Das Datenschutzrecht zu verstehen ist eine Sache, es dauerhaft zu überwachen und zu kontrollieren eine andere. Jedes Detail immer im Blick zu haben fällt schwer, wenn nicht jede Datenverarbeitung und Vorgabe zum Schutz von personenbezogenen Daten in einem System geordnet ist. Das sogenannte Datenschutz Management System – DMS – bringt dabei nicht nur Ordnung, sondern erfüllt auch die Rechenschafts- und Nachweispflichten der DSGVO.
Worum geht es genau?
Das uns allen wichtige Thema Datenschutz sollte mittlerweile zu einem gefestigten Bestandteil der Unternehmensstruktur gehören. Nur wer den Datenschutz stetig im Blick behält, kann eine langfristig datenkonforme Arbeitsweise gewährleisten. Hierfür entwickeln wir in Kooperation mit allen Geschäftsbereichen Ihres Unternehmens ein abgestimmtes Verfahren, welches eine Überprüfung der datenschutzrechtlichen Anforderungen in kontinuierlichen Abständen ermöglicht.
Unternehmen und ihre Arbeitsweisen unterliegen dem immer wiederkehrenden Wandel. Deshalb sollte und muss zyklusartig reflektiert werden, ob und inwiefern die Prozesse datenschutzkonform ausgestaltet sind.
Teil dieses Verfahrens sind insbesondere die Datenschutzgrundsätze wie bspw.: Rechtmäßigkeit, Transparenz, Zweckbindung und Datenminimierung. Für welchen Zweck und aufgrund welcher Rechtsgrundlage erfolgt die Datenverarbeitung? Ist sie deswegen auch erforderlich? Wie kann dem Betroffenen anschaulich gemacht werden, welche Daten und wieso verarbeitet werden? Diese und weitere Antworten sollten im DMS zu finden sein.
Präventive Ziele des DMS sind zum einen der von der DSGVO auferlegten Auskunftspflicht nachzukommen und zum anderen Verstöße zu vermeiden. Im schlimmsten Fall hilft das DMS insbesondere das Problem an entscheidender Stelle zu identifizieren und die Prozesse schnell anpassen zu können.
Ablauf der Erstellung eines Datenschutz Management Systems
Um einen dauerhaften Verbesserungsprozess in Ihrem Unternehmen zu etablieren, orientieren wir uns an dem PDCA-Zyklus (auch Demingkreis genannt). Dieser beschreibt die Durchführung des Management Systems: Plan – Do – Check – Act.
Der erste Schritt der Planung umfasst die Aufnahme aller Datenverarbeitungsprozesse des Unternehmens. Wie ist der IST-Zustand und welche datenschutzrechtlichen Vorgaben müssen umgesetzt werden, um an das Ziel einer datenschutzkonformen Unternehmensmaschinerie zu gelangen.
Die herausgearbeiteten Aufgaben müssen nun fachgerecht umgesetzt werden, um Datenschutzpannen zu vermeiden.
Der dritte Schritt umfasst die bereits angesprochene Überprüfung und Analyse nach einem gewissen Zeitraum:
Sollten Prozesse korrigiert werden? Andere Vorbeugemaßnahmen etabliert werden? Oder haben sich die Zielvorgaben geändert und müssen neu ausgerichtet werden? Wenn ja, ist dies der letzte Schritt des Zyklus, indem das System bewertet und gegebenenfalls verbessert wird.
