Datenschutz-Management: Was sind Deine Schritte, wenn Du ein Datenschutz-Management-System implementieren willst?
Für immer mehr Unternehmen ist eine erfolgreiche Digitalisierung als Wettbewerbsvorteil von entscheidender Bedeutung, um am Markt zu bestehen. Dies hat zur Folge, dass einerseits immer mehr personenbezogene Daten der Kunden, aber auch interne Daten wie Informationen über Beschäftigungsverhältnisse oder Lieferantenbeziehungen genutzt und meist ohne Löschkonzept gesammelt werden. Die Daten selbst stellen inzwischen ein bedeutendes und gern genutztes Wirtschaftsgut dar. Um trotz der raschen technologischen Entwicklung ein hohes Datenschutzniveau zu gewährleisten, führte die Europäische Union (EU) zum 25.05.2018 die Datenschutzgrundverordnung ((Verordnung (EU) 2016/679); DSGVO) ein. Diese Verordnung bildet die Grundlage des Datenschutzes in der EU und ist für alle Mitgliedsstaaten verbindlich. Durch verschiedene Öffnungsklauseln, zum Beispiel Art. 10 DSGVO, können die Mitgliedsstaaten den Datenschutz durch weitere nationale Gesetze und Verordnungen verschärfen, wie in Deutschland zum Beispiel durch das Bundesdatenschutzgesetz geschehen. Die DSGVO schützt jede Person vor der unsachgemäßen Verarbeitung und Verwendung ihrer personenbezogenen Daten. Der räumliche Geltungsbereich der DSGVO umfasst nach Art. 3 I DSGVO alle in der EU niedergelassenen Unternehmen, wie auch nach Art. 3 II DSGVO alle nicht in der Union ansässigen Unternehmen, die unter bestimmten Voraussetzungen am EU-Markt agieren. Durch die unionsweiten Regelungen soll unter anderem eine größere Rechtssicherheit entstehen, sowie der Binnenmarkt der EU gestärkt werden. Grundsätzlich ist Datenschutz bereits Ausfluss des Grundrechts auf informationelle Selbstbestimmung aus Art. 8 der EU-Grundrechtecharta. Durch die DSGVO unterliegt die Erfassung, Bearbeitung, Speicherung, Übermittlung und letztlich auch die Archivierung von Daten datenschutzrechtlichen Regelungen. Unternehmen werden dabei unter anderem verpflichtet, die betroffene Person über die Datenerhebung zu informieren (Art. 13 DSGVO). Außerdem müssen sie Datenschutzgrundsätze (Art. 5 DSGVO) sowie Datensicherheitsmaßnahmen (Art. 24, Art. 32 DSGVO) einhalten. Datenschutz wird in Unternehmen noch häufig negativ assoziiert und vernachlässigt.
Inhaltsverzeichnis
1. Einleitung
2. Aufbau von Datenschutzmanagement-Systemen
3. Der Prozess der Implementierung von Datenschutzmanagementsystemen
3.1 Voraussetzungen für die Einführung
3.2 Phase 1: Plan
3.3 Phase 2: Do
3.4 Phase 3: Check
3.5 Phase 4: Act
4. Weitere konkrete Implementierungsvorschläge
5. Fazit und Ausblick
I. Literaturverzeichnis
II. Abbildungsverzeichnis
Abbildung 1: Titelbild des Leitfadens (Quelle: zhangliams/pixabay)
1. Einleitung
Für immer mehr Unternehmen ist eine erfolgreiche Digitalisierung als Wettbewerbsvorteil von entscheidender Bedeutung, um am Markt zu bestehen.1 Dies hat zur Folge, dass einerseits immer mehr personenbezogene Daten der Kunden, aber auch interne Daten wie Informationen über Beschäftigungsverhältnisse oder Lieferantenbeziehungen genutzt und meist ohne Löschkonzept gesammelt werden. Die Daten selbst stellen inzwischen ein bedeutendes und gern genutztes Wirtschaftsgut dar.2 Um trotz der raschen technologischen Entwicklung ein hohes Datenschutzniveau zu gewährleisten,3 führte die Europäische Union (EU) zum 25.05.2018 die Datenschutzgrundverordnung ((Verordnung (EU) 2016/679); DSGVO) ein. Diese Verordnung bildet die Grundlage des Datenschutzes in der EU und ist für alle Mitgliedsstaaten verbindlich. Durch verschiedene Öffnungsklauseln, zum Beispiel Art. 10 DSGVO, können die Mitgliedsstaaten den Datenschutz durch weitere nationale Gesetze und Verordnungen verschärfen, wie in Deutschland zum Beispiel durch das Bundesdatenschutzgesetz geschehen.4 Die DSGVO schützt jede Person vor der unsachgemäßen Verarbeitung und Verwendung ihrer personenbezogenen Daten. Der räumliche Geltungsbereich der DSGVO umfasst nach Art. 3 I DSGVO alle in der EU niedergelassenen Unternehmen, wie auch nach Art. 3 II DSGVO alle nicht in der Union ansässigen Unternehmen, die unter bestimmten Voraussetzungen am EU-Markt agieren. Durch die unionsweiten Regelungen soll unter anderem eine größere Rechtssicherheit entstehen,5 sowie der Binnenmarkt der EU gestärkt werden.6 Grundsätzlich ist Datenschutz bereits Ausfluss des Grundrechts auf informationelle Selbstbestimmung aus Art. 8 der EU-Grundrechtecharta. Durch die DSGVO unterliegt die Erfassung, Bearbeitung, Speicherung, Übermittlung und letztlich auch die Archivierung von Daten datenschutzrechtlichen Regelungen.7 Unternehmen werden dabei unter anderem verpflichtet, die betroffene Person über die Datenerhebung zu informieren (Art. 13 DSGVO). Außerdem müssen sie Datenschutzgrundsätze (Art. 5 DSGVO) sowie Datensicherheitsmaßnahmen (Art. 24, Art. 32 DSGVO) einhalten. Datenschutz wird in Unternehmen noch häufig negativ assoziiert und vernachlässigt. Die Unternehmen sehen sich mehrheitlich durch datenschutzrechtliche Hemmnisse behindert8 und fühlen sich mit einem erheblichen Umsetzungsaufwand9 konfrontiert. Daneben besteht die Sorge, dass Unternehmen aufgrund der Vorgaben einen Wettbewerbsnachteil gegenüber Unternehmen an einem Standort mit niedrigerem Datenschutzniveau haben.10 Durch Datenschutzvorfällen drohen den Unternehmen hohe Bußgelder von bis zu vier Prozent des globalen Umsatzes, sowie die Gefahr schwerwiegender Reputations-schäden.11 Um dies zu vermeiden ist eine richtige Implementierung und Umsetzung eines Datenschutzmanagement-Systems notwendig. Aus der DSGVO ergeben sich nicht nur zahlreiche Pflichten, sie bietet gleichzeitig auch die Möglichkeit Unternehmensprozesse, Organisationsabläufe und IT-Verarbeitungssysteme proaktiv zu gestalten.12 Die Unternehmen, denen dies gelingt, können sich mitunter von der Konkurrenz hervorheben und so möglicherweise einen Wettbewerbsvorteil erlangen. Die DSGVO ist dadurch nicht nur eine Herausforderung als einzuhaltendes Gesetz, sondern kann gleichzeitig eine große Chance für die Gewinnung von Kundenvertrauen und damit einen potenziellen Wachstumstreiber darstellen.13
2. Aufbau von Datenschutzmanagement-Systemen
Damit das Unternehmen diesen Wettbewerbsvorteil erfolgreich erlangen kann, muss die Unternehmensstruktur an die Einhaltung der Regelungen der DSGVO angepasst werden. Art. 24 I DSGVO setzt voraus, dass der Verantwortliche geeignete Maßnahmen zur Sicherstellung und Dokumentation ergreifen muss, damit die Datenverarbeitung nach den Vorschriften der DSGVO erfolgt. Diese Pflicht umfasst die Einrichtung und Umsetzung geeigneter, technischer und organisatorischer Maßnahmen, um eine angemessene Sicherheit für personenbezogene Daten während der Verarbeitung zu gewährleisten.14 Der Schutz umfasst nach Art. 5 I lit. f) DSGVO neben der regulären Verarbeitung auch den Schutz vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung und einer unbefugten oder unrechtmäßigen Verarbeitung. Um dies zu erreichen, müssen Unternehmen sich einen exakten Überblick über die Datenverarbeitungsprozesse verschaffen und diese auf mögliche Risiken untersuchen. Darüber hinaus müssen alle datenschutzrelevanten Vorgänge für eine mögliche Überprüfung über die Einhaltung der DSGVO durch die Aufsichtsbehörde dokumentiert werden.15 Die DSGVO selbst fordert keine Implementierung eines Datenschutzmanagement-Systems (DSMS), jedoch kann nur durch dessen Verwendung in der Unternehmenspraxis die Einhaltung der DSGVO sichergestellt werden. Dabei handelt es sich bei einem DSMS nicht um ein standardisiertes System, sondern vielmehr um das Zusammenspiel verschiedener Maßnahmen, um Abläufe und Prozesse im Unternehmen zu planen, umzusetzen, zu prüfen und gegebenenfalls zu verbessern. Um eine gewisse Anpassungsfähigkeit auch in Hinblick auf Rechtsprechungsänderungen zu gewährleisten, sollte ein DSMS möglichst modular aufgebaut sein und sowohl verbindliche, wie auch optionale Komponenten beinhalten.16 Dabei ist zu beachten, dass nicht das Unternehmen unverhältnismäßig an das System angepasst wird, sondern sich das System an die Besonderheiten des Unternehmens angliedert. Das DSMS soll die Umsetzung von Unternehmenszielen unterstützen.17 Es sollte unter anderem folgende Anforderungen berücksichtigen: Grundsätze der DSGVO, Betroffenenrechte, Auftragsverarbeitung nach der DSGVO, Verzeichnis von Verarbeitungstätigkeiten, Verhalten bei Datenschutzverletzungen, Einstellung eines Datenschutzbeauftragten18 und den Umgang mit der Aufsichtsbehörde.
3. Der Prozess der Implementierung von Datenschutzmanagementsystemen
Für die Implementierung bietet sich aufgrund der dynamischen Vorgehensweise eine Implementierung nach dem PDCA-Zyklus an, dieser stellt eine dynamische Methode zur permanenten Anpassung und Optimierung dar.19 Der PDCA-Zyklus oder auch Deming-Kreis wird in vier Zyklusphasen eingeteilt: Für die Erreichung der Datenschutzkonformität müssen die notwendigen technischen und organisatorischen Maßnahmen zunächst geplant (P – „plan“) und anschließend durchgeführt (D – „do“) werden. Danach werden sie auf ihre Effektivität und Effizienz hin überprüft (C - „check“) und auf Basis der dadurch gewonnenen Erkenntnisse werden weitere Maßnahmen festgelegt (A - „act“).20 Dabei sind die Phasen in der praktischen Umsetzung nicht isoliert zu betrachten, vielmehr sollten zum Beispiel Verbesserungsmaßnahmen frühestmöglich eingearbeitet und nicht erst ein Audit/Review abgewartet werden. Maßnahmen können dabei auch vorzeitig oder parallel durchgeführt werden.21 Wird das Prinzip konsequent angewendet, stellt es einen kontinuierlichen Verbesserungsprozess dar. Durch diese schrittweise Verbesserung kann das System leicht an veränderte Anforderungen angepasst werden, wie zum Beispiel Änderungen in der Unternehmensstruktur, technische Verbesserungen oder bei Gesetzesänderungen.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Eigene Darstellung, Aufbau des PDCA-Zyklus bei der Implementierung von DSMS
[...]
1 Neuerer 2022.
2 Voigt/Bussche, S. V.
3 Erwägungsgrund Nr. 6 der DSGVO.
4 Reimann, S. 1.
5 Wybitul 2016, S. V.
6 Erwägungsgründe Nr. 2 und Nr. 13 der DSGVO.
7 Reimann, S. 1.
8 Neuerer 2022.
9 Neuerer 2021.
10 Hansen/Probst, S. 2.
11 Wybitul 2017, S. 2, Rn. 6.
12 Pachinger, S. 1.
13 Schmidt, S. 10.
14 Wybitul 2017, S. 371, Rn. 10.
15 Wybitul 2017, S. 378, Rn. 33.
16 Kathe, S. 4.
17 Loomans/Matz/Wiedemann, S. 22f.
18 Aus Gründen der besseren Lesbarkeit wird das generische Maskulinum verwendet, entsprechende Begriffe gelten im Sinne der Gleichbehandlung für alle Geschlechter.
19 Kathe, S. 4.
20 Szidzek, S. 281.
21 Loomans/Matz/Wiedemann, S. 66.