standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogen

Pflicht zur Einführung eines Datenschutz-Management-Systems (DSMS) unter der DSGVO

Artikel 32 DSGVO (Datenschutz-Grundverordnung) legt die Schutzziele fest, an denen ein für die Datenverarbeitung personenbezogener Daten Verantwortlicher, seine technischen und organisatorischen Maßnahmen zum Schutz der Daten auszurichten hat. Ausführlich wurde auf dieses Thema bereits in diesem Artikel eingegangen.

Die darin beschriebenen Ziele weichen zwar etwas von den derzeit im BDSG genannten Zielsetzungen ab. Etwas grundlegend Neues wurde mit der DSGVO diesbezüglich jedoch nicht eingeführt. Wirklich neu ist jedoch die letztgenannte Maßnahme mit der Forderung nach „einem Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“. Die Konsequenzen, die sich aus dieser gesetzlichen Regelung für die Verantwortlichen ergeben, sollen im Folgenden näher beleuchtet werden.

Pflicht zur Nachweisbarkeit

Die oben beschriebene Pflicht des Verantwortlichen seine getroffenen technischen und organisatorischen Maßnahmen regelmäßig hinsichtlich ihrer Wirksamkeit zu überprüfen, ist in engem Zusammenhang mit einer weiteren Regelung der DSGVO zu sehen. In Artikel 5 Abs. 2  wird nämlich die sogenannte Rechenschaftspflicht festgelegt: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)“.

Der Gesetzgeber verlangt also ganz explizit die Einführung eines Verfahrens, mit dem die getroffenen technischen und organisatorischen Maßnahmen regelmäßig hinsichtlich ihrer Eignung, die gewünschten Schutzziele zu erreichen, überprüft werden. Bei Bedarf sind die technischen und organisatorischen Maßnahmen anzupassen. Die Durchführung dieser Überprüfungen und Anpassungen ist darüber hinaus auf Anfrage nachzuweisen. Wir haben es hier de-facto mit einer Beweislastumkehr gegenüber dem bisherigen BDSG zu tun. Entsprechende Anfragen dürften zukünftig im Rahmen eines konkreten Anlasses oder auch im Rahmen von Routinekontrollen durch die Behörden erfolgen.

Einführung eines Datenschutz-Managementsystem (DSMS)

Um die oben beschriebene Nachweis- und Rechenschaftspflicht zu erfüllen, werden die Verantwortlichen ein Datenschutz-Managementsystem zu etablieren haben. Ähnlich wie bei anderen Managementsystemen (BSI-Grundschutz, ISO 27001) bietet sich hier das bewährte Verfahren nach dem PDCA-Zyklus an.

plan do check act pdca dsms

Sinn dieses Verfahrens ist es, einen kontinuierlichen Verbesserungsprozess zu etablieren. Im Rahmen dieses Verfahrens werden die technischen und organisatorischen Maßnahmen erst erdacht und geplant („plan“), im „Kleinen Kreis“ getestet („do“), die Wirksamkeit überprüft („check“), gegebenenfalls angepasst und dann im „Großen“ eingeführt („act“). Da es sich bei diesem Verfahren um einen nie endenden Kreislauf handelt, wird sichergestellt, dass nach jeder Verbesserung der Maßnahmen stets eine erneute Überprüfung zu erfolgen hat. Mehr zu diesem Vorgehen finden Sie beispielsweise hier.

Sofern das Vorgehen im Rahmen des PDCA-Zyklus ausreichend detailliert dokumentiert wird, sollte damit die durch die DSGVO festgelegte Nachweis- und Rechenschaftspflicht gesetzeskonform umgesetzt werden können.

Ziele des DSMS

Durch die Implementierung des DSMS können die folgenden Ziele erreicht werden:

  • Verringerung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder Datenpannen
  • im Falle des Eintritts, Begrenzung des Schadens und des Risikos für die betroffenen Personen
  • Nachweis der datenschutzkonformen Umsetzung der Anforderungen der DSGVO, womit Bußgelder vermieden oder zumindest vermindert werden können, da der Vorwurf der Fahrlässigkeit entkräftet werden kann

Prüfkriterien sind festzulegen

Um die getroffenen Maßnahmen prüfen zu können, sind natürlich zunächst die Prüfkriterien festzulegen. Hierbei bietet es sich an, zunächst den Schutzbedarf der personenbezogenen Daten festzulegen. Häufig bietet sich hier die Unterteilung in drei Schutzbedarfsklassen gemäß Empfehlung des BSI (Bundesamt für Sicherheit in der Informationstechnik) zur IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) an:

  • normal: Die Schadenauswirkungen sind begrenzt und überschaubar;
  • hoch: Die Schadenauswirkungen können beträchtlich sein;
  • sehr hoch: Die Schadenauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Anhand dieser Schutzbedarfsklassen werden die Anforderungen an die jeweiligen technischen und organisatorischen Maßnahmen definiert.

Bußgelder drohen

Entscheidender Unterschied zur bisherigen Situation nach dem BDSG ist, dass bereits die fehlende Nachweisbarkeit angemessener Maßnahmen bußgeldbewehrt ist. Bisher konnten Bußgelder nur dann verhängt werden, wenn tatsächlich Datenschutzverstöße oder Datenpannen vorgefallen waren.

Künftig ist jeder Verstoß gegen Artikel 32 der DSGVO mit bis zu 10 Mio. EUR oder 2% des weltweit erzielten Jahresumsatzes bußgeldbewehrt. Bereits die fehlende Nachweisbarkeit, dass geeignete technische und organisatorische Maßnahmen getroffen wurden, stellt einen Bußgeldtatbestand dar.

Die DSGVO verlangt die Einrichtung eines Datenschutz-Managementsystems (DSMS). Gerne beraten und unterstützen wir Sie bei der Umsetzung der hierzu notwendigen Maßnahmen. Sprechen Sie uns an!


Diesen Beitrag teilen