor den Richtlinien…
Damit die Beschäftigten überhaupt von den Richtlinien erfahren, teilt die Geschäftsführung ihnen das in einer Leitlinie mit.
Darin steht also, dass es Richtlinien zum Datenschutz gibt. An die sollen sich alle Mitarbeiter halten.
Aufbauorganisation
Der Begriff Aufbauorganisation bezeichnet die Datenschutzorganisation – das ist sozusagen der strukturierte Aufbau innerhalb eines Unternehmens wie Sie ihn in einem Organisationsdiagramm entnehmen können.
Daraus erkennen Sie also, wer wofür zuständig ist, und wer welche Aufgaben in seiner Position hat.
Zurück zum Datenschutz: in einem Datenschutzmanagementsystem geht es um die Personen, die sich um die Umsetzung der datenschutzrechtlichen Vorgaben kümmern.
Ablauforganisation
In der Ablauforganisation geht es um die Umsetzung der datenschutzrechtlichen Prozesse.
Leitlinie zum Datenschutz
Alles fängt mit dem groben Rahmen einer Unternehmensleitlinie an.
Stellen Sie sich eine Pyramide vor: oben an der Spitze steht Ihre Leitlinie.
Die Leitlinie wird von der Unternehmensleitung erstellt und ist recht allgemein formuliert. Sie müssen sie nicht so oft, also nur alle paar Jahre, erneuern und anpassen.
Die Unternehmensleitung gibt vor, welche Anforderungen und Gesetze besonders relevant sind, und eingehalten werden müssen – beispielsweise:
- der Schutz von Informationen
- die Datenschutz-Grundverordnung (DSGVO)
- Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG)
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)
Je spezieller die Bereiche und Fragestellungen sind, desto eher sollten Sie darauf in speziellen Vereinbarungen und Regelungen eingehen, bzw. darauf verweisen.
Beispielsweise in der Leitlinie für Informationssicherheit und Datenschutz.
Richtlinien
Stellen Sie sich wieder die erwähnte Pyramide vor: unter der Spitze mit Ihrer Leitlinie, folgen mehrere einzelne Richtlinien.
Die allgemeinen Vorgaben aus der Leitlinie werden in den Richtlinien aufgegriffen und darin detaillierter beschrieben.
Richtlinien sind nichts anderes als arbeitsrechtliche Anweisungen.
Das Unternehmen gibt den Beschäftigten damit vor, welche Abläufe notwendig sind um die Anforderungen aus Informationssicherheit und Datenschutz zu erfüllen.
Richtlinien werden geändert, sobald sich die darin beschriebenen Abläufe oder technische Details ändern.
Ziele
- alle Mitarbeiter sollen wissen, wie sie sich „richtig“ verhalten, welche Abläufe vorgesehen sind, usw. (konkrete Handlungsanweisungen)
- einheitliche datenschutzrechtliche Standards und Vorgaben im Unternehmen
- wesentliche Darstellung der gesetzlichen Vorgaben zu Informationssicherheit und Datenschutz
- verständlich und kompakt Formuliert (ohne komplizierte und abstrakte Formulierungen aus der DSGVO)
- Zuständigkeiten und Ansprechpartner
Außerdem gibt es mit einem aktiven oder gelebten Datenschutzmanagementsystem eine Organisation die Ihnen dabei hilft nachzuweisen, dass Sie bei der Umsetzung der gesetzlichen Anforderungen NICHT untätig waren. Das könnte extrem wichtig sein wenn es darum geht ein (Organisations)Verschulden abzuwenden.
Zielgruppe und Empfänger
- Mitarbeiter (die personenbezogene Daten verarbeiten)
- Fach- oder Prozessverantwortliche
- Bereichs- oder Abteilungsleiter / Management
Veröffenlichtung
Die Vorgaben richten sich möglicherweise an alle Mitarbeiter – alle für die diese Themen relevant sind.
Bezogen auf Informationssicherheit und Datenschutz sind das alle Mitarbeiter, die Informationen und / oder personenbezogene Daten verarbeiten.
Damit sie gelesen werden können, sollten sie an einen bekannten „Ort“ (Intranet oder Netzwerk) liegen. So sind die aktuellsten Vorgaben auch leicht auffindbar.
Etabliert hat sich auch die Dokumente bei der Einstellung zur Verfügung zu stellen.
Überlegen Sie über welchen Kanal Sie Änderungen kommunizieren und alle Mitarbeiter erreichen.
DSMS notwendige Richtlinien
Falls Sie sich fragen welche Richtlinien ein Unternehmen benötigt um die Vorgaben der DSGVO zu erfüllen – hier ist die Liste:
- Richtlinie zum Datenschutz (für Beschäftigte)
- Richtlinie zur Umsetzung von Datenschutzmaßnahmen
- Richtlinie für die Umsetzung von Betroffenenrechten
- IT-Richtlinie für Nutzer
- Richtlinie für Speicherorte
- Richtlinie für die Nutzung mobiler IT-Systeme
- Richtlinie für die Nutzung mobiler Datenträger
- Richtlinie Regelungen für Lieferanten und sonstige Auftragnehmer
- Richtlinie für Störungen und Ausfälle
- Richtlinie für Sicherheitsvorfälle
- ggf. Richtlinie für Home-Office
Nicht alle Richtlinien haben einen reinen Bezug zum Datenschutz, aber alle darin abgedeckten Themen sind für Datenschutz und personenbezogene Daten relevant.
Datenschutzmanagement zuammengefasst
Mit einem Datenschutzmanagementsystem (DSMS) errichten Sie im Unternehmen eine Aufbau- und Ablauforganisation rund um Datenschutz und Informationssicherheit.
Durch die Zuweisung von Zuständigkeiten und Verantwortlichkeiten sind allen Beteiligten die „richtigen“ Verhaltensweisen klar.
