Datenschutzmanagementsystem

Ein Datenschutzmanagementsystem (DSMS) ist ein Organisations-Tool, welches die Einhaltung des Datenschutzes, und insbesondere der DSGVO über die gesamte Organisation hinweg, sichern, dokumentieren und fortlaufend verbessern soll.

Während gewisse Datenschutz-Anforderungen durch die Datenschutz-Grundverordnung explizit geregelt und unter gewissen Voraussetzungen verpflichtend sind, trifft dies auf das DSMS so nicht zu. Nichtsdestotrotz ergibt sich aus einigen Artikeln und Erwägungsgründen der Datenschutz- Grundverordnung eine Notwendigkeit eines DSMS, um die rechtlichen Anforderungen erfüllen zu können. So muss der Verantwortliche „…geeignete technische und organisatorische Maßnahmen“ umsetzen, „…um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“ Die Maßnahmen sind erforderlichenfalls zu überprüfen und zu aktualisieren. Gerade die Pflicht zur Erfüllung der Dokumentations-, Nachweis- und Rechenschaftspflichten machen den Einsatz eines DSMS nahezu unvermeidbar.

Im Kern besteht ein Datenschutzmanagementsystem dabei aus Dokumentationen, Arbeitsanweisungen und Prüfprozessen. So soll eine lückenlose Nachvollziehbarkeit sowie eine klare und effiziente Verteilung der Verantwortlichkeiten gewährleistet sein. Die ständige Überprüfung hat einen kontinuierlichen Verbesserungsprozess zum Schutz der personenbezogenen Daten zur Absicht. Zwar ist die genaue Vorgehensweise nicht geregelt, jedoch empfiehlt sich die Orientierung an bestehenden Standards (z.B. ISO High Level Structure). Ein Verfahren nach dem Plan-Do-Check-Act-Zyklus sollte das Datenschutzmanagementsystem aber in jedem Fall beinhalten, idealerweise gestützt von einer Software.

Der PDCA-Zyklus verdeutlicht die Dynamik eines Datenschutzmanagementsystems. Durch die ständigen Neuerungen gesetzlicher Vorgaben muss das gesamte System kontinuierlich optimiert werden. Auch die Prozesse sind einer ständigen Überprüfung ausgesetzt – Technik und inhaltliche Anforderungen müssen unter permanenter Beobachtung mit entsprechenden Konsequenzen stehen.