Was ist unter Datenschutz-Managementsystem zu verstehen?

Ein Datenschutz-Managementsystem (teils auch Datenschutzrichtlinie genannt) sollte detailliert und verbindlich festschreiben, wie die Unternehmenstätigkeit datenschutzkonform auszugestalten ist. Dies bedeutet vor allem, wer wie wann mit personenbezogenen Daten umgeht und wie insbesondere Datenschutzverletzungen verhindert werden können. Dies ist für jedes Unternehmen individuell zu erarbeiten.

Wegen der großen Bedeutung des Datenschutzes und den vielfältigen Anforderungen des Datenschutzrechts empfiehlt sich für jedes Unternehmen der Aufbau eines Datenschutz-Managementsystems.

Durch die Erarbeitung eines Datenschutz-Managementsystems sowie dessen Umsetzung und Kontrolle ist ein Unternehmen optimaler Weise in der Lage, sich Klarheit darüber zu verschaffen, welche Aufgaben im Bereich des Datenschutzes durch welche Mitarbeiter bzw. Externe in welcher Reihenfolge zu erfüllen sind.

Bei der Etablierung eines Datenschutz-Managementsystems bietet sich die folgende Vorgehensweise an:

1. Bestandsaufnahme

Jedes Unternehmen sollte zunächst identifizieren, welche personenbezogenen Daten von wem, wie, wann, wie lange verarbeitet werden oder wer mit personenbezogenen Daten in Kontakt kommen könnte.

2. Idealbild für die Unternehmenstätigkeit im Bereich des Datenschutzes

Auf der Grundlage der Analyse der Bestandsaufnahme sollte eine „Roadmap“ ausgearbeitet werden. In dieser gilt es zu klären, welche rechtlichen Anforderungen für datenschutzkonformes Handeln einzuhalten sind und welche Mitarbeiter oder/und Externe zuständig sind.

Im Einzelnen sind insbesondere

  • die Grundsätze für die Datenverarbeitung, die Rechte der Betroffenen und die Anforderungen an die Auftragsverarbeitung einzuhalten,
  • ein Verzeichnis von Verarbeitungstätigkeiten (inkl. technisch organisatorische Maßnahmen), Löschkonzept und Meldekonzept bei Datenschutzverstoß zu erstellen und fortwährend zu aktualisieren
  • gegebenenfalls eine Datenschutz-Folgenabschätzung durchzuführen
    und
  • gegebenenfalls ein Datenschutzbeauftragter zu beauftragen.
3. Plan

Damit aus dem Ist-Zustand auch tatsächlich der gewünschte Soll-Zustand (der dem Idealbild entspricht) wird, sind die konkreten Schritte zu planen und die entsprechenden Zuständigkeiten für Mitarbeiter oder/und Externe festzulegen. Es sind insbesondere die Datenschutzrisiken zu identifizieren und die rechtliche Anforderungen und Strukturen zu definieren.

4. Implementierung

Entsprechung des erarbeiteten Idealbilds und der Planung sind die einzelnen notwendigen Maßnahmen umzusetzen, z.B.

  • Erstellung bzw. Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten und einer Datenschutzerklärung für den Unternehmensauftritt im Internet
  • Einholung von ggf. erforderlichen datenschutzrechtlichen Einwilligungen (z.B. bei Kontaktformularen)
  • Prüfung, ob eine Pseudonymisierung bzw. Anonymisierung möglich ist und ob bestimmte personenbezogene Daten möglicherweise gelöscht werden können und/oder es hilfreich ist, Mitarbeiter zu schulen.
5. Kontrolle

Zur Sicherung des Erfolgs sind entsprechende Kontrollmaßnahmen einschließlich Teambesprechungen und Besprechungen mit der Geschäftsleitung in bestimmten Abständen anzuraten.

 

Im Hinblick auf die strukturierte und systematische Vorgehensweise sowie den gezielten Aufbau von nachhaltigen Strukturen ist das Datenschutz-Management dem IP-Management sehr ähnlich. Auch wenn sich beide auf eigenständige Rechtsbereiche beziehen, stehen beide Methodiken nicht berührungslos nebeneinander, sondern wirken vielfach zusammen (wie beispielsweise bei Kontaktformularen, bei denen sowohl lauterkeitsrechtliche wie auch datenschutzrechtliche Einverständnisse erforderlich sind). Letztlich sollen durch das Datenschutz-Management (wie auch das IP-Management) eine Qualitätssteigerung und Fehlerminimierung erreicht werden und durch die Bündelung von Kompetenz und Verantwortlichkeit sowie vorausschauenden Investitionen die Kosten für das jeweilige Unternehmen reduziert werden.