Dem Papiertiger Leben einhauchen

Was ist effektives Datenschutzmanagement -
und wie setzt man es in die Praxis um?

Effektives Datenschutzmanagement bedeutet mehr als nur Vorschriften einhalten: 

Es umfasst die systematische Planung, Umsetzung und Kontrolle datenschutzrelevanter Prozesse im Unternehmen. Es erschöpft sich nicht im Erstellen von Dokumenten: Es ist dann wirksam, wenn es erstens zur spezifischen Organisation passt und deren Rahmenbedingungen berücksichtigt, und zweitens so überwacht wird, dass die Kontrollen belastbare Aussagen über die tatsächliche Wirksamkeit des Systems ermöglichen.

Die folgenden Überlegungen sollen als Orientierung dienen – im Bewusstsein, dass jedes Datenschutzmanagement individuell angepasst werden muss und es keine Lösung von der Stange gibt.

Welche Rahmenbedingungen setzt die DSGVO?

In Art. 4 DSGVO finden wir keine eindeutige Definition eines effektiven Datenschutzmanagementsystems (DSMS). Es ist jedoch klar, dass ein DSMS jedenfalls nur dann als effektiv gilt, wenn die Anforderungen der DSGVO so in der Organisation umgesetzt werden, dass sie aktiv gelebt und regelmäßig kontrolliert werden.

EuGH-Entscheidungen zum Thema Schadenersatz nach Art. 82 DSGVO (siehe nur zB hier) zeigen, dass es nicht ausreicht, Richtlinien und Prozesse lediglich zu dokumentieren (der „Papiertiger“). Vielmehr müssen diese auch aktiv vom Verantwortlichen überwacht und durchgesetzt werden („den Tiger zum Leben erwecken“). Zudem ist unsere Umgebung ständigen Veränderungen ausgesetzt – etwa durch geänderte gesetzliche Rahmenbedingungen, neue Software-Features, zusätzliche Datenfelder in bestehenden Verarbeitungen oder neue Bedrohungen, die die Sicherheit personenbezogener Daten gefährden. Ein „gutes“ DSMS berücksichtigt diese Unsicherheiten und ist von Anfang an mit einem Kontinuierlichen Verbesserungsprozess (KVP) ausgestattet.

Zu nennen wären unter anderem...

Einige Beispiele für Anforderungen an ein Datenschutzmanagementsystem (DSMS) sind etwa das Accountability-Prinzip nach Art. 5 Abs. 2 DSGVO. Es verlangt vom Verantwortlichen nicht nur, dass er die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Datenschutzprinzipien sicherstellt, sondern auch, dass er in der Lage ist, dies nachzuweisen. Ohne ein effektives DSMS wäre es nicht möglich, solche Nachweise zu erbringen oder eine stabile Gewährleistung der Einhaltung der grundlegenden Datenschutzprinzipien sicherzustellen. Weitere Anforderungen umfassen beispw. die Verpflichtung, ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu führen, die Wahrung der Betroffenenrechte – etwa das Recht auf Auskunft – und die Sicherstellung einer zeitnahen sowie professionellen Reaktion auf „Verletzungen des Schutzes personenbezogener Daten“ (Data Breaches, Art. 33 DSGVO). Schließlich müssen auch die Weisungsrechte des Verantwortlichen in der Organisation ordnungsgemäß umgesetzt werden (Art. 29 DSGVO).

Was ist ein Managementsystem?

Ein Managementsystem in diesem Kontext ist ein strukturiertes Konzept, das Prozesse und Maßnahmen umfasst, um ein bestimmtes Ziel – in diesem Fall die Einhaltung der Datenschutzprinzipien in der Organisation zu gewährleisten – kontinuierlich zu steuern und zu verbessern. Ein gut funktionierendes DSMS sorgt dafür, dass die Anforderungen der DSGVO erfüllt werden, Risiken reduziert und der Datenschutz im Unternehmen jederzeit nachvollziehbar und wirksam umgesetzt wird.

Praktische Schritte zum Aufbau eines DSMS für KMUs

Um ein Datenschutzmanagementsystem (DSMS) speziell für kleine und mittlere Unternehmen (KMUs) aufzubauen, die eventuell auch (noch) nicht nach ISO 27001 oder 27701 zertifiziert sind (sonst hätte man auch an der ISO 27001 bereits eine sehr gute Orientierung, siehe den Blogbeitrag hier), empfiehlt es sich, sich an den grundlegenden Prinzipien eines Compliance Management Systems zu orientieren. Der klassische vierteilige Aufbau eines solchen Systems kann hier hilfreich sein:

  1. Risk Assessment – Identifikation der Herausforderungen und aktuellen Themen im Datenschutz.
  2. Datenschutzkultur – Förderung eines datenschutzbewussten Umfelds, etwa durch „tone from the top“, interne Kommunikation und regelmäßige Schulungen.
  3. Organisation – Bereitstellung der nötigen Ressourcen, sowie die Integration und Verankerung des Datenschutzes in die Unternehmensstruktur.
  4. Monitoring – Sicherstellung eines Kontinuierlichen Verbesserungsprozesses (KVP), um das DSMS laufend zu überwachen und anzupassen.

Bei der Entwicklung von Kennzahlen ist es entscheidend, sicherzustellen, dass nicht einfach "irgendetwas" gemessen wird, sondern das, was wirklich relevant ist – und auf die richtige Weise. Das mag wie eine Selbstverständlichkeit erscheinen, doch in der Praxis kann es nicht oft genug betont werden, wie wichtig es ist, sich die Frage zu stellen, welche Aussagekraft eine Kennzahl tatsächlich hat und welche Schlüsse sich daraus fundiert ziehen lassen.

Grafik Elemente eines DSMS

Risk Assessment

Art. 24 DSGVO verlangt kurzgefasst, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen (TOMs) umsetzt, "um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.Damit müssen Kontrollprozesse implementiert werden, die sicherstellen, dass Datenschutzmaßnahmen kontinuierlich evaluiert und angepasst werden.

Ein effektives Datenschutzmanagement basiert im besten Fall auf einer „Landkarte“ der Verarbeitungsrisiken, die durch die Art der verarbeiteten Daten (zB "sensible" Daten wie Gesundheitsinformationen) oder den Einsatz neuer Technologien wie Künstliche Intelligenz beeinflusst wird. Hierfür sind interne Prozesse notwendig, die gewährleisten, dass bei jeder neuen Verarbeitungstätigkeit die datenschutzrechtlichen Risiken berücksichtigt werden. Ein IT-Management-Board könnte als Plattform genutzt werden, um neue Features und Anwendungen datenschutzrechtlich zu prüfen. Darüber hinaus lässt sich über dieses Board auch die Wirksamkeit der zugrunde liegenden Datenschutzprozesse evaluieren - mittels Gap-Analyse zwischen dem, was tatsächlich auch gemeinsam mit Datenschutzexperten besprochen wurde und jenen Themen, die ebenso eine Einbindung der Fachexperten verlangt hätten. Dieser Gap kann wiederum Ausgangspunkt für interne Awareness-Maßnahmen sein. 

Zur Darstellung dieser Risiken könnte eine Matrix verwendet werden, in der die Achsen nicht mit Eintrittswahrscheinlichkeit und Schadenshöhe beschriftet sind, sondern beispielsweise nach den Quellen des Risikos (z. B. verarbeitete Daten oder eingesetzte Technologie). Eine regelmäßige Überprüfung dieser Risiken sowie der TOMs stellt sicher, dass der Datenschutz kontinuierlich überwacht und optimiert wird.

Datenschutzkultur

Eine "positive Datenschutzkultur zu fördern", klingt oft sehr vage und könnte schnell als Floskel durchgehen. In Wirklichkeit bedeutet es jedoch, konkrete Maßnahmen wie Schulungen zu implementieren, regelmäßige Trainings anzubieten und das Bewusstsein in der Organisation zu schärfen, dass Datenschutz alle betrifft. Es geht darum, allen Mitarbeitenden zu verdeutlichen, dass auch sie als Einzelne eine Verantwortung tragen, dass Datenschutz ernst genommen werden muss und dass man sich aktiv mit dem Thema auseinandersetzen sollte – es kann nicht einfach ignoriert werden.

Die Effektivität von Schulungs- und Kommunikationsmaßnahmen lässt sich auf verschiedene Weisen messen. Ein einfaches Maß ist etwa die Teilnahmequote: Wie viele Mitarbeiter*innen haben innerhalb eines bestimmten Zeitraums an einem Training teilgenommen und wie viele erst nach einer zweiten Erinnerung?

Diese Kennzahl zeigt jedoch nur die Teilnahmequote, nicht aber, ob die Inhalte wirklich verstanden wurden. Ob die Inhalte zumindest kurzfristig verstanden wurden, lässt sich durch Quizzes oder Testfragen überprüfen. Diese sind jedoch natürlich nur dann auch wirklich sinnvoll, wenn die richtigen Antworten nicht so offensichtlich sind, dass man sie auch ohne aktive Teilnahme am Training korrekt auswählen kann.

Eine aussagekräftigere Messung wäre beispielsweise, zu prüfen, ob nach einer Schulung zu Themen wie Data Breaches vermehrt Verdachtsmeldungen eingegangen sind oder ob sich bestimmte Ursachen, wie menschliche Fehler, durch verbesserte Prozesse und Trainings reduziert haben.

Organisation

Unter „Organisation“ versteht man alle Aspekte, die die Ressourcenausstattung der Datenschutzorganisation betreffen, abgestimmt auf die Struktur und die Verarbeitungstätigkeiten des Unternehmens. 

Wichtige Fragen, um die Qualität der Organisation zu bewerten, könnten beispielsweise lauten: Besteht eine direkte Anbindung des/der DPO an die Geschäftsführung? Wie oft werden Meetings mit der Geschäftsführung abgehalten, in denen Datenschutzthemen besprochen werden – monatlich, vierteljährlich oder nur einmal im Jahr? Wird der/die DPO aktiv um Rat gebeten? Welche Möglichkeiten hat der/die DPO, sich weiterzubilden (z. B. gemessen in absolvierten Fortbildungsstunden pro Jahr) und kann er/sie bei Bedarf externe Unterstützung, etwa durch eine Kooperation mit einer spezialisierten Kanzlei, in Anspruch nehmen? Zusätzlich wäre es interessant zu wissen, wie oft der/die DPO bei Mitarbeiter*innenversammlungen sprechen kann und welche Kommunikationskanäle von der Führungsebene genutzt werden, um Datenschutzthemen voranzubringen.

Monitoring

Die „Monitoring-Säule“ ist ein zentraler Bestandteil des Datenschutzmanagementsystems, da Monitoring und Kontrolle alle Aspekte eines DSMS umfassen (sonst könnte dessen Effektivität nicht überprüft werden). 

Es ist jedoch auch wichtig, Monitoring aus einer übergeordneten Perspektive zu betrachten: Es reicht nicht nur aus, in regelmäßigen Abständen zu prüfen, was aufgrund der Ergebnisse aus dem Monitoring im DSMS angepasst werden sollte. Man sollte sich auch die Frage stellen: Messe ich wirklich das Richtige und auf die richtige Weise? Helfen mir meine Kennzahlen dabei, den Datenschutz effektiv in meiner Organisation zu implementieren? Sind beispielsweise meine Stichproben groß genug, um valide Aussagen treffen zu können? Passen die gewählten Methoden zu den Zielen, die ich erreichen möchte? Kann ich die gewählten Kennzahlen einfach und zuverlässig erheben (denn Kennzahlen, die schwer zu erheben sind, sind oft keine "guten" Kennzahlen)? Und schließlich: Ist der Prozess, wie ich zu meinen Kennzahlen komme, transparent und nachvollziehbar?