Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

30. April 2023

DSGVO: Anforderungen an ein Datenschutzmanagementsystem

Ein Datenschutzmanagementsystem hilft dabei, die Rechenschaftspflicht zu erfüllen
Bild: xpoint / iStock / Thinkstock
3,20 (5)
Inhalte in diesem Beitrag
Rechenschaftspflicht erfüllen
Aus Unternehmenssicht kommt es darauf an, nicht nur einzelne Datenschutzinstrumente im Unternehmen auf die DSGVO auszurichten. Sondern die Summe aller Einzelteile, also das komplette Datenschutzmanagementsystem (DMS).

Warum ein Datenschutzmanagementsystem?

Jeder Verantwortliche muss im Ergebnis einen „bunten Blumenstrauß“ an Maßnahmen (risikobasiert) definieren, umsetzen, dokumentieren und kontrollieren, um seinen Pflichten aus der Datenschutz-Grundverordnung (DSGVO) nachzukommen.

Angesichts der Fülle von Anforderungen einerseits und der Rechenschafts- und Nachweispflicht aus der DSGVO andererseits wird er dabei um ein geordnetes Vorgehen und damit um ein Datenschutzmanagementsystem (DMS oder DSMS) nicht herumkommen.

Was hat der PDCA-Zyklus mit dem Datenschutzmanagement zu tun?

Die Marschrichtung für ein solches System gibt die DSGVO selbst vor. Denn sie greift etablierte Prinzipien aus Management-Systemen anderer Disziplinen wie etwa der Informationssicherheit oder des Risikomanagements auf.

Das zeigt besonders deutlich Art. 24 DSGVO. Danach muss der Verantwortliche unter Berücksichtigung des Kontexts und des Risikos Maßnahmen planen, umsetzen, dokumentieren, prüfen und bei Bedarf verbessern. Nichts anderes besagt im Kern der P(lan)-D(o)-C(heck)-A(ct)-Zyklus als Prinzip eines jeden Management-Systems (PDCA-Zyklus).

Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

Vor welche Herausforderungen stellt die DSGVO Verantwortliche nun genau? Hier geht es nicht nur um die Höhe möglicher Bußgelder. Vielmehr stellt die Grundverordnung in Art. 5 Abs. 2 klar, dass eine Rechenschaftspflicht besteht („Accountability“). Und die lässt sich im Grunde nur mit einem umfassenden Datenschutzmanagementsystem geordnet erfüllen.

Wie kommen Verantwortliche mit einem DMS ihrer Rechenschaftspflicht nach?

Unter „Accountability“ ist nicht nur die Zuständigkeit und Verantwortung für die Einhaltung der festgelegten Prinzipien zur Datenverarbeitung nach Art. 5 Abs. 1 DSGVO zu verstehen, sondern auch eine Nachweispflicht.

Das Unternehmen muss nachweisen (können), dass es als Verantwortlicher angemessene und wirksame Maßnahmen ergreift, um die datenschutzrechtlichen Grundsätze und Verpflichtungen der DSGVO umzusetzen.

Die Rechenschaftspflicht erstreckt sich auf alle Anforderungen, die die DSGVO an den für die Verarbeitung Verantwortlichen stellt. Dazu zählen

  • die allgemeinen Prinzipien der DSGVO ebenso wie
  • spezifische Anforderungen an den Lebenszyklus der Verarbeitung von personenbezogenen Daten im Unternehmen.

Welche Prinzipien gelten bei der der Verarbeitung von personenbezogenen Daten?

Zunächst zu den allgemeinen Prinzipien der Datenschutz-Grundverordnung, die Verantwortliche einhalten und deren Einhaltung sie in einem DMS nachweisen müssen.

Zu den allgemeinen Prinzipien der Verarbeitung personenbezogener Daten zählen nach Art. 5 Abs. 1 DSGVO:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Verarbeitung auf rechtmäßige und in einer für den Betroffenen nachvollziehbaren Weise.
  • Zweckbindung: Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke, wobei eine Weiterverarbeitung diesen Zwecken nicht zuwider laufen darf.
  • Datenminimierung: Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß.
  • Richtigkeit: Sachlich richtige und ggf. aktuellste Daten, Maßnahmen zur unverzüglichen Löschung oder Berichtigung unzutreffender Daten.
  • Speicherbegrenzung: Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist.
  • Integrität, Vertraulichkeit, Verfügbarkeit: Geeignete technisch-organisatorische Maßnahmen zum angemessenen Schutz der Daten, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung.

Welche Pflichten ergeben sich daraus für Verantwortliche?

Eine Vielzahl von Vorschriften konkretisiert diese allgemeinen Grundsätze. Im Hinblick auf die rechtliche Zulässigkeit der Datenverarbeitung betrifft das v.a. folgende Punkte:

  • „Data Privacy by Design“ und „Data Privacy by Default“, Art. 25 DSGVO: Der Verantwortliche muss geeignete Maßnahmen zur wirksamen Umsetzung der datenschutzrechtlichen Grundsätze ergreifen (etwa zur Datenminimierung). Dabei muss er durch datenschutzfreundliche Voreinstellungen sicherstellen, dass er nur die jeweils erforderlichen Daten verarbeitet.
  • Datenschutz-Folgenabschätzung, Art. 35, 36 DSGVO: Der Verantwortliche muss bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen vorab eine Analyse der Folgen erstellen. Für die identifizierten Risiken muss er geeignete Maßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren umsetzen.
  • Rechtmäßigkeit, Art. 6 DSGVO: Der Verantwortliche muss die Rechtmäßigkeit an den gesetzlich definierten Verarbeitungstatbeständen ausrichten. Dazu zählen v.a. die Voraussetzung einer Einwilligung, Art. 7, 8 DSGVO, Einschränkungen für besondere Datenkategorien und Inhalte, Art. 9, 9a DSGVO, und die Verarbeitung ohne Bestimmung des Betroffenen, Art. 10 DSGVO.
  • Übermittlung in Drittländer, Art. 44 DSGVO: Bei der Datenübermittlung in ein Drittland muss der Verantwortliche (samt Auftragsverarbeiter) Garantien für eine rechtmäßige Verarbeitung bieten.

Zugleich fordert die DSGVO vom Verantwortlichen geeignete Maßnahmen zur datenschutzrechtlichen Information und Kommunikation, insbesondere für den „Fall des Falles“. Auch sie müssen in einem Datenschutzmanagementsystem abgebildet sein:

  • Transparenz, Art. 12 DSGVO: Der Verantwortliche muss Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache informieren, und zwar in Bezug auf Name und Kontaktdaten der verantwortlichen Stelle (samt Datenschutzbeauftragtem) sowie Zwecke, ggf. berechtigte Interessen und Empfänger sowie die Drittlandübermittlung
  • Verletzung, Art. 33, 34 DSGVO: Verletzungen des Schutzes personenbezogener Daten muss der Verantwortliche an die Aufsichtsbehörde melden. Gegebenenfalls muss er die Betroffenen benachrichtigen.

Wie lassen sich technisch-organisatorische Maßnahmen nachweisen?

Im Rahmen der eigentlichen Verarbeitung personenbezogener Daten muss der Verantwortliche geeignete technisch-organisatorische Maßnahmen v.a. in folgenden Bereichen vorsehen, umsetzen und nachweisen können:

  • Verantwortung, Art. 24 DSGVO: Der Verantwortliche hat risikobasiert die geeigneten Maßnahmen zum Schutz der von der Verarbeitung betroffenen Daten zu ergreifen. Die Maßnahmen muss er nachweisen und aktuell halten.
  • Auftragsverarbeitung, Art. 28 DSGVO: Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die Garantien dafür bieten, dass sie personenbezogene Daten durch geeignete technisch-organisatorische Maßnahmen schützen. Darüber muss ein Vertrag existieren.
  • Datensicherheit, Art. 32 DSGVO: Der Verantwortliche muss risikobasiert durch geeignete Maßnahmen die klassischen IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit bei der Datenverarbeitung sicherstellen.

Welche weiteren internen Maßnahmen sind erforderlich?

Schließlich fordert die DSGVO vom Verantwortlichen die Umsetzung einer Reihe interner Maßnahmen, die ebenfalls in ein Datenschutzmanagementsystem gehören. Die wichtigsten:

  • Verzeichnis, Art. 30 DSGVO: Der Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen – ähnlich dem aus dem BDSG bekannten Verfahrensverzeichnis.
  • Dokumentation,
    26, 28, 31, 44 DSGVO: Der Verantwortliche muss neben dem Führen eines Verzeichnisses seiner Dokumentationspflicht nachkommen, z.B. bei Weisungen, Verletzungen oder Garantien im Rahmen der Drittlandübermittlung.
  • Datenschutzbeauftragter, Art. 37–39 DSGVO: Der Verantwortliche hat unter bestimmten Vor-aussetzungen einen Datenschutzbeauftragten zu bestellen, dessen Aufgaben v.a. in der Beratung und in der Überwachung des Einhaltens der DSGVO-Vorgaben liegen.
  • Recht auf Vergessenwerden, Art. 17 DSGVO: Der Verantwortliche hat nicht nur sicherzustellen, dass personenbezogene Daten nur ausnahmsweise nicht „unverzüglich“ gelöscht werden. Er muss – sofern er die Daten publik macht – auch sicherstellen, dass er Dritte darüber informiert.
  • Recht auf Interoperabilität, Art. 20 DSGVO: Der Verantwortliche muss sicherstellen, dass er personenbezogene Daten von Betroffenen in einem gängigen, maschinenlesbaren Format ausgeben kann.

Um hier nicht den Überblick zu verlieren und um im Ernstfall immer alle erforderlichen Nachweise zur Verfügung stellen zu können, ist ein Datenschutzmanagementsystem also unerlässlich.

Peer Lambertz

Peer Lambertz
Verfasst von
Peer Lambertz
Peer Lambertz
Peer Lambertz ist Rechtsanwalt und Datenschutz-Experte.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.