Strukturierter Datenschutz mit System
Unter dem Datenschutzmanagementsystem (DSMS) – auch als DSM oder DPMS bezeichnet – wird ein System verstanden, das die Einhaltung der datenschutzrechtlichen Anforderungen sichert und dokumentiert. Das DSMS dient dazu, die datenschutzrelevanten Maßnahmen in einem Unternehmen so zu etablieren und organisieren, dass die hohen gesetzlichen Anforderungen der DSGVO an die Wahrung der Rechtmäßigkeit, Sicherheit und Vertraulichkeit der Verarbeitung personenbezogener Daten gewährleistet wird.
Alle datenschutzrechtlich Verantwortlichen sind nach der DSGVO nicht nur dazu verpflichtet, die Einhaltung datenschutzkonformer Vorgaben umzusetzen, sondern dies auch zu dokumentieren und damit letztlich nachzuweisen. Genau hier setzt ein Datenschutzmanagementsystem an.
Rechtlicher Rahmen: Rechenschaftspflicht und TOM
In der DSGVO ist nicht unmittelbar festgehalten, dass Verantwortliche ein Datenschutzmanagementsystem zu führen haben. Allerdings regelt Art. 5 Abs. 2 DSGVO, dass Verantwortliche die Einhaltung der in Art. 5 Abs. 1 aufgeführten Grundsätze für die Verarbeitung personenbezogener Daten nachweisen können müssen (Rechenschaftspflicht bzw. „Accountability“).
Darüber hinaus müssen Verantwortliche nach Art. 24 Abs. 1 DSGVO für ihre Verarbeitungen angemessene und geeignete technische und organisatorische Maßnahmen (TOM) umsetzen, welche in Art. 32 DSGVO näher beschrieben sind.
Aufbau eines praxisnahen DSMS
Rechtsanwalt Ralph Sendler unterstützt als externer betrieblicher Datenschutzbeauftragter Unternehmen bei der Planung und Etablierung eines DSMS. Gemeinsam mit der Unternehmensleitung werden notwendige Maßnahmenabgestimmt und folgende Punkte umgesetzt:
- Bereitstellung einer funktionierenden Datenschutzorganisation
- Entwicklung und Dokumentation eines geeigneten Formularwesens
- Erstellung des Verzeichnisses der Verarbeitungstätigkeiten (VVT)
- Abschluss erforderlicher Verträge (z. B. Auftragsverarbeitung, Drittstaatentransfer)
- Mitarbeiterschulungen, Beratung und fortlaufende Dokumentation
Er ist steter Ansprechpartner für die Geschäftsführung und die jeweils Verantwortlichen, aber auch für die Mitarbeiter und gegebenenfalls den Betriebsrat in datenschutzrechtlichen Zweifelsfragen unter Wahrung der Verschwiegenheit.
Zentrale Bausteine eines Datenschutzmanagementsystems
Unter Berücksichtigung der Maßgaben der Datenschutzgrundverordnung und des Umfangs und der Sensibilität der verarbeiteten Daten sollte ein DSMS folgende Kategorien berücksichtigen:
- Verzeichnis der Verarbeitungstätigkeiten (VVT)
- Auftragsverarbeitungs-Verträge (AV-Verträge)
- gegebenenfalls Drittlandsübermittlungen
- Informationspflichten gegenüber Betroffenen
- Technische und organisatorische Maßnahmen (TOM)
- Datenschutz-Folgenabschätzung (DSFA)
- Löschkonzept und Datenaufbewahrung
- Umgang mit Auskunftsersuchen
- Notfallplan
- Dokumentation von Datenschutzvorfällen
- Nachweis über Mitarbeiterschulungen
DSMS in der Praxis: Nachweis gegenüber Aufsichtsbehörden
Mit einem sorgfältig aufgestellten Datenschutzmanagementsystem, zu dessen Herstellung auch taugliche Software-Systeme angeboten werden, lässt sich im Bedarfsfall die Einhaltung datenschutzrechtlicher Pflichten schnell und einfach nachweisen. Die Datenaufsichtsbehörden fragen regelmäßig zuerst nach dem Verarbeitungsverzeichnis, weil sie hieraus einen guten Überblick über den Umfang der jeweiligen Datenverarbeitung des verantwortlichen Unternehmens gewinnen können.
Sie möchten ein Datenschutzmanagementsystem etablieren oder optimieren?
Kontaktieren Sie mich gerne für eine individuelle Beratung zur Struktur, Umsetzung und Dokumentation – praxisnah, nachvollziehbar und datenschutzrechtlich fundiert.
Häufig gestellte Fragen zu Datenschutzmanagementsystemen
Ein Datenschutzmanagementsystem (DSMS) ist ein strukturiertes System zur Organisation, Umsetzung und Dokumentation der datenschutzrechtlichen Vorgaben der DSGVO im Unternehmen. Es dient der Einhaltung der gesetzlichen Pflichten und der Nachweisbarkeit gegenüber Aufsichtsbehörden.
Die DSGVO schreibt ein DSMS nicht ausdrücklich vor. Allerdings ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der Pflicht zur Umsetzung technischer und organisatorischer Maßnahmen (Art. 24 und 32 DSGVO) faktisch die Notwendigkeit eines solchen Systems.
Grundsätzlich alle Unternehmen, die personenbezogene Daten verarbeiten, profitieren von einem DSMS. Besonders sinnvoll ist es für Unternehmen mit komplexen Datenverarbeitungen, vielen Mitarbeitenden, internationalen Datenflüssen oder besonderen Kategorien personenbezogener Daten.
Ein funktionierendes Datenschutzmanagementsystem umfasst typischerweise das VVT (Verzeichnis von Verarbeitungstätigkeiten), abgeschlossene AV-Verträge, Dokumentationen zu Drittlandtransfers, geeignete TOM, gegebenenfalls eine DSFA, ein Lösch- und Aufbewahrungskonzept sowie Nachweise zu Schulungen, Datenschutzvorfällen und Notfallplänen.
Ein gut dokumentiertes DSMS ermöglicht es, Anfragen der Datenschutzaufsicht zügig und strukturiert zu beantworten, insbesondere durch das Verzeichnis der Verarbeitungstätigkeiten und den dokumentierten Maßnahmen zum Schutz personenbezogener Daten.
Die Verantwortung für den Datenschutz liegt beim Unternehmen. Die Geschäftsführung ist verpflichtet, ein wirksames DSMS zu unterstützen und für die Umsetzung und Ressourcenausstattung zu sorgen, ggf. mit externer Unterstützung.
Ja. Ein zertifizierter externer Datenschutzbeauftragter wie Rechtsanwalt Ralph Sendler begleitet Unternehmen praxisnah bei der Planung, Umsetzung und Dokumentation eines Datenschutzmanagementsystems, inklusive Schulungen und fortlaufender Beratung.
Ja, es existieren verschiedene Datenschutzmanagement-Tools, die die Umsetzung und Dokumentation datenschutzrechtlicher Anforderungen digital unterstützen. Die Auswahl sollte sich an den konkreten Bedürfnissen und der Struktur des Unternehmens orientieren.
