Unser OnePager April 2021 zum Download - Beratung TISAX®

Datenschutzmanagement

Ein Datenschutzmanagement ist vom Aufbau und der Struktur wie andere Managementsysteme zu behandeln. Die EU-Datenschutz-Grundverordnung (DSGVO) verlangt von den Unternehmen die Erfüllung der Rechenschaftspflicht. Damit ist das Unternehmen verantwortlich für den Datenschutz und seine Beachtung. Um dieser Verantwortung gerecht zu werden ist ein Datenschutzmanagement sinnvoll – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Auch in kleineren und mittleren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden.

Verwaltung und Bewertung von Kundenforderungen
Verwaltung und Bewertung von Kundenforderungen

Unsere Vier Bausteine (Module)

** Beachten Sie auch das Lieferkettengesetz

Weitere Informationen zu unseren Best Practice Handbüchern erhalten Sie über nebenstehenden Link.

Was verlangt ein Datenschutzmanagement?

Planung und Konzeption

Die Risiken, die sich aus der Datenverarbeitung in dem Unternehmen ergeben, müssen hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden beachtet werden. Insbesondere geht es um die Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen. Das Unternehmen muss seine „Datenschutzpolitik“ beschreiben, also folgendes festlegen:

  • die Zuständigkeiten für den Datenschutz im Unternehmen. Dies beinhaltet die Einbindung und Aufgabenstellung des betrieblichen Datenschutzbeauftragten, die Sensibilisierung und Schulung der Mitarbeiter, Verpflichtung auf das Datengeheimnis (gesetzlich nicht mehr gefordert aber zu empfehlen) alternativ muss sichergestellt werden, dass die Mitarbeiter, die personenbezogenen Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung tun.
  • die Durchführung von Kontrollen bezüglich der Einhaltung der getroffenen Regelungen / Anweisungen
  • die Verwendung von datenschutzfreundlichen Technologien nach Stand der Technik bezüglich der IT-Sicherheit
  • die Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  • den Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
  • den Prozess zur Durchführung einer Risikobewertung
  • den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
  • den Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen)
Unsere Best Practice Handbücher
Unsere Best Practice Handbücher

Unsere Best Practice Handbücher

Umsetzung

Die im vorherigen Punkt benannten Maßnahmen müssen konkretisiert und in die Praxis umgesetzt werden. Dazu gehört eine ausreichende Dokumentation sowie die Umsetzung geeigneter technisch-organisatorischer Maßnahmen.

Erfolgskontrolle und Überwachung

Die Planung und Konzeption sowie ihre Umsetzung müssen stetig auf ihre Wirksamkeit hin kontrolliert werden. Folgende Dokumente müssen im Zuge der Umsetzung eines DSGVO Datenschutzmanagementsystems beschrieben werden:

  • Datenschutz Politik zum Schutz von personenbezogenen Daten
  • Datenschutzerklärung
  • Verzeichnis der Datenschutzerklärungen
  • Politik der Datenspeicherung
  • Tätigkeits- bzw. Aufgabenbeschreibung des Datenschutzbeauftragten
  • Richtlinien für das Datenverzeichnis und die Zuordnung von Verarbeitungstätigkeiten
  • Verzeichnis von Verarbeitungstätigkeiten
  • Einverständniserklärung betroffener Personen
  • Widerrufung der Einverständniserklärung betroffener Personen
  • Elterliche Einverständniserklärung (bei Minderjährigen)
  • Verfahren des Zugangsersuchens betroffener Personen
  • Methodik der Datenschutz-Folgeabschätzung
  • Verzeichnis der DSFA
  • Verfahren für grenzüberschreitende personenbezogene Datenübertragung
  • Standardvertragsklauseln (Modellklauseln, herausgegeben von der EU-Kommission
  • DSGVO Fragebogen für Auftragsverarbeiter
  • Vereinbarung über die Datenverarbeitung mit Lieferanten
  • Reaktion auf eine Datenschutzverletzung und Meldeverfahren
  • Meldeformular der Datenschutzverletzung an die Aufsichtsbehörde
  • Meldeformular der Datenschutzverletzung an die betroffene Person
  • Verzeichnis der Datenschutzverletzung

Optimierung und Verbesserung

Sollten im vorherigen Punkte festgestellt werden, dass Anpassungen notwendig sind, müssen diese entsprechend umgesetzt werden. Hierzu gehört auch die Erfüllung des angemessenen Stands der Technik bei den technischen IT-Sicherheitsmaßnahmen, denn die DSGVO verlangt die Anpassung an entsprechende technische Entwicklungen. Insgesamt muss sichergestellt werden, dass die Rechtskonformität der Verarbeitung von Daten gemäß DSGVO in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist.

nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität