Datenschutzmanagementsystem:
Auf das Konzept kommt es an

Datenschutz ist Chefsache, denn er ist letztendlich verantwortlich, wenn es zu einer Datenschutzverletzung kommt. Deshalb sollten Sie als Geschäftsführer die Einrichtung eines DSGVO-konformen Datenschutzmanagementsystems sicherstellen und seine Implementierung persönlich überwachen.

Definition: Was ist ein Datenschutzmanagementsystem (DSMS)?

Ein Datenschutzmanagementsystem ist ein unternehmensweit gültiges integriertes Managementsysteme, mit dem Organisationen die gesetzlichen Vorgaben zum Datenschutz umsetzen. Es besteht aus einer Aufbau- und Ablauforganisation sowie technischen, personellen und überwachenden Maßnahmen zum Umgang mit personenbezogenen Daten.

Hier lesen Sie mehr über die Grundlagen des Datenschutzes und eine DSGVO-konforme Umsetzung.

Wann ist die Einführung eines Datenschutzmanagementsystems sinnvoll?

Alle Unternehmen, die personenbezogene Daten verarbeiten, müssen die Datenschutz-Grundverordnung (DSGVO) beachten. Ein Datenschutzmanagementsystem (DSMS) steht allerdings nicht im Gesetz. Vielmehr müssen alle datenverarbeitenden Organisationen sicherstellen, dass sie die Vorgaben des Gesetzes einhalten. Da dieses sehr umfangreich und komplex ist, ist die Implementierung eines Datenschutzmanagementsystems sinnvoll. Unternehmen bei denenmindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder solche bei denen die Verarbeitung personenbezogener Daten zum Geschäftsmodell gehört müssen einen Datenschutzbeauftragten ernennen. Sie können auch einen externen Datenschutzbeauftragten bestellen um diese Anforderung zu erfüllen.

Hier lesen Sie mehr über die Bestellung und Aufgaben eines externen Datenschutzbeauftragten.

Aufbau eines Datenschutzmanagementsystems

Ein Datenschutzmanagementsystem basiert auf einem Datenschutzkonzept. Zunächst müssen Unternehmen dafür alle Verfahren und Prozesse im Umgang mit personenbezogenen Daten analysieren. Dazu müssen alle Abteilungen ihre datenschutzrechtliche Prozesse prüfen und dokumentieren und und danach wirksame Vorgaben und Verfahren einführen.

Datenschutzmanagementsystem: Planung & Umsetzung

Planung und Umsetzung eines Datenschutzmanagementsystems sind immer Teamwork. Folgende datenschutzrechtlichen Themen sind dabei zu beachten:

  1. Neudefinition aller Prozesse nach den Maßgaben “Privacy by Design” und “Privacy by Default”
  2. Richtlinien festlegen, wo, wie und zu welchem Zweck Daten im Unternehmen verarbeitet werden
  3. Neue Hard- und Software zur Härtung der IT-Systeme vor Datenverlust
    1. Schutz vor Elementarschäden (Feuer, Wasser, Staub)
    2. Unterbrechungsfreie Stromversorgung und Klimatisierung
  4. Schutz vor Zugriff durch Unbefugte
    1. Rollen und Rechte des Datenzugriffs für alle Nutzergruppen
  5. Maßnahmen für die Netzwerksicherheit
  6. Regelmäßige Software-Updates für alle Endgeräte im Netzwerk
  7. Echtzeit-Überwachung des Netzwerk-Traffics
  8. Datensicherheit
    1. Verschlüsselung und
    2. Pseudonymisierung personenbezogener Daten
  9. Regeln für Passwortänderungen durch Nutzungsberechtigte
  10. Organisation der Prozesse für die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten und Verarbeitungssysteme
  11. Maßnahmen zur Wiederherstellung der Daten nach Verlust (Backup)
  12. Datenschutz-Folgenabschätzung
  13. Vorgaben für die regelmäßige Überprüfung und Aktualisierung des Datenschutzmanagementsystems.

Weitere Elemente in einem Datenschutzmanagementsystem sind ein Konzept zur Umsetzung der Betroffenenrechte sowie Regeln für den Umgang mit Datenschutzverletzungen. Dazu gehören

  1. Datenschutzerklärung
  2. Prozesse für eine getrennte Einwilligung der Nutzer in verschiedene Nutzungskonzepte
  3. Zuständigkeit für die Auskunft über die gesammelten Daten, Korrekturen, Widerruf der Einwilligung, Löschen (Recht auf Vergessen)
  4. Regeln für die Auskunftsprozesse nach einer Datenschutzverletzung

Nach der Implementierung des Datenschutzmanagementsystems sollte der Datenschutzbeauftragte eine Dokumentation aller Vorgabe, Prozesse und Verfahren erstellen sowie die Angemessenheit und Wirksamkeit jährlich prüfen. 

Wie hoch sind die Kosten für die Einführung eines Datenschutzmanagementsystems?

Der größte Aufwand besteht in der Konzeption, Umsetzung und Kontrolle eines Datenschutzmanagementsystems. Die Kosten variieren abhängig von der Größe eines Unternehmens, der Anzahl seiner Standorte und Mitarbeiter. Vor allem die Art und der Umfang der verarbeitung personenbezogender Daten bestimmen den Aufwand.

Sie wollen ein Datenschutzmanagementsystem einrichten und suchen Unterstützung? Vereinbaren Sie jetzt ein kostenfreies Erstgespräch mit Memex Consulting GmbH. Lassen Sie uns über den Datenschutz Ihres Unternehmens sprechen.

Häufige Fragen

Wie hoch sind die Kosten für die Einführung eines Datenschutzmanagementsystems?

Der größte Aufwand besteht in der Konzeption, Umsetzung und Kontrolle eines Datenschutzmanagementsystems. Die Kosten variieren abhängig von der Größe eines Unternehmens, der Anzahl seiner Standorte und Mitarbeiter. Vor allem die Art und der Umfang der Datenverarbeitung haben Einfluss auf den Aufwand zum Schutz vor Datenschutzverletzungen.

Whitepaper zur ISO 9001:
Schritt für Schritt zur Zertifizierung

*“ zeigt erforderliche Felder an