Die Datenschutzgrundverordnung (DSGVO) fordert seit 2018 von den Verantwortlichen Stellen (vgl. Art. 24 DSGVO), also denjenigen, die im Sinne der DSGVO personenbezogene Daten verarbeiten – bzw. deren Auftragsverarbeitern (vgl. Art. 28 DSGVO) – den Nachweis der rechtmäßigen Verarbeitung (Rechenschaftspflicht). Dieser erfolgt anlassbezogen oder auch anlasslos und dient konkret dem Zweck des Nachweises der jederzeitigen Erfüllung der durch die DSGVO aufgestellten Pflichten durch den Verantwortlichen (Unternehmen, Behörde, etc.). Diese Pflichten sind hauptsächlich in den Artikeln 5, 24 bzw. 28 der DSGVO beschrieben. Geschäftsführung oder Vorstand sind dafür verantwortlich, diese Anforderungen im Unternehmen organisatorisch umzusetzen. Damit übertragen sie auch einen Teil der Verantwortung und Haftung auf die Organisation und die Mitarbeiter.
Managementsystem als bewährtes „Werkzeug“
Es stellt sich die Frage, wie die jederzeitige Erfüllung dieser Pflichten hinreichend aktuell dokumentiert und deren Umsetzung nachgewiesen werden können. Dazu lohnt sich ein Blick bspw. in das Qualitäts- oder Umweltmanagement. Auch dort müssen Branchen- oder Gesetzesvorgaben erfüllt und diese Erfüllung jederzeit nachgewiesen werden können. Hier haben sich Managementsysteme bereits seit langem etabliert und bewährt. Von den daraus entstandenen Methodiken und Erfahrungen kann auch der Datenschutz profitieren. Mithilfe der Erfahrungen aus diesen Managementsystemen können im Rahmen eines Projekts durch ein Projektteam die gesetzlichen Anforderungen – aus den einschlägigen Datenschutzgesetzen – auf das Unternehmen übertragen werden. Darüber hinaus können die Anforderungen durch entsprechende Prozess-, Verfahrens, und Aufgabenbeschreibungen für die einzelnen Unternehmensbereiche praktikabel dargestellt werden.
Von der Dokumentation zum System
Damit der Nachweis gelingt, dass diese Anforderungen im Unternehmen – wie beschrieben – umgesetzt werden, sind prozess- und aufgabenbezogene Schulungen erforderlich. Die Mitarbeiter und Mitarbeiterinnen im Unternehmen müssen den Aufbau des Systems sowie ihre Verantwortlichkeiten darin kennen und wahrnehmen können. Unterstützt werden sie dabei durch Datenschutzbeauftragte und ggf. Datenschutzkoordinatoren, die stets helfend zur Seite stehen. Damit das „System“ auch nachweisbar gut funktioniert, werden Prüf- bzw. Auditprozesse beschrieben und regelmäßig durchgeführt. Die Ergebnisse bzw. Abweichungen des Audits werden analog zu anderen Managementsystemen vom Auditor dokumentiert und der Geschäftsführung oder dem Vorstand übergeben. Diese legen in der Folge die Maßnahmen fest, mit denen die Abweichungen abgestellt und die Dokumentationen angepasst werden. Diese Änderungen werden bekanntgegeben und erforderlichenfalls geschult. Dann wird das nächste Audit zeigen, ob die Verbesserungen der Prozesse funktionieren.
Das DSMS-Projektteam
Für das Gelingen des Projekts muss das Projektteam aus erfahrenen Praktikern bestehen: Mitarbeiter, welche die Unternehmensprozesse kennen und möglichst schon an deren Dokumentation beteiligt waren (bspw. andere Managementbeauftragte), der oder die Datenschutzbeauftragte und je nach Geschäftsfeld Mitarbeiter aus den betroffenen Abteilungen.
Was ein DSMS nicht ist
Abschließend noch ein Hinweis: Das Tool, mit dem das DSMS betrieben wird, ist Nebensache. Es gibt dazu viel Software, auch speziell für DSMS. Jedes System hat seine Vor- und Nachteile und i.d.R. ist die Nutzung mit erheblichen Kosten verbunden. Oft werden dazu auch bereits vorhandene Anwendungen aus anderen Bereichen genutzt. Seitens der Aufsichtsbehörde gibt es hier keine Präferenzen, solange die Rechenschaftspflicht erfüllt ist.
Teilen:
Fotostrecke
(© agnes – stock.adobe.com)
(© Jan Duefelsiek – duefelsiek.com)
