Aufbau, Inhalt und Ziel eines Datenschutzmanagementsystems

Ein Datenschutzmanagementsystem (DSMS) ist der effizienteste Weg, die Anforderungen der DSGVO umsetzen zu können und gilt als wichtiger Nachweis für die Rechtssicherheit Ihres Vereins oder Verbands. Unser Datenschutzexperte erklärt Ihnen, wie Sie ein DSMS sinnvoll aufbauen.

Was ist ein DSMS?

Aus der Datenschutzgrundverordnung (DSGVO) ergibt sich eine Vielzahl von Anforderungen an Verantwortliche. Um diesen Anforderungen gerecht werden zu können, ist die Etablierung eines systematisch aufgebauten und an den spezifischen Bedingungen des eigenen Vereins angepassten Datenschutzmanagementsystems (DSMS) praktisch ohne Alternative. Denn nur so kann sichergestellt werden, dass die im Verein erhobenen und verarbeiteten personenbezogenen Daten von Mitgliedern, Mitarbeitenden, ehrenamtlich Engagierten, Sponsoren, Vertragspartner etc. rechtmäßig erfasst, sicher verarbeitet und - nach Wegfall der Zweckbindung - auch wieder gelöscht werden.

Ein DSMS ist ein durch Informationstechnik unterstütztes Informationssystem, mit dem interne und externe Daten gespeichert, verwaltet und analysiert werden können. Es dient dem Management bei der Erfüllung seiner Aufgaben und stellt die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen dar, mit denen der datenschutzkonforme Umgang mit personenbezogenen Daten systematisch gesteuert wird.

Damit ist ein DSMS nicht nur der effizienteste Weg, die Anforderungen der DSGVO umsetzen zu können, sondern auch ein wichtiger Nachweis für die Rechtssicherheit Ihres Vereins / Verbands, der damit zugleich vor Bußgeldern oder Haftungsansprüchen schützt. Und last but not least: Ein DSMS bietet auch Betroffenen zusätzliche Sicherheit.

Aufbau eines DSMS

Das zentrale Prinzip jedes Managementsystems ist der sogenannte PDCA-Zyklus (von „Plan“, „Do“, „Check“, „Act“). Was bedeutet das konkret im Rahmen der DSGVO?

  • Plan:     Strategische und operative Vorgaben verbindlich einführen.
  • Do:        Vorgaben umsetzen.
  • Check: Regelmäßig prüfen, ob die Vorgaben wirksam und angemessen sind
  • Act:       Bei Bedarf Vorgaben anpassen und Datenschutz dadurch optimieren

Umsetzung

1. Grundverordnung sichten

Um zu wissen, welche Inhalte in ein DSMS gehören, sollte zunächst einmal die Datenschutzgrundverordnung gesichtet werden.

  • Welche Artikel und Paragrafen sind überhaupt relevant?
  • Aus welchen Artikel und Paragrafen ergeben sich Dokumentations- und Nachweispflichten?

2.    Datenschutzziele definieren

Datenschutzziele sind die Grundsätze, die bei der Gestaltung von Systemen, Prozessen und Richtlinien berücksichtigt werden müssen, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu gewährleisten.

Die Datenschutzziele sind die grundlegenden Prinzipien des Datenschutzes, die darauf abzielen, die Privatsphäre von Einzelpersonen zu schützen und den Missbrauch von personenbezogenen Daten zu verhindern. Dazu gehören:

  • Datensparsamkeit
  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Intervenierbarkeit
  • Transparenz
  • Nichtverkettung

Im ersten Schritt gilt es, Ihre eigenen Datenschutzziele zu definieren. Auf dieser Basis können dann die weiteren Schritte eingeleitet werden. Dazu gehören die Konkretisierung der Vorgaben, die Festlegung vopn Maßnahmen, die Umsetzung der Maßnahmen und die Einrichtung regelmäßiger Überprüfungen und Aktualisierungen.

3.    Risikoanalyse durchführen

Im Rahmen des DSMS sollten auch Datenschutzrisiken identifiziert und bewertet werden. Hierbei sollte berücksichtigt werden, welche Auswirkungen ein Verlust, eine Beschädigung oder eine unbefugte Offenlegung von personenbezogenen Daten haben könnte.

Auf der Grundlage der Risikobewertung können dann geeignete Maßnahmen ergriffen werden, um diese Risiken zu minimieren oder zu beseitigen.

4.    Ziele durch Regeln konkretisieren

Im nächsten Schritt werden die Datenschutzziele durch Regeln konkretisiert und im Anschluss durch Richtlinien, Leitlinien und Konzepte verordnet. Dabei sollten auch die jeweiligen Datenschutzrisiken berücksichtigt werden.

Für die Umsetzung der einzelnen Ziele und zur Erfüllung der Vorgaben aus der DSGVO werden dafür die jeweils notwendigen Prozesse definiert. Dadurch ergeben sich die folgenden Inhalte für ein DSMS:

  • Verzeichnis von Verarbeitungstätigkeiten
  • Angaben über Löschkonzept
  • Dienstleistermanagement
  • Dokumentation der technischen und organisatorischen Maßnahmen
  • Datensicherheit
  • Datenschutz-Folgenabschätzung
  • Prozesse für Betroffenenrechte
  • Datenschutzvorfälle
  • Behördenanfragen
  • Schulungen für Mitarbeitende

5.    Beschäftigte informieren

Die Umsetzung des DSMS funktioniert nur, wenn Beschäftigte, Vereinsmitglieder, Interessenten und Ehrenamtliche die Regelungen und konkreten Auswirkungen für die eigene Tätigkeit nachvollziehen können und sie auch mittragen. Daher ist es wichtig, alle Betroffenen frühzeitig ins Boot zu holen, sie in den Prozess einzubinden und sie nach Einführung des DSMS in regelmäßigen Abständen zu schulen.

Im Rahmen der Einführung des DSMS  Zusammenhang müssen auch die Zuständigkeiten geklärt und die damit verbundenen Verantwortlichkeiten vermittelt werden, bspw.:

  • Ist im Personalwesen geklärt, wie die Informationspflicht gegenüber Mitarbeitenden erfüllt wird?
  • Ist im "Vereinsbüro/verwaltung" geklärt, wie die Informationspflicht gegenüber Vereinsmitgliedern erfüllt wird?
  • Sind die Mitarbeitenden und Ehrenamtlichen geschult im Umgang mit den Einwilligungsformularen für die Einwilligung und den Widerruf bei Fotoaufnahmen für die Veröffentlichung in Zeitungen?
  • Sind die Mitarbeitenden und Ehrenamtlichen geschult und informiert, was diese bei einem Datenschutzvorfall machen müssen?
  • usw.

Abhängig von den spezifischen Bedingungen des jeweiligen Vereins werden vermutlich noch weitere Regelungen und Festlegungen von Zuständigkeiten zu treffen sein.

Formulieren Sie hier die wesentlichen Punkte, die im Rahmen eines Datenschutzmanagementsystems geregelt werden sollen.

6.    DSMS regelmäßig anpassen

Die Entwicklung und Umsetzung eines DSMS ist ein großer und wichtiger Schritt zur rechtssicheren Umsetzung des Datenschutzes in Ihrem Verein. Lassen Sie das auch alle Beteiligten wissen und machen Sie den Fortschritt und Bedeutung des DSMS sichtbar.

Allerdings ist dies nur ein erster Schritt. Verstetigung und Nachhaltigkeit sind die Schlüssel zu einer dauerhaft rechtssicheren Umsetzung des Datenschutzes.

In Organisationen ändern sich Strukturen und Verarbeitungen stetig. Daran angelehnt muss sich auch das DSMS entwickeln und an die konkreten Umstände angepasst werden. Daher sollten Verantwortliche regelmäßig überprüfen, ob die getroffenen technischen und organisatorischen Maßnahmen die erforderliche Wirkung zeigen. Das sollte auch dokumentiert werden.

Aus der Analyse heraus können dann mögliche Optimierungsmaßnahmen abgeleitet und umgesetzt werden.

Fazit

Insgesamt ist der Aufbau eines DSMS ein wichtiger Schritt, um sicherzustellen, dass personenbezogene Daten sicher und rechtmäßig verarbeitet werden.

Es ist jedoch wichtig zu beachten, dass ein DSMS ein kontinuierlicher Prozess ist und regelmäßig überprüft und aktualisiert werden muss. Nur so können Sie sicherzustellen, dass es den aktuellen gesetzlichen Anforderungen entspricht und die sich ändernden Bedrohungen für die Sicherheit personenbezogener Daten berücksichtigt bleiben.

Insgesamt ist der Aufbau eines DSMS ein komplexes Thema. Ein aktuelles und umfassendes DSMS unterstützt Sie allerdings sehr effizient dabei, den Anforderungen der DSGVO gerecht zu werden und den Datenschutz zu stärken.

Dieser Artikel ist ein Auszug aus dem fachlichen Input unseres Datenschutzexperten Claus Wissing zum Live-Chat vom 15.05.2023 im FA Datenschutzportal