Was erfordert ein Datenschutzmanagement?
Die Risiken, die sich aus der Datenverarbeitung in dem Unternehmen ergeben, müssen hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden beachtet werden. Insbesondere geht es um die Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen.
Unternehmen, die noch kein Datenschutzmanagement unterhalten, sollten vier Schritte beachten. Dabei lohnt es sich, zu prüfen, ob es im Betrieb bereits Anknüpfungspunkte für ein Datenschutzmanagement gibt. Hierfür bieten sich etwa Compliance-Richtlinien oder ein Qualitätsmanagement sowie ein IT-Sicherheits- oder ein Risikomanagement an.
Ergebnis muss jedenfalls sein, dass die Rechtskonformität der Verarbeitung personenbezogener Daten in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist.
Die vier Schritte zum Datenschutzmanagement:
1. Planung und Konzeption
Das Unternehmen muss zunächst seine "Datenschutzpolitik" beschreiben, also folgende Punkte festlegen:
- die Zuständigkeiten für den Datenschutz im Unternehmen
(hierzu gehört auch die Einbindung und Aufgabenstellung des betrieblichen Datenschutzbeauftragten)
- die Sensibilisierung und Schulung der Mitarbeiter
- die Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden
- den Einsatz datenschutzfreundlicher Technologien
- den Stand der Technik als Anforderung an die IT-Sicherheit
- die Führung des Verzeichnisses von Verarbeitungstätigkeiten
- den Prozess zum Abschluss von Auftragsverarbeitungen oder – bei gemeinsamer Verantwortlichkeit – zum Abschluss entsprechender Vereinbarungen
- den Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
- den Prozess zur Durchführung einer Risikobewertung
- den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
- den Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen)
2. Umsetzung
Die Konkretisierung der unter 1. genannten Maßnahmen in der Praxis. Dazu gehören auch eine ausreichende Dokumentation sowie geeignete technisch-organisatorische Maßnahmen.
3. Erfolgskontrolle und Überwachung
Die Planung und Konzeption sowie ihre Umsetzung müssen stetig auf ihre Wirksamkeit hin kontrolliert werden.
4. Optimierung und Verbesserung
Hierbei geht es nicht nur darum, den eventuell unter 3. festgestellten Verbesserungsbedarf umzusetzen. Darüber hinaus muss auch ein angemessener Stand der Technik bei den technischen IT-Sicherheitsmaßnahmen sichergestellt werden, denn die DSGVO verlangt die Anpassung an entsprechende technische Entwicklungen.