DS-GVO: Datenschutzmanagementsystem erfolgreich umsetzen

Die EU-Datenschutz-Grundverordnung, kurz DS-GVO , ist mittlerweile einige Jahre alt. So hat sich auch der Umgang mit ihr geändert. Karsten Schulz, zertifizierter Datenschutzbeauftragter und Inhaber von Datenschutz.systems, beobachtet, dass die anfängliche Abwehrhaltung in Unternehmen Akzeptanz gewichen ist. 

Gleichzeitig bleibt es eine Herausforderung, die Anforderungen der DS-GVO umzusetzen. Der Schlüssel dazu: ein effizientes Datenschutzmanagementsystem. Hier gehen wir darauf ein, warum ein solches System entscheidend ist und was es ausmacht. Außerdem geben wir Tipps für den Aufbau und die erfolgreiche Umsetzung im eigenen Unternehmen. 

Muss ich ein Datenschutzmanagementsystem betreiben, wenn ich personenbezogene Daten verarbeite?

Die DS-GVO verpflichtet nicht ausdrücklich dazu. Trotzdem lautet die Antwort Ja. Denn es ist unmöglich, die Rechenschafts- und Nachweispflicht ohne ein geordnetes System umzusetzen.

Dabei hat ein DSMS mehrere Vorteile:

Das zentrale Prinzip jedes Managementsystems ist der sogenannte PDCA-Zyklus (von „Plan“, „Do“, „Check“, „Act“). Ihn greift auch die DS-GVO auf.

Schließlich verlangt sie von Verantwortlichen,

• strategische und operative Vorgaben verbindlich einzuführen (Plan),
• diese Vorgaben umzusetzen (Do),
• regelmäßig zu prüfen, ob sie wirksam und angemessen sind (Check) und
• bei Bedarf Vorgaben anzupassen und dadurch den Datenschutz zu optimieren (Act).

Karsten Schulz sieht hier Unternehmen im Vorteil, die bereits andere Managementsysteme umsetzen, zum Beispiel ein Qualitätsmanagement nach ISO 9001 oder ein Umweltmanagement nach ISO 14001. Der Grund: Sie sind mit den Strukturen von Managementsystemen vertraut. Oft können sie ein DSMS einfach in existierende Managementsysteme integrieren.

Unterstützung bietet eine gelebte Datenschutzrichtlinie, die Vorgaben der Unternehmensleitung zu Planung, Durchführung, Kontrolle und Anpassungen enthält.

Um ein funktionierendes Datenschutzmanagementsystem aufzubauen und umzusetzen, gehen Verantwortliche laut Karsten Schulz am besten folgendermaßen vor:

1. Am Anfang steht die Entscheidung der Geschäftsführung, Datenschutz umzusetzen. Gleichzeitig spielt die Frage eine wichtige Rolle, ob das Unternehmen „nur“ die gesetzlichen Vorgaben umsetzen oder einen Schritt weitergehen will. Ein besonders strikter Datenschutz kann dazu beitragen, das Vertrauen von Kunden, Partnern und Mitarbeitenden zu fördern. Er erfordert aber den Einsatz von mehr Ressourcen. Zum Beispiel sind dann häufigere Datenschutz-Schulungen für Mitarbeitende sinnvoll.
    
2. Im zweiten Schritt geht es darum, die eigenen Datenschutz-Ziele zu definieren. Die deutschen Aufsichtsbehörden haben dafür ein Standarddatenschutzmodell (SDM) entwickelt, das 7 Gewährleistungsziele formuliert:
   1. Datensparsamkeit
   2. Vertraulichkeit
   3. Integrität
   4. Verfügbarkeit
   5. Intervenierbarkeit
   6. Transparenz
   7. Nichtverkettung
   
   Diese Ziele und die Maßnahmen, um sie zu erreichen, gilt es für die eigene Organisation zu konkretisieren, zum Beispiel durch Regeln für die Vergabe von Zugriffsrechten und eine klare Rollenverteilung. So lassen sich konkrete Regelungen erstellen und durch Richtlinien, Leitlinien und Konzepte verordnen.
   
   Datenschutzverantwortlicher ist zunächst einmal der Chef bzw. Geschäftsführer. Er kann diese Verantwortlichkeit delegieren. In der Regel werden Leitungskräfte wie Abteilungsleiter oder Teamleiter zu Datenschutzverantwortlichen ernannt oder eine eigene, übergeordnete Position geschaffen.
   
   Wichtig: Zu den Pflichten eines betrieblichen Datenschutzbeauftragten gehört es, den oder die Verantwortlichen zu beraten und zu kontrollieren. Deshalb können sie nicht beides in einer Person sein.
    
3. Die Regelungen zum Datenschutz werden den Mitarbeitenden vermittelt. Entscheidend ist, dass diese verstehen, welche Auswirkungen sich daraus für ihre eigene Tätigkeit ergeben.
    
4. Zu einem DSMS gehört der korrekte Umgang mit Datenschutzvorfällen. Wenn ein Risiko für betroffene Personen entsteht, müssen die Vorfälle innerhalb von 72 Stunden der Datenschutzbehörde gemeldet werden. Damit das im Ernstfall klappt, ist es wichtig, Beschäftigte zu sensibilisieren, Meldemöglichkeiten einzurichten und ein Expertenteam für die Untersuchung von Vorfällen etablieren.
    
5. Schließlich müssen Geschäftsführer regelmäßig überprüfen, ob die technischen und organisatorischen Maßnahmen zum Datenschutz in ihrem Unternehmen die erforderliche Wirkung zeigen. Das lässt sich durch Berichte des eigenen Datenschutzbeauftragten und interner Verantwortlicher realisieren. Stellen sich dabei Defizite heraus, sind Optimierungsmaßnahmen notwendig.

• Umsetzungswille

Für Karsten Schulz steht und fällt der Erfolg von Datenschutzmanagement mit der Einstellung der Geschäftsführung. „Der Chef muss es wollen. Er muss es nicht mögen, aber er muss es wollen.“ 

• Ausreichende Ressourcen

Der Umsetzungswille sollte sich auch in den Ressourcen zeigen, die Geschäftsführer:innen für Datenschutz zur Verfügung stellen. In kleineren Unternehmen, in denen Mitarbeitende die Rolle der/des Datenschutzbeauftragten in Teilzeit ausführen, sei die Zeit dafür oft zu knapp bemessen, so Karsten Schulz. 

Wichtig: Wenn Geschäftsführer:innen die Verantwortung für den Datenschutz an Mitarbeitende delegieren, reicht es nicht, diesen eine Datenschutzrichtlinie in die Hand zu drücken und sie in eine Schulung zu schicken. Sie müssen auch nachweisen können, dass Mitarbeitende Datenschutzprozesse verstanden haben und Rückfragen stellen konnten. Andernfalls tragen sie die Verantwortung für Fehler. 

• Know-how

Datenschutz-Know-how können sich Unternehmen von außen holen: in Form externer Berater:innen und/oder durch Schulungen von Mitarbeitenden. Wichtig ist, dass das Wissen auf dem neuesten Stand bleibt. Denn im Datenschutz ergeben sich ständig neue Erkenntnisse, zum Beispiel durch Gerichtsurteile oder Stellungnahmen von Datenschutzbehörden. Sich darüber auf dem Laufenden zu halten, ist aufwendig, aber notwendig, um die DS-GVO umsetzen zu können.

• Zusammenspiel externer und interner Fachleute

In der Realität, beobachtet Karsten Schulz, sei es oft ideal, wenn Unternehmen Mitarbeitende im Datenschutz ausbilden und bei Bedarf zusätzlich auf das Fachwissen eines/r externen Berater:in zugreifen können. „Das Zusammenspiel der Geschäftsführung, einer Koordinatorin beziehungsweise eines Koordinators vor Ort und einer externen Fachkoryphäe, die auf Zuruf beraten kann, funktioniert meiner Erfahrung nach sehr gut.“

• Austauschmöglichkeiten für Datenschutzbeauftragte

Datenschutzbeauftragte in Unternehmen fühlen sich schnell alleingelassen mit ihren Fragen. Karsten Schulz rät deshalb, Ihnen Gelegenheit zum Austausch zu geben. „Dafür eignen sich zum Beispiel Treffen von Berufsverbänden, Besuche von Erfahrungskreisen oder regelmäßige Weiterbildungen.“

Die zentralen Anforderungen der DS-GVO sind heute die gleichen wie 2018. Allerdings sind sie durch manches Gerichtsurteil in der jüngsten Vergangenheit konkretisiert worden. Gleichzeitig hat sich der Umgang mit Datenschutzregelungen vereinheitlicht. „In den ersten Jahren waren die Datenschutzbehörden in unterschiedlichen Bundesländern oft verschiedener Meinung über die Umsetzung der DS-GVO. Unternehmen, die Niederlassungen in mehreren Bundesländern hatten, mussten Datenschutz dann unterschiedlich betreiben. Das hat sich glücklicherweise geändert.“

Vor allem „indirekt“ wirken sich für Karsten Schulz Regelungen zur Informationssicherheit wie die NIS2 aus. Sie erhöhen die Anforderungen an technisch-organisatorische Maßnahmen, die für mehr Datensicherheit sorgen. Davon profitiert auch der Datenschutz. 

Überhaupt weisen Datenschutz und IT-Sicherheit viele Schnittstellen auf. Schließlich beschäftigen sich beide mit der Sicherheit von Daten. Diese Überschneidung lässt sich nutzen.

Voraussetzung dafür ist, dass sich die jeweiligen Beauftragten eng miteinander abstimmen. So lassen sich Interessenkonflikte klären, wenn zum Beispiel die IT-Analysen durchführen will, die Datenschutzrechte verletzen könnten. Gleichzeitig können Unternehmen durch ausgewiesenen IT- und Datenschutz Wettbewerbsvorteile erzielen. Ziehen alle Beteiligten an einem Strang, klappt das am besten.

Absolute Sicherheit gibt es nicht. Das gilt auch für den Datenschutz. Kleine Versehen führen deshalb in aller Regel nicht zu schwerwiegenden Konsequenzen. 

Wichtig ist aber, dass Unternehmen ein systematisches Datenschutzmanagementsystem betreiben und dies bei Bedarf nachweisen können. Dazu gehört es, Prozesse zu definieren und zu optimieren, Verantwortliche zu schulen und ihnen ausreichende Ressourcen zur Verfügung zu stellen. 

Schließlich ist der Wille erforderlich, Datenschutz ernsthaft zu betreiben. Als Belohnung winken neben mehr Rechtssicherheit effizientere Geschäftsprozesse und ein besseres Unternehmensimage.