Datenschutzmanagement
Datenschutzmanagement ist eine Methode, um die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch zu planen, zu organisieren, zu steuern und zu kontrollieren.
Ziel
Ausgangspunkt bildet die Idee, Unternehmen und Behörden eine Systematik an die Hand zu reichen, die sich in die Geschäftsprozesse integrieren lässt, um Datenschutz langfristig und nachvollziehbar innerhalb der Organisation zu verankern. Ein Datenschutz-Managementsystem (Abk. DSMS) kann nach den Maßstäben internationaler Managementstandards aufgesetzt werden.
Ein systematisches Datenschutzmanagement ist wichtig, um im Fall von aufsichtbehördlichen Verfahren, die Zwangsgelder, Geldbußen und sogar Freiheitsstrafen zur Folge haben können, den Vorwurf des fahrlässiges Handelns abschwächen zu können, (ab 25. Mai 2018: Artikel 83 II d. DSGVO).
Vorgehensweise
Üblicherweise wird zunächst definiert und festgelegt, welche Strukturen, Rollen und Verantwortlichkeiten auszuweisen sind. Das zentrale Element eines Managementsystems stellt die Dokumentation dar. Dementsprechend ist die Organisation der Datenschutz-Dokumentation nach Good-Practice-Beispielen aufzubauen. Als Ergänzung sollte ein Anforderungskatalog vorhanden sein, der in sich gesetzliche Anforderungen und wesentliche Anforderungen der Informationssicherheit vereint. Da in der Regel das Ziel von Managementsystemen ein global anwendbarer Standard ist, werden Bezüge zu spezifischen Gesetzestexten ausgelassen. Jedoch kann das Bundesdatenschutzgesetz aufgrund seiner hohen Maßstäbe als Orientierungsrahmen dienen. Der Aufbau eines kontinuierlichen Managementkreislaufs unterstützt z. B. die saubere Ausgestaltung einer Auftragsdatenverarbeitung nach Artikel 28 DSGVO. Der aktuellen Managementsystematik liegt zumeist das Model des PDCA-Zyklus zugrunde.
Praxisanwendung
In der Praxis lässt sich die Systematik eines Datenschutzmanagementsystems in ein bestehendes Qualitätsmanagementsystem oder auch ein Informationssicherheits-Managementsystem einbinden. Zudem bieten inzwischen akkreditierte, kommerzielle Anbieter nach entsprechendem Audit-Prozess ein Zertifikat für ein funktionierendes Managementsystem an.
Aktuell hat bisher eine deutsche Aufsichtsbehörde (Landesbeauftragte für den Datenschutz Rheinland-Pfalz) erst eine Managementsystematik für den Datenschutz geprüft und für die Praxis empfohlen.[1]
Quellen
- Loomans, Dirk, Matz, Manuela, Wichtermann, Marco: Anforderungen an ein Datenschutz Managementsystem, 2010.
Einzelnachweise
- ↑ Neue Wege im Datenschutz, 13. Oktober 2010, Webseite des Landesbeauftragten für den Datenschutz Rheinland-Pfalz. Abgerufen am 30. Oktober 2018.