Datenschutz-Management-Systeme: Mit diesen DSMS lassen dich (neue) Verordnungen kalt
Wir erklären, was ein Datenschutz-Management-System ist, wofür es sich eignet und wie du den Durchblick behältst
- Was ist ein Datenschutz-Management-System (DSMS)?
- Wozu wird ein Datenschutz-Management-System benötigt?
- Was sind die Vor- und Nachteile eines Datenschutz-Management-Systems für Unternehmen?
- Welche gesetzlichen Regelungen gibt es für Datenschutz-Management-Systeme?
- Checkliste für die Auswahl und Einführung eines Datenschutz-Management-Systems
- Welche Datenschutz-Management-Tools eignen sich?
- Fazit: Wer nach dem Motto „No risk, no fun“ lebt, kann bei Excel & Co. bleiben – allen anderen empfehlen wir ein DSMS
Mit der Einführung der Datenschutzgrundverordnung (DSGVO) sind Unternehmen gesetzlich verpflichtet, bestimmten Rechenschafts- und Nachweispflichten nachzukommen. Datenschutzexperte.de hat mit mehr als 100 Datenschutzbeauftragten in KMUs gesprochen: Laut einer Studie sind die größten Zeitfresser sämtliche Projekt-Management-Tätigkeiten (z. B. Informationsbeschaffung), die lückenlose Pflege des Verzeichnisses von Verarbeitungstätigkeiten (VVT) und die Dokumentation aller technischen und organisatorischen Maßnahmen (TOM).
Einige Unternehmen verwenden beim Datenschutz Excel- und Word-Dateien, die prozessuale Herausforderungen, eine dezentrale Dokumentation und eine hohe Intransparenz mit sich bringen. Dies führt zu einem höheren Zeitaufwand und Fehlerpotenzial. Ein Datenschutz-Management-System (DSMS) kann Datenschutzbeauftragte entlasten und den internen Aufwand sowie Fehler minimieren. In diesem Artikel erfährst du, worauf du bei der Wahl deines DSMS achten solltest und erhältst eine Liste der beliebtesten Tools in der OMR Community.
Was ist ein Datenschutz-Management-System (DSMS)?
Ein Datenschutz-Management-System ist die Datenschutz-Roadmap für Firmen aus jeder Branche. Es weist Unternehmen den Weg hinsichtlich eines konformen Umgangs mit personenbezogenen Daten.
Wozu wird ein Datenschutz-Management-System benötigt?
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) vereinheitlicht die Umsetzung des Datenschutzes innerhalb der EU. Für alle Mitgliedsstaaten gelten die gleichen Regeln. Diese werden durch das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt. Europäische Unternehmen können mit einem Datenschutz-Management-System ihren Datenschutz rechtskonform regeln, planen, steuern und kontrollieren. Der Einsatz eines DSMS gibt mit einem klaren Fahrplan sowohl der Führungsebene als auch den Beschäftigten und den Kundinnen und Kunden Sicherheit.
Aufgaben eines Datenschutz-Management-Systems:
- Überprüfung aller datenschutzrechtlichen Maßnahmen im Unternehmen
- Etablierung von Standards nach DSGVO (z. B. Auftragsverarbeitungsverträge, Rechenschaftspflichten, TOM, Bestellung eines Datenschutzbeauftragten)
- Einführung standardisierter Prozesse (z. B. Betroffenen- und Löschanfragen, Datenschutzverletzungen)
- Herausgabe einer Anforderungsübersicht inkl. Leitfäden und Handlungsanweisungen an Mitarbeiterinnen und Mitarbeiter
- Einhaltung von Datenschutz-Compliance (datenschutzrechtliche Vorschriften)
Was sind die Vor- und Nachteile eines Datenschutz-Management-Systems für Unternehmen?
Ein Datenschutz-Management-System digitalisiert und optimiert die Datenschutzprozesse im Unternehmen. Es entlastet Datenschutzverantwortliche und einzelne Fachbereiche, die mit personenbezogenen Daten arbeiten. Ein DSMS minimiert den internen Arbeitsaufwand und die Fehlerquote.
Vorteile
- Einheitliche Strukturen und übersichtliche Organisationsverwaltungen
- Berechtigungskonzepte, Exportfunktionen, Rechtsberatung und -sicherheit
- Digitalisierung, Synchronisierung und Zentralisierung von Daten
- Erstellung von Risikoanalysen
- Systematische Erfassung und Verwaltung personenbezogener Daten
- Datentransparenz und -kontrolle
- Identifikation sowie Senkung von Datenschutzrisiken und Minimierung von Datenschutzverletzungen
- Vertrauenssteigerung von Kundinnen und Kunden, Mitarbeiter*innen sowie Lieferantinnen und Lieferanten
- Einfache Überprüfung der Datenschutz-Compliance
- Bußgeldmindernde Wirkung bei unbeabsichtigten Datenschutzverstößen
Nachteile
Um die Pflichtbestandteile laut DSGVO abzubilden, reicht Excel theoretisch aus. Im Vergleich hierzu kann die Implementierung eines neuen Systems zeitaufwendig sein. Der Aufwand sollte stets in Relation zur Unternehmensgröße betrachtet werden.
Welche gesetzlichen Regelungen gibt es für Datenschutz-Management-Systeme?
In der Datenschutzgrundverordnung wird nicht explizit ein spezielles Datenschutz-Management vorgeschrieben. Daher kann jedes DSMS eine andere Herangehensweise haben, eine konforme Dokumentations- und Rechenschaftspflicht zu gewährleisten.
Wichtige Rechenschafts- und Nachweispflichten
Unternehmen müssen einerseits sicherstellen, dass sie sich an die Vorgaben der Datenschutzgrundverordnung halten. Andererseits müssen sie das auch nachweisen können, denn sonst drohen Bußgelder und Schadensersatzansprüche. Die Rechts- und Nachweispflichten umfassen:
- Zweckbindung der erhobenen Daten
- Korrekte Daten, Löschung oder Datenberichtigung
- Minimale Datenspeicherung („nur solange wie nötig“)
- Datentransparenz, Rechtmäßigkeit und Verarbeitung nach Treu und Glauben
- Datenminimierung
- Integrität, Vertraulichkeit, Verfügbarkeit
- Verarbeitungsverzeichnisse
- Auftragsverarbeitungsverträge
- Technische und organisatorische Maßnahmen
- Datenschutzfolgenabschätzung
- Datenschutzbeauftragte
- Mitarbeiterschulungen
- Datenschutz-Vorfall-Dokumentation
Art. 1 DSGVO Gegenstand und Ziele
- Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
- Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
- Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Art. 2 DSGVO Sachlicher Anwendungsbereich
- Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
- Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
- im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
- durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
- durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
- durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
- Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. 2Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
- Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.
Datenschutzorganisation und Verantwortlichkeiten
Je nach Unternehmensgröße ist es hilfreich, neben Datenschutzbeauftragten auch Datenschutzverantwortliche in einzelnen Abteilungen zu benennen. Diese Personen sollten zwischen Beschäftigten und Datenschutzbeauftragten koordinieren und ggf. als erste Anlaufstelle dienen. Das Schulen und Sensibilisieren der Mitarbeiter*innen fällt meist dennoch ins Gebiet der Datenschutzbeauftragten.
Meldepflichtige Fälle sind beispielsweise:
- Betroffenenmeldungen
- Einführung neuer Systeme
- Neue Dienstleister*innen
- Werbemaßnahmen wie ein Newsletterversand
- Onlinemarketing-Maßnahmen wie Trackingaktionen
Verzeichnis von Verarbeitungstätigkeiten
Unternehmen müssen ermitteln, in welchen Fällen personenbezogene Daten erhoben und verarbeitet werden. Zunächst kann man alle Systeme und Tools im Unternehmen auflisten, in denen personenbezogene Daten gespeichert werden.
Datenschutzfolgenabschätzung
In bestimmten Fällen müssen Unternehmen eine Datenschutzfolgenabschätzung durchführen – beispielsweise, wenn eine Verarbeitung vermutlich ein hohes Risiko für personenbezogene Daten verursacht.
Vertragsmanagement
Es empfiehlt sich, alle Dienstleister*innen aufzulisten. Datenschutzbeauftragte sollten prüfen, ob
- personenbezogene Daten preisgegeben, verwendet, übermittelt oder verarbeitet werden,
- eine Vereinbarung zur Auftragsverarbeitung erforderlich ist und
- diese bereits abgeschlossen wurde.
Datengeheimnis
Mitarbeiter*innen sollten zur Unterzeichnung des Datengeheimnisses verpflichtet werden, auch wenn dies in der Datenschutzgrundverordnung nicht ausdrücklich geregelt ist.
Datenschutzschulung
Datenschutzbeauftragte müssen die ordnungsgemäße Durchführung von Schulungen überwachen.
Wahrnehmung von Betroffenenrechten
Betroffene haben das Recht auf Informationserhalt (Informationsrecht), Auskunft und Widerspruch (das Auskunfts- und Widerspruchsrecht), auf Berichtigung, Löschung und Einschränkung sowie auf Datenübertragbarkeit.
Datenschutzverstöße
Bei einer Verletzung des Schutzes personenbezogener Daten müssen Unternehmen die Verletzung unverzüglich nach Kenntnisnahme bei der zuständigen Aufsichtsbehörde melden.
Datensicherheit
Vorgaben zur Sicherheit der Verarbeitung findest du unter anderem in Art. 5 Abs. 1 f sowie in Art. 32 der DSGVO.
Beispiele
Hosting
Du musst sicherstellen, dass deine Datenschutzerklärung alle aktuellen Datenschutzgesetze abdeckt. Darum solltest du sie regelmäßig überprüfen. Außerdem gehört es zu deinen Aufgaben, Dokumente für Behörden anzulegen, die deine DSGVO-Maßnahmen nachweisen. Das schließt z. B. Verträge mit Sub-Unternehmen sowie technische und organisatorische Maßnahmen ein. Das kannst du beispielsweise mit dem consentmanager tun. Die Details zu diesem Thema findest du im Artikel DSGVO-konformes Hosting.
Quelle: ConsentManager
E-Mail-Verschlüsselung
Eine S/MIME- und PGP-basierte E-Mail-Verschlüsselung bildet das Fundament für den Datenschutz und die Rechtssicherheit elektronischer Nachrichten. Mit Mail Gateway von NoSpamProxy kannst du unter anderem EU-DSGVO-konforme E-Mails versenden.
Quelle: NoSpamProxy
Datenanalyse
SAI360 hilft dir, fundierte Entscheidungen basierend auf personalisierbaren Berichten zu treffen, unter Nutzung der Verarbeitung natürlicher Sprachen (NLP) auf Daten zuzugreifen und Berichte für Compliance-Prüfungen zu erstellen und anzupassen.
Quelle: SAI360
Checkliste für die Auswahl und Einführung eines Datenschutz-Management-Systems
Die Wahl deines Datenschutz-Management-Systems ist eine wichtige Entscheidung. Wir empfehlen dir, systematisch vorzugehen und eine Checkliste zu verwenden.
1. Kriterien an Anbieter*innen
Deine Datenschutzbestimmungen sollten nicht nur auf dem Papier gut aussehen, sondern auch im Unternehmen gelebt werden. Die Seriosität und fachliche Expertise des Softwareanbieters bzw. der Softwareanbieterin spielt dabei eine wesentliche Rolle. Optimal ist ein Serverstandort innerhalb der EU. Achte darauf, dass der Anbieter regelmäßig Updates durchführt, um alle neuen Gesetze oder Gesetzesänderungen zu berücksichtigen und ein deutschsprachiger Support erreichbar ist. Es lohnt sich auf jeden Fall, dich mit den Referenzen zu beschäftigen, um ähnliche Unternehmen und deren Erfahrungen zu studieren. Die meisten Datenschutz-Management-Systeme beinhalten eine kostenlose Testphase oder sind als kostenlose Demoversionen erhältlich, wodurch du die Interaktivität und Benutzerfreundlichkeit checken kannst. Binde am besten die Personen in die Systemauswahl ein, die später mit dem DSMS arbeiten sollen.
2. Funktionsumfang
Da jedes System weitestgehend selbst entscheiden kann, wie es die DSGVO-Pflichtvorgaben abdeckt, können die DSMS unterschiedlich aufgebaut sein. Über diese Kernfunktionen sollte dein Datenschutz-Management-System dennoch verfügen:
Funktion | Beispiele |
Verarbeitungstätigkeitenverzeichnis | einfache Übersicht, VVT-Export auf Knopfdruck, Verarbeitungstätigkeiten vererben, adaptive Ansichten und Felder, Datei-Upload für Nachweise, Freigabeprozess, Vollständigkeitskontrolle, Angabe und Vorauswahl von Datentypen, flexible Zuordnung von Externen zu Datenkategorien, Unterscheidung zwischen Datenspeicherort und externen Empfänger*innen, Hinterlegung gesetzlicher Aufbewahrungsfristen und Datenflussdiagrammerstellung |
Datenschutzfolgenabschätzung | Direkte Verknüpfung mit dem Verzeichnis von Verarbeitungstätigkeiten, Freitexteingabe und Funktionen, Risikoerfassung und -bewertung, Risiken- und TOM-Vorauswahl, Dokumentation der Einhaltung der Betroffenenrechte und Exportfunktionen |
Technische und organisatorische Maßnahmen |
Vorlagen, Zuordnung von TOMs zu Gewährleistungszielen, TOM-Übersicht mit Status, von TOMs und Risiken |
Datenschutzverletzungen | Vorfallmeldefunktion für alle Mitarbeitende, Maßnahmen- und Aufgabenableitung sowie -nachverfolgung, Entscheidungsdokumentation, Behördenmeldung mittels Exportfunktion |
Betroffenenanfragen | Betroffenenanfragendokumentation, E-Mail-Client oder Customer-Support-Software-Integration, Daten-Speicherort-Überblick |
Löschkonzept | Angabenübernahme aus VVT, Löschkonzeptexport, Anzeigen und Nachverfolgung von Löschterminen, Löschprotokollierung |
Dienstleistermanagement/Auftragsverarbeitung | Empfängerlisten, Produkt- und Serviceverwaltung, Angaben- und Vertragsvereinbarungsdokumentation, Unterstützung bei der Compliance-Prüfung, Kommunikation mit Fachbereichen und externen Empfänger*innen, Ausfüllhilfen und Vorlagen, Prozessdarstellung inkl. Personeneinbindung |
Dokumentenablage | Dokumentencenter und Einwilligungsverzeichnisse |
KPI-Messung und Reporting | Dashboard inkl. Filterfunktion, Aktivitätsnachverfolgung und Jahresberichtserstellung |
Auditierung | Audit-Vorlagen, -Fragenkataloge, -Reports und -Findings |
Zusammenarbeit | Aufgabenerstellung, -zuweisung und -nachverfolgung, Benachrichtigungen, wiederkehrende Aufgaben und Wiedervorlagen |
Rollen- und Organisationsverwaltung | Hinzufügen von Benutzer*innen, Festlegung von Benutzerrollen, Organisationsstrukturpflege sowie Konzern- und Mandantenfähigkeit |
Sicherheit | Single Sign-on, Zwei-Faktor-Authentifizierung (2FA) und Schnittstellen (APIs) |
Onboarding und Set-up | Dokumentenimport, Vorlagen, Schulungskonzepte und Implementierungsunterstützung |
Welche Datenschutz-Management-Tools eignen sich?
Auf OMR Reviews findest du viele hilfreiche Tools zum Datenschutz-Management, die dich bei der Umsetzung eines DSGVO-konformen Datenschutzkonzeptes unterstützen. Du kannst deine Auswahl mittels Filter verfeinern. Die verifizierten Nutzerbewertungen helfen dir, die passenden Tools zu finden.
Falls du zusätzliche Unterstützung bei der Integration und Implementierung eines Datenschutz-Management-Systems benötigst, können IT-Dienstleister dir mit ihrer Expertise und professionellen Lösungen weiterhelfen.
Das sind aktuell die beliebtesten DSMS auf OMR Reviews:
Fazit: Wer nach dem Motto „No risk, no fun“ lebt, kann bei Excel & Co. bleiben – allen anderen empfehlen wir ein DSMS
Zwar wird ein Datenschutz-Management-System, wie heyData
nicht direkt von der DSGVO verlangt, doch die umfangreiche Rechtsgrundlage macht es kaum möglich, ohne DSMS den Durchblick zu behalten. Es gewährleistet eine rechtssichere Verwaltung, Bearbeitung sowie die Nachverfolgbarkeit für mögliche Kontrolltermine durch Behörden.