Sie befinden sich hier:

Umsetzung eines Datenschutzmanagementsystems

Die Umsetzung des Datenschutzmanagements bedarf einer Konzeptionierung durch den Verantwortlichen, der die Datenschutzpolitik und -ziele festlegt, sowie Aufgaben und Verantwortlichkeiten für den Datenschutz bestimmt.

Der Verantwortliche einer öffentlichen oder nicht-öffentlichen Stelle trägt die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften nach der DSGVO und anderen Datenschutzgesetzen. Er ist Adressat der Rechte der betroffenen Personen nach Art. 12 ff. DSGVO und muss nicht nur die Rechtmäßigkeit der von ihm verantworteten Verarbeitungen personenbezogener Daten gewährleisten, sondern auch den Nachweis dafür erbringen, dass die Datenverarbeitung im Einklang mit den Vorgaben der Datenschutzgesetze erfolgt. Zudem muss jeder Verantwortliche (und jeder Auftragsverarbeiter) gemäß Art. 32 Abs. 1 Buchstabe d DSGVO ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung etablieren. Dies alles würde ohne ein Datenschutzmanagementsystem (DSMS), mit dem sichergestellt wird, dass im Zuständigkeitsbereich des Verantwortlichen die datenschutzrechtlichen Pflichten erfüllt und datenschutzrechtliche Bestimmungen eingehalten werden (Art. 24 Abs. 2 DSGVO), kaum funktionieren und zwar unabhängig davon, ob ein Datenschutzbeauftragter bestellt werden muss.

Die Umsetzung des Datenschutzmanagementsystems setzt voraus, dass datenschutzrechtliche Zuständigkeiten konkret einzelnen Organisationseinheiten oder Personen innerhalb der verantwortlichen Stelle zugewiesen und notwendige Verfahrensabläufe festgelegt werden.

Dazu müssen ausreichende Ressourcen für die Festlegung, Umsetzung, Durchführung, Überwachung, Überprüfung von Datenschutzmaßnahmen bereitgestellt werden.

Schließlich sind die Maßnahmen vorzugeben, die zur Sicherstellung des Datenschutzes geboten sind (z. B.):

  • Implementierung eines Information Security Management Systems (ISMS)
  • Erlass einer Datenschutz-Geschäftsordnung und einer Allgemeinen Betriebsweisung zum Datenschutz (Datenschutzrichtlinie),
  • Zuweisung von Zuständigkeiten,
  • Durchführung von Datenschutzschulungen und Sensibilisierung der Mitarbeiter,
  • Bestellung eines Datenschutzbeauftragten,
  • Einsatz datenschutzfreundlicher Technologien,
  • Durchführung von Datenschutz-Folgenabschätzungen,
  • Erstellung einer Verfahrensdokumentation,
  • Führung sonstiger Dokumentationen (z. B. hinsichtlich durchgeführter Risikobewertungen, von Sicherheitsverletzungen, Informationen von Betroffenen und Aufsichtsbehörden),
  • Umsetzung der Betroffenenrechte,
  • Erstellung von Regelungen zur Auftragsverarbeitung,
  • Erstellung eines Entsorgungskonzepts,
  • Durchführung von Kontrollen.

Die Vorgaben, Vorgehensweise, wesentlichen (Teil-)Konzepte, Analysen, Umsetzung, die dabei ergriffenen Maßnahmen und die Überwachungsmaßnahmen sollten dokumentiert werden. Dies dient der Transparenz und Einhaltung der Rechenschaftspflichten.

nach oben