HomeAnwalt für DatenschutzDatenschutzmanagementsystem (DSMS)

Datenschutzmanagementsystem (DSMS)

Unter dem Datenschutzmanagementsystem (DSMS) – auch als DSM oder DPMS bezeichnet – wird ein System verstanden, das die Einhaltung der datenschutzrechtlichen Anforderungen sichert und dokumentiert. Alle datenschutzrechtlich Verantwortlichen sind verpflichtet, die Einhaltung einer datenschutzkonformen Vorgehensweise nachzuweisen und auch zu dokumentieren. Das DSMS dient dazu, die datenschutzrelevanten Maßnahmen in einem Unternehmen so zu etablieren und organisieren, dass die hohen gesetzlichen Anforderungen der DSGVO an die Wahrung der Rechtmäßigkeit, Sicherheit und Vertraulichkeit der Verarbeitung personenbezogener Daten gewährleistet wird.

Zu diesem Zweck stimmt Rechtsanwalt Sendler als externer betrieblicher Datenschutzbeauftragter mit der Unternehmensleitung die im einzelnen zu ergreifenden Maßnahmen ab und unterstützt das Unternehmen mit der Zurverfügungstellung der erforderlichen Organisation, dem erforderlichen Formularwesen und der notwendigen Dokumentation. Er organisiert mit den verantwortlichen Beteiligten des Unternehmens die Erstellung der notwendigen Verzeichnisse und den Abschluss der erforderlichen vertraglichen Vereinbarungen mit Dritten. Er ist steter Ansprechpartner für die Geschäftsführung und die jeweils Verantwortlichen, aber auch für die Mitarbeiter und gegebenenfalls den Betriebsrat in datenschutzrechtlichen Zweifelsfragen unter Wahrung der Verschwiegenheit.

In der DSGVO ist nicht unmittelbar festgehalten, dass Verantwortliche ein Datenschutzmanagementsystem zu führen haben. Allerdings regelt Art. 5 Abs. 2 DSGVO, dass Verantwortliche die Einhaltung der in Art. 5 Abs. 1 aufgeführten Grundsätze für die Verarbeitung personenbezogener Daten nachweisen können müssen (Rechenschaftspflicht bzw. „Accountability“).

Nach Art. 24 Abs. 1 DSGVO müssen Verantwortliche für ihre Verarbeitungen angemessene und geeignete technische und organisatorische Maßnahmen (TOM) umsetzen, welche in Art. 32 DSGVO näher beschrieben sind.

Unter Berücksichtigung dieser Maßgaben und des Umfangs und der Sensibilität der verarbeiteten Daten sollte ein DSMS folgende Kategorien berücksichtigen:

  • Verzeichnis der Verarbeitungstätigkeiten (VVT)
  • Auftragsverarbeitungs-Verträge (AV-Verträge)
  • gegebenenfalls Drittlandsübermittlung
  • Informationspflichten
  • Technische und organisatorische Maßnahmen (TOM)
  • Datenschutz-Folgeabschätzung (DSFA)
  • Löschkonzept
  • Umgang mit Daten-Auskunftsanfragen
  • Notfallplan
  • Dokumentation von Datenschutzvorfällen
  • Nachweis über Mitarbeiterschulungen

Mit einem sorgfältig aufgestellten Datenschutzmanagementsystem, zu dessen Herstellung auch taugliche Software-Systeme angeboetn werden, lässt sich im Bedarfsfall die Einhaltung datenschutzrechtlicher Pflichten schnell und einfach nachweisen. Die Datenaufsichtsbehörden fragen regelmäßig als erstes nach dem Verarbeitungsverzeichnis, weil sie hieraus einen guten Überblick über den Umfang der jeweiligen Datenverarbeitung des verantwortlichen Unternehmens gewinnen können.

Ralph Sendler, Rechtsanwalt, Fachanwalt für Arbeitsrecht, Datenschutzbeauftragter Hamburg

Ralph Sendler

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Zertifizierter Datenschutzbeauftragter
Zertifizierter Datenschutzauditor

T +49 (40) 226 390 10
F +49 (40) 226 390 190
mail@anwalt-sendler.de

vcard | LinkedIn

Kontaktaufnahme

Sie können Ihr Anliegen auch direkt über das Formular senden.

    * Pflichtfelder

    Sicherheitsabfrage: