Implementierung eines Datenschutz-Management-Systems


Hintergrund:

Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 27. April 2016, die seit dem 25. Mai 2018 anwendbar ist, sind bei vielen Unternehmen Unsicherheiten in Bezug auf die rechtliche Umsetzung der komplexen Anforderungen in der Praxis entstanden. Dazu kommt das Bestreben, drohende Bußgelder nicht unerheblichen Umfangs zu vermeiden.

Anerkannte Standards zur angemessenen Konzipierung und wirksamen Implementierung eines Datenschutz-Management-Systems (DSMS) existieren bislang nicht.

Setzen Unternehmen auf bereits bestehenden Management-Systemen auf, wie beispielsweise einem Compliance-Management-System (CMS), können jedoch Synergieeffekte genutzt werden. Darüber hinaus bietet eine Prüfung nach IDW PS 980 oder IDW PH 9.860.1 zusätzliche Rechtssicherheit, da diese einen Nachweis darüber erbringen kann, dass der Verantwortliche seiner Rechenschaftspflicht nachgekommen ist.


Die konkrete Umsetzung:

Ein angemessenes und wirksames Datenschutz-Management-System muss eingerichtet werden, um damit die Einhaltung von Grundsätzen der Verarbeitung personenbezogener Daten nachweisbar zu gestalten. Der Begriff DSMS wird zwar nicht ausdrücklich in der DSGVO genannt, lässt sich aber u. a. aus der neu eingeführten Rechenschaftspflicht (Accountability) des Verantwortlichen nach Art. 5 Abs. 2 DSGVO ableiten, für deren Einhaltung die Einrichtung eines entsprechenden Management-Systems unabdingbar ist.

Aufgrund der mangelnden einheitlichen Standards, kann die Einrichtung eines DSMS entsprechend dem CMS erfolgen. Ein angemessenes und wirksames CMS liegt nach IDW PS 980 nur dann vor, wenn für folgende sieben Grundelemente angemessene Grundsätze und Maßnahmen konzipiert und wirksam im Unternehmen implementiert sind:

  1. Compliance-Kultur
  2. Compliance-Ziele
  3. Compliance-Risiken
  4. Compliance-Programm
  5. Compliance-Organisation
  6. Compliance-Kommunikation
  7. Compliance-Überwachung und Verbesserung

Diese decken jedoch nicht die spezifischen Anforderungen des Datenschutzes ab, weshalb hierfür unter Zuhilfenahme des IDW PH 9.860.1 konkrete Hinweise abgeleitet werden können. Zudem haben Prüfungen nach IDW PS 980 oder IDW PH 9.860.1 das Ziel, mit hinreichender Sicherheit beurteilen zu können, ob ein angemessen dokumentiertes und wirksames DSMS vorliegt. Eine solche Prüfung gewährt Einblick in den Umsetzungsstand und dient als Nachweis über die Erfüllung der Rechenschaftspflicht gegenüber Aufsichtsbehörden und Betroffenen. Insbesondere können hierdurch, indem das Vertrauen von Kunden und der Öffentlichkeit gestärkt wird, auch Wettbewerbsvorteile erzielt werden.

Da der IDW PH 9.860.1 vor allem Anforderungen an die technischen Maßnahmen zum Schutz personenbezogener Daten, wie etwa Kryptographie oder Pseudonymisierung stellt, sollte die Prüfung unter Einbeziehung von IT-Spezialisten erfolgen.


Fazit:

Unternehmen sollten ein angemessenes und wirksames DSMS nach dem Vorbild des CMS implementieren, um den Rechenschaftspflichten der DSGVO nachzukommen und hohe Bußgelder zu vermeiden. Darüber hinaus kann die Prüfung nach IDW PS 980 und IDW PH 9.860.1 einen Nachweis hierfür erbringen und in der Außenwahrnehmung einen entscheidenden Wettbewerbsvorteil bieten.


Handlungsbedarf:

  • Konzipierung und Implementierung angemessener und wirksamer Grundsätze und Maßnahmen nach dem Vorbild des CMS
  • Ggf. Beauftragung einer Prüfung Ihres Unternehmens nach IDW PS 980 oder IDW PH 9.860.1