Datenschutz-Management-Systeme: Mit diesen DSMS lassen dich (neue) Verordnungen kalt

Pia Heßler 4.8.2023

Wir erklären, was ein Datenschutz-Management-System ist, wofür es sich eignet und wie du den Durchblick behältst

Inhalt
  1. Was ist ein Datenschutz-Management-System (DSMS)?
  2. Wozu wird ein Datenschutz-Management-System benötigt?
  3. Was sind die Vor- und Nachteile eines Datenschutz-Management-Systems für Unternehmen?
  4. Welche gesetzlichen Regelungen gibt es für Datenschutz-Management-Systeme?
  5. Checkliste für die Auswahl und Einführung eines Datenschutz-Management-Systems
  6. Welche Datenschutz-Management-Tools eignen sich?
  7. Fazit: Wer nach dem Motto „No risk, no fun“ lebt, kann bei Excel & Co. bleiben – allen anderen empfehlen wir ein DSMS

Mit der Einführung der Datenschutzgrundverordnung (DSGVO) sind Unternehmen gesetzlich verpflichtet, bestimmten Rechenschafts- und Nachweispflichten nachzukommen. Datenschutzexperte.de hat mit mehr als 100 Datenschutzbeauftragten in KMUs gesprochen: Laut einer Studie sind die größten Zeitfresser sämtliche Projekt-Management-Tätigkeiten (z. B. Informationsbeschaffung), die lückenlose Pflege des Verzeichnisses von Verarbeitungstätigkeiten (VVT) und die Dokumentation aller technischen und organisatorischen Maßnahmen (TOM).

Einige Unternehmen verwenden beim Datenschutz Excel- und Word-Dateien, die prozessuale Herausforderungen, eine dezentrale Dokumentation und eine hohe Intransparenz mit sich bringen. Dies führt zu einem höheren Zeitaufwand und Fehlerpotenzial. Ein Datenschutz-Management-System (DSMS) kann Datenschutzbeauftragte entlasten und den internen Aufwand sowie Fehler minimieren. In diesem Artikel erfährst du, worauf du bei der Wahl deines DSMS achten solltest und erhältst eine Liste der beliebtesten Tools in der OMR Community.

Was ist ein Datenschutz-Management-System (DSMS)?

Ein Datenschutz-Management-System ist die Datenschutz-Roadmap für Firmen aus jeder Branche. Es weist Unternehmen den Weg hinsichtlich eines konformen Umgangs mit personenbezogenen Daten.

Mehr zu heyData erfahren

Wozu wird ein Datenschutz-Management-System benötigt?

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) vereinheitlicht die Umsetzung des Datenschutzes innerhalb der EU. Für alle Mitgliedsstaaten gelten die gleichen Regeln. Diese werden durch das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt. Europäische Unternehmen können mit einem Datenschutz-Management-System ihren Datenschutz rechtskonform regeln, planen, steuern und kontrollieren. Der Einsatz eines DSMS gibt mit einem klaren Fahrplan sowohl der Führungsebene als auch den Beschäftigten und den Kundinnen und Kunden Sicherheit.

Aufgaben eines Datenschutz-Management-Systems:

  • Überprüfung aller datenschutzrechtlichen Maßnahmen im Unternehmen
  • Etablierung von Standards nach DSGVO (z. B. Auftragsverarbeitungsverträge, Rechenschaftspflichten, TOM, Bestellung eines Datenschutzbeauftragten)
  • Einführung standardisierter Prozesse (z. B. Betroffenen- und Löschanfragen, Datenschutzverletzungen)
  • Herausgabe einer Anforderungsübersicht inkl. Leitfäden und Handlungsanweisungen an Mitarbeiterinnen und Mitarbeiter
  • Einhaltung von Datenschutz-Compliance (datenschutzrechtliche Vorschriften)

Was sind die Vor- und Nachteile eines Datenschutz-Management-Systems für Unternehmen?

Ein Datenschutz-Management-System digitalisiert und optimiert die Datenschutzprozesse im Unternehmen. Es entlastet Datenschutzverantwortliche und einzelne Fachbereiche, die mit personenbezogenen Daten arbeiten. Ein DSMS minimiert den internen Arbeitsaufwand und die Fehlerquote.

Vorteile

  • Einheitliche Strukturen und übersichtliche Organisationsverwaltungen
  • Berechtigungskonzepte, Exportfunktionen, Rechtsberatung und -sicherheit
  • Digitalisierung, Synchronisierung und Zentralisierung von Daten
  • Erstellung von Risikoanalysen
  • Systematische Erfassung und Verwaltung personenbezogener Daten
  • Datentransparenz und -kontrolle
  • Identifikation sowie Senkung von Datenschutzrisiken und Minimierung von Datenschutzverletzungen
  • Vertrauenssteigerung von Kundinnen und Kunden, Mitarbeiter*innen sowie Lieferantinnen und Lieferanten
  • Einfache Überprüfung der Datenschutz-Compliance
  • Bußgeldmindernde Wirkung bei unbeabsichtigten Datenschutzverstößen

Nachteile

Um die Pflichtbestandteile laut DSGVO abzubilden, reicht Excel theoretisch aus. Im Vergleich hierzu kann die Implementierung eines neuen Systems zeitaufwendig sein. Der Aufwand sollte stets in Relation zur Unternehmensgröße betrachtet werden.

Welche gesetzlichen Regelungen gibt es für Datenschutz-Management-Systeme?

In der Datenschutzgrundverordnung wird nicht explizit ein spezielles Datenschutz-Management vorgeschrieben. Daher kann jedes DSMS eine andere Herangehensweise haben, eine konforme Dokumentations- und Rechenschaftspflicht zu gewährleisten.

Wichtige Rechenschafts- und Nachweispflichten

Unternehmen müssen einerseits sicherstellen, dass sie sich an die Vorgaben der Datenschutzgrundverordnung halten. Andererseits müssen sie das auch nachweisen können, denn sonst drohen Bußgelder und Schadensersatzansprüche. Die Rechts- und Nachweispflichten umfassen:

  • Zweckbindung der erhobenen Daten
  • Korrekte Daten, Löschung oder Datenberichtigung
  • Minimale Datenspeicherung („nur solange wie nötig“)
  • Datentransparenz, Rechtmäßigkeit und Verarbeitung nach Treu und Glauben
  • Datenminimierung
  • Integrität, Vertraulichkeit, Verfügbarkeit
  • Verarbeitungsverzeichnisse
  • Auftragsverarbeitungsverträge
  • Technische und organisatorische Maßnahmen
  • Datenschutzfolgenabschätzung
  • Datenschutzbeauftragte
  • Mitarbeiterschulungen
  • Datenschutz-Vorfall-Dokumentation

Art. 1 DSGVO Gegenstand und Ziele

  1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Art. 2 DSGVO Sachlicher Anwendungsbereich

  1. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
  2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten 
    1. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
    2. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
    3. durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
    4. durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
  3. Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. 2Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
  4. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.

Datenschutzorganisation und Verantwortlichkeiten

Je nach Unternehmensgröße ist es hilfreich, neben Datenschutzbeauftragten auch Datenschutzverantwortliche in einzelnen Abteilungen zu benennen. Diese Personen sollten zwischen Beschäftigten und Datenschutzbeauftragten koordinieren und ggf. als erste Anlaufstelle dienen. Das Schulen und Sensibilisieren der Mitarbeiter*innen fällt meist dennoch ins Gebiet der Datenschutzbeauftragten.

Meldepflichtige Fälle sind beispielsweise:

  • Betroffenenmeldungen
  • Einführung neuer Systeme
  • Neue Dienstleister*innen
  • Werbemaßnahmen wie ein Newsletterversand
  • Onlinemarketing-Maßnahmen wie Trackingaktionen

Verzeichnis von Verarbeitungstätigkeiten

Unternehmen müssen ermitteln, in welchen Fällen personenbezogene Daten erhoben und verarbeitet werden. Zunächst kann man alle Systeme und Tools im Unternehmen auflisten, in denen personenbezogene Daten gespeichert werden.

Datenschutzfolgenabschätzung

In bestimmten Fällen müssen Unternehmen eine Datenschutzfolgenabschätzung durchführen – beispielsweise, wenn eine Verarbeitung vermutlich ein hohes Risiko für personenbezogene Daten verursacht.

Vertragsmanagement

Es empfiehlt sich, alle Dienstleister*innen aufzulisten. Datenschutzbeauftragte sollten prüfen, ob

  • personenbezogene Daten preisgegeben, verwendet, übermittelt oder verarbeitet werden,
  • eine Vereinbarung zur Auftragsverarbeitung erforderlich ist und
  • diese bereits abgeschlossen wurde.

Datengeheimnis

Mitarbeiter*innen sollten zur Unterzeichnung des Datengeheimnisses verpflichtet werden, auch wenn dies in der Datenschutzgrundverordnung nicht ausdrücklich geregelt ist.

Datenschutzschulung

Datenschutzbeauftragte müssen die ordnungsgemäße Durchführung von Schulungen überwachen.

Wahrnehmung von Betroffenenrechten

Betroffene haben das Recht auf Informationserhalt (Informationsrecht), Auskunft und Widerspruch (das Auskunfts- und Widerspruchsrecht), auf Berichtigung, Löschung und Einschränkung sowie auf Datenübertragbarkeit.

Datenschutzverstöße

Bei einer Verletzung des Schutzes personenbezogener Daten müssen Unternehmen die Verletzung unverzüglich nach Kenntnisnahme bei der zuständigen Aufsichtsbehörde melden.

Datensicherheit

Vorgaben zur Sicherheit der Verarbeitung findest du unter anderem in Art. 5 Abs. 1 f sowie in Art. 32 der DSGVO.

Beispiele

Hosting

Du musst sicherstellen, dass deine Datenschutzerklärung alle aktuellen Datenschutzgesetze abdeckt. Darum solltest du sie regelmäßig überprüfen. Außerdem gehört es zu deinen Aufgaben, Dokumente für Behörden anzulegen, die deine DSGVO-Maßnahmen nachweisen. Das schließt z. B. Verträge mit Sub-Unternehmen sowie technische und organisatorische Maßnahmen ein. Das kannst du beispielsweise mit dem consentmanager tun. Die Details zu diesem Thema findest du im Artikel DSGVO-konformes Hosting.

Datenschutz-Management-System Consent Management.png

Quelle: ConsentManager

E-Mail-Verschlüsselung

Eine S/MIME- und PGP-basierte E-Mail-Verschlüsselung bildet das Fundament für den Datenschutz und die Rechtssicherheit elektronischer Nachrichten. Mit Mail Gateway von NoSpamProxy kannst du unter anderem EU-DSGVO-konforme E-Mails versenden.

Datenschutz-Management-System NoSpamProxy.png

Quelle: NoSpamProxy

Datenanalyse

SAI360 hilft dir, fundierte Entscheidungen basierend auf personalisierbaren Berichten zu treffen, unter Nutzung der Verarbeitung natürlicher Sprachen (NLP) auf Daten zuzugreifen und Berichte für Compliance-Prüfungen zu erstellen und anzupassen.

Datenschutz-Management-System SAI360.png

Quelle: SAI360

Checkliste für die Auswahl und Einführung eines Datenschutz-Management-Systems

Die Wahl deines Datenschutz-Management-Systems ist eine wichtige Entscheidung. Wir empfehlen dir, systematisch vorzugehen und eine Checkliste zu verwenden.

1. Kriterien an Anbieter*innen

Deine Datenschutzbestimmungen sollten nicht nur auf dem Papier gut aussehen, sondern auch im Unternehmen gelebt werden. Die Seriosität und fachliche Expertise des Softwareanbieters bzw. der Softwareanbieterin spielt dabei eine wesentliche Rolle. Optimal ist ein Serverstandort innerhalb der EU. Achte darauf, dass der Anbieter regelmäßig Updates durchführt, um alle neuen Gesetze oder Gesetzesänderungen zu berücksichtigen und ein deutschsprachiger Support erreichbar ist. Es lohnt sich auf jeden Fall, dich mit den Referenzen zu beschäftigen, um ähnliche Unternehmen und deren Erfahrungen zu studieren. Die meisten Datenschutz-Management-Systeme beinhalten eine kostenlose Testphase oder sind als kostenlose Demoversionen erhältlich, wodurch du die Interaktivität und Benutzerfreundlichkeit checken kannst. Binde am besten die Personen in die Systemauswahl ein, die später mit dem DSMS arbeiten sollen.

2. Funktionsumfang

Da jedes System weitestgehend selbst entscheiden kann, wie es die DSGVO-Pflichtvorgaben abdeckt, können die DSMS unterschiedlich aufgebaut sein. Über diese Kernfunktionen sollte dein Datenschutz-Management-System dennoch verfügen:

Verarbeitungstätigkeitenverzeichnis einfache Übersicht, VVT-Export auf Knopfdruck, Verarbeitungstätigkeiten vererben, adaptive Ansichten
und Felder, Datei-Upload für Nachweise, Freigabeprozess, Vollständigkeitskontrolle, Angabe und Vorauswahl
von Datentypen, flexible Zuordnung von Externen zu Datenkategorien, Unterscheidung zwischen
Datenspeicherort und externen Empfänger*innen, Hinterlegung gesetzlicher Aufbewahrungsfristen und
Datenflussdiagrammerstellung
Datenschutzfolgenabschätzung Direkte Verknüpfung mit dem Verzeichnis von Verarbeitungstätigkeiten, Freitexteingabe und Funktionen,
Risikoerfassung und -bewertung, Risiken- und TOM-Vorauswahl, Dokumentation der Einhaltung der
Betroffenenrechte und Exportfunktionen
Technische und organisatorische
Maßnahmen
Vorlagen, Zuordnung von TOMs zu Gewährleistungszielen, TOM-Übersicht mit Status, von TOMs und Risiken
Datenschutzverletzungen Vorfallmeldefunktion für alle Mitarbeitende, Maßnahmen- und Aufgabenableitung sowie
-nachverfolgung, Entscheidungsdokumentation, Behördenmeldung mittels Exportfunktion
Betroffenenanfragen Betroffenenanfragendokumentation, E-Mail-Client oder Customer-Support-Software-Integration,
Daten-Speicherort-Überblick
Löschkonzept Angabenübernahme aus VVT, Löschkonzeptexport, Anzeigen und Nachverfolgung von Löschterminen,
Löschprotokollierung
Dienstleistermanagement/Auftragsverarbeitung Empfängerlisten, Produkt- und Serviceverwaltung, Angaben- und Vertragsvereinbarungsdokumentation,
Unterstützung bei der Compliance-Prüfung, Kommunikation mit Fachbereichen und externen
Empfänger*innen, Ausfüllhilfen und Vorlagen, Prozessdarstellung inkl. Personeneinbindung
Dokumentenablage Dokumentencenter und Einwilligungsverzeichnisse
KPI-Messung und Reporting Dashboard inkl. Filterfunktion, Aktivitätsnachverfolgung und Jahresberichtserstellung
Auditierung Audit-Vorlagen, -Fragenkataloge, -Reports und -Findings
Zusammenarbeit Aufgabenerstellung, -zuweisung und -nachverfolgung, Benachrichtigungen, wiederkehrende
Aufgaben und Wiedervorlagen
Rollen- und Organisationsverwaltung Hinzufügen von Benutzer*innen, Festlegung von Benutzerrollen, Organisationsstrukturpflege
sowie Konzern- und Mandantenfähigkeit
Sicherheit Single Sign-on, Zwei-Faktor-Authentifizierung (2FA) und Schnittstellen (APIs)
Onboarding und Set-up Dokumentenimport, Vorlagen, Schulungskonzepte und Implementierungsunterstützung


Welche Datenschutz-Management-Tools eignen sich?

Auf OMR Reviews findest du viele hilfreiche Tools zum Datenschutz-Management, die dich bei der Umsetzung eines DSGVO-konformen Datenschutzkonzeptes unterstützen. Du kannst deine Auswahl mittels Filter verfeinern. Die verifizierten Nutzerbewertungen helfen dir, die passenden Tools zu finden.

Falls du zusätzliche Unterstützung bei der Integration und Implementierung eines Datenschutz-Management-Systems benötigst, können IT-Dienstleister dir mit ihrer Expertise und professionellen Lösungen weiterhelfen.

Das sind aktuell die beliebtesten DSMS auf OMR Reviews:

Fazit: Wer nach dem Motto „No risk, no fun“ lebt, kann bei Excel & Co. bleiben – allen anderen empfehlen wir ein DSMS

Zwar wird ein Datenschutz-Management-System, wie heyData

nicht direkt von der DSGVO verlangt, doch die umfangreiche Rechtsgrundlage macht es kaum möglich, ohne DSMS den Durchblick zu behalten. Es gewährleistet eine rechtssichere Verwaltung, Bearbeitung sowie die Nachverfolgbarkeit für mögliche Kontrolltermine durch Behörden.

Pia Heßler
Autor*In
Pia Heßler

Pia war mehr als 10 Jahre im Vertrieb und Marketing verschiedenster Unternehmen aktiv. Danach gründete sie ihr eigenes Unternehmen und betreibt dieses zusammen mit ihrer Geschäftspartnerin.

Alle Artikel von Pia Heßler

Im Artikel erwähnte Softwares

Im Artikel erwähnte Software-Kategorien

Ähnliche Artikel

Komm in die OMR Reviews Community & verpasse keine Neuigkeiten & Aktionen rund um die Software-Landschaft mehr.