Datenschutz in der EU
Seit 2018 ist die Europรคische Datenschutzgrundverordnung maรgebend, fรผr jeden, der in der Union personenbezogene Daten verarbeiten mรถchte. Zwar gibt es auch nationale Gesetzgebungen zum Datenschutz, wie das BDSG in Deutschland, da die DSGVO jedoch unmittelbar in jedem Mitgliedsstaat wirkt und Anwendungsvorrang vor nationalem Recht hat, schlieรen diese eigentlich nur Lรผcken.
Die DSGVO legt Unternehmen Auflagen auf, wobei die Anforderungen so streng sind, wie in wohl keinem anderen Binnenmarkt der Welt. Dies nicht zu Unrecht, denn personenbezogene Daten sind enorm schรผtzenswert, da sie unter anderem viel Macht bedeuten. So ist es fรผr viele, besonders kleinere Unternehmen, herausfordernd, die Auflagen des Datenschutz-Rechts umzusetzen.
Wie sollte dies also ablaufen?
Das Datenschutzmanagementsystem
Auf Expertise ist bei so einem anspruchsvollen Thema wie der Umsetzung der DSGVO natรผrlich nicht zu verzichten. Deswegen sollte immer auf einen externen Datenschutzbeauftragten zurรผckgegriffen werden.
Aus den vielen Auflagen, die die DSGVO so mit sich bringt, ergibt sich, dass das Management, bezรผglich Datenschutzes, System haben muss. So ein Datenschutzmanagementsystem ist jedoch nicht explizit von der DSGVO vorgeschrieben.
Dennoch ist es wichtig, denn ohne eine vernรผnftige Strukturierung von Ablรคufen und Maรnahmen, kann die Einhaltung der DSGVO schwer garantiert werden.
Ein solches System soll festlegen, wie der Datenschutz konkret zu funktionieren hat und dabei auch, wer sich darum kรผmmert.
Wie konkret sollte es aber erstellt werden?
Aufbau mit Microsoft Office
DSMS lassen sich hervorragend mit Microsoft Office konzipieren.
Es ist durchaus sinnvoll, eine einzelne Datei fรผr die Organisation des Datenschutzes innerhalb eines Unternehmens zu haben, die jedoch in unterschiedliche Tabs unterteilt werden. Darin enthalten, sollten alle wesentlichen und relevanten Information, fรผr den Nachweis der Einhaltung der DSGVO, sein. Darunter fallen das Hauptblatt, die Verarbeitungstรคtigkeiten, die TOM und die Datenschutz-Folgenabschรคtzung.
Das Hauptblatt
Erster und auch reprรคsentativer Aspekt des DSMS, ist das sogenannte Hauptblatt.
Dort sollten alle Angaben zu dem Datenschutzbeauftragten und den Verantwortlichen zu finden sein.
Auch kรถnnen und sollten hier interne Vorgaben durch den Verantwortlichen festgelegt werden, die den Umgang mit der DSGVO fรผr Mitarbeiter erleichtern. Wichtig ist dort ein funktionierendes Grundgerรผst fรผr die nachfolgenden Verarbeitungstรคtigkeiten zu schaffen.
Das Verzeichnis der Verarbeitungen
Nachfolgend sollte das Verarbeitungsverzeichnis in der Datei zu finden sein. Exel ist dabei gut geeignet, um eine strukturierte รbersicht รผber die Verfahren zu gewรคhrleisten.
Empfehlenswert ist die Bezeichnung einer jeden Verarbeitung, die nummerisch weiterverfolgt werden kann, รคhnlich wie bei einer Artikel- oder Bestellnummer in einem Lager.
In der Kopfzeile sollten nun sowohl diese Nummer oder Bezeichnung als auch Datum und Uhrzeit des Beginns der Tรคtigkeit und der Name des genutzten Tools, vermerkt sein.
In den weiterfรผhrenden Zeilen sollten Sie dann die betroffenen Abteilungen, sowie die Mitarbeiter auflisten, die personenbezogene Daten verarbeiten. Es muss auch enthalten sein, welche Daten betroffen sind, welche Personen betroffen sind und welche Rechtsgrundlagen, Lรถschfristen und Aufbewahrungsfristen zugrunde liegen. Dies einzuhalten und nachzuweisen, ist von enormer Wichtigkeit.
Datenschutzfolgeabschรคtzung und Risikoanalyse
Um die Datenschutzfolgeabschรคtzung, beziehungsweise die Risikoanalyse zu den Verarbeitungstรคtigkeiten, in einem Tab festzuhalten, ist eine Verlinkung zu dem durchgefรผhrten Verfahren notwendig. Fรผr eine DSFA und einer Risikoanalyse bedarf es zweier unterschiedlicher Verfahren. Dabei ist anzumerken, dass die Durchfรผhrung einer DSFA wesentlich einfacher ist, wenn alles andere sauber dokumentiert wurde. Bei der Dokumentation der Verfahren und Maรnahmen sollten also keine Lรผcken oder Fehler zu finden sein.
Die Implementierung in Excel ist jedoch durch eine simple Verlinkung zu dem gegebenen Verfahren leicht zu bewerkstelligen.
TOM
Die TOM, die technischen und organisatorischen Maรnahmen sind auch einer der groรen Aspekte, die jedes gesunde DSMS beinhalten muss.
Dies sind, wie der Name schon sagt, alle Maรnahmen, die das Unternehmen intern ergreift, um personenbezogene Daten zu schรผtzen und damit der DSGVO gerecht zu werden.
Die organisatorischen Maรnahmen sind dabei als rรคumlich zu sehen und beinhalten Aspekte, die beispielsweise verhindern, dass nicht Befugte an Daten gelangen, die sie eigentlich nicht einsehen dรผrfen. Auch die Einteilung von Personen, die im Notfall auf gewisse Gegebenheiten reagieren, sollte Teil der organisatorischen Maรnahmen sein.
Technische Maรnahmen sind digitale Vorkehrungen, wie Verschlรผsselungen oder die Pseudonymisierung. Sie sollten logischerweise funktional sein, also die Integritรคt und Vertraulichkeit der Verarbeitungen wahren und auch die Reaktion auf Zwischenfรคlle bestmรถglich gewรคhrleisten. Dazu gehรถren auch regelmรครige Kontrollen.
In der Excel-Datei sollten alle Maรnahmen, den technischen auf der einen Seite und den organisatorischen auf der anderen Seite, zugeordnet werden.
Fazit
Ein DSMS ist also unverzichtbar, um eine mรถglichst gute รberwachung der Verarbeitung von personenbezogenen Daten zu gewรคhrleisten. Das DSMS sollte in einer Datei zu finden sein und das Hauptblatt, das Verzeichnis fรผr Verarbeitungstรคtigkeiten, die TOM und Daten zur Risikoanalyse bzw. DSFA enthalten.
Grundsรคtzlich gilt jedoch, dass bei allen komplizierten und auch komplexen Angelegenheiten, die im Zusammenhang mit der DSGVO stehen, ein externer DSB herangezogen werden sollte, dessen Aktivitรคten ebenfalls in der DSMS-Datei zu finden sein mรผssen. Andernfalls ist es kaum mรถglich auf all die bestehenden Problematiken der DSGVO zu reagieren und dabei auch ein funktionierendes und nachhaltig erfolgreiches Unternehmen zu fรผhren.
Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgรคu und programmiert seit รผber 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt fรผr Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einfรผhrung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TรV geprรผften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.
Firmenkontakt
Immerce GmbH
Frank Mรผns
Kemptener Straรe 9
87509 Immenstadt
+49 (0) 8323 โ 209 99 40
info@immerce.de
https://www.immerce-consulting.de/
Pressekontakt
Immerce GmbH
Carvin Mรผns
Kemptener Straรe 9
87509 Immenstadt
+49 (0)8323 โ 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/
Die Bildrechte liegen bei dem Verfasser der Mitteilung.
