Eine Aufgabe des Datenschutzbeauftragten ist die „Überwachung der Einhaltung“ der DSGVO.
Dieser Vorschrift muss sich jeder Datenschutzbeauftragte unterwerfen. Das tun auch wir. Nicht selten müssen wir bei einem Kunden aus diesem Grund ein DSMS einrichten. Welche Kosten dabei entstehen und wie das DSMS dann gelebt wird, liegt vor allem in der Hand des Verantwortlichen.
Wir haben Ihnen an dieser Stelle ein paar Informationen zu zwei differierenden Datenschutz-Managementsystemen zusammengestellt.
Ihr DSMS – Wir begleiten Sie von der Einrichtung bis zur Umsetzung
Der Begriff des Datenschutz-Managementsystems ist noch nicht definiert. Es existiert also ein breite Palette möglicher Formen. Datenschutz-Managementsysteme zum Schutz personenbezogener Daten reichen demnach von simplen Pen & Paper-Dokumentationen bis hin zu komplett Papierlosen und cloudbasierenden DSMS oder GRC als SaaS-System.
Überblick: Was ist ein DSMS
Das Datenschutz-Managementsystem ist die Art und Weise, wie das Kontroll- und Managementsystem rund um die Umsetzung datenschutzrechtlicher Anforderungen praktiziert wird.
Pen & Paper DSMS
In KMU [kleine und mittelständische Unternehmen] basiert dieses DSMS häufig auf Pen & Paper. Dabei werden also Dokumente vom Datenschutzbeauftragten an die entsprechenden Mitarbeiter bzw. Abteilungen weitergeleitet. Die Kommunikation ruht in der Regel auf zwei Säulen: Der Telefonie und der E-Mail. Allein dadurch schaffen es die meisten KMU die DSGVO umzusetzen. Mit allen Vor- und Nachteilen.
Ein vermeintlicher Vorteil ist die Kostenfrage. Ein Pen & Paper DSMS verlangt nach keinen monatlichen oder einmaligen Systemkosten. Das ist vorteilhaft. Dies ist mittel- bis langfristig jedoch ein Trugschluss. Pen & Paper DSMS sind in der Regel nicht vollumfänglich PDCA-fähig. Soll heißen, dass die Deming-Methodik des stetigen Plan-Do-Act-Check [Planen – Tun – Überprüfen – Umsetzen] spätestens beim „überprüfen“ scheitert. Einmal ausgegebene Dokumente sind rein erfahrungsgemäß häufig nur schwer wieder zurückzuziehen oder zu verbessern. Diese PDCA-Prozesse, welche in jedem Managementsystem vorkommen, kosten also mittel- bis langfristig viel Geld.
Erschwerend kommt hinzu, dass die Pen & Paper DSMS nur bedingt resilient sind – sie sind also nicht krisenfest. Im Falle einer Datenpanne geht bei Pen & Paper DSMS schnell das große Suchen nach E-Mails, Dokumentationen und Nachweisen los. Einer wichtigen Pflicht, der sogenannten Rechenschaftspflicht, kann ein Unternehmen so nur bedingt oder gar nicht nachkommen. Die Korrespondenzen mit dem Datenschutzbeauftragten oder anderen beteiligten Stellen wird in solchen Fällen recht kostenintensiv.
Dabei stößt man auf das nächste Problem: Die sogenannte Grenze der Zumutbarkeit. Eine Datenschutzaufsichtsbehörde sollte man nicht ärgern. Wenn man dieser jedoch, beispielsweise eine mehrere hundert Seiten starke Dokumentation der Verzeichnisse von Verarbeitungstätigkeiten zukommen lässt, hat man die Prüfer nicht mehr unbedingt auf der eigenen Seite. Der Prüfungsaufwand ist zu groß. So ist auch der Hausinterne Verwaltungsaufwand zu groß, wenn diese Dokumentationen angepasst werden müssen.
Cloudbasierendes DSMS oder GRCS als SaaS
Etwas kryptischer, aber wesentlich komfortabler sind sogenannte cloudbasierende Systeme als SaaS [Software as a Service] oder GRC-Systeme [Governance Risk & Compliance steht für Unternehmensführung, Risikomanagement und Compliance-Einhaltung]. Diese Systeme, von denen es mittlerweile sehr viele gibt, finden allmählich ihren Einzug in die KMU und darüber hinaus. Derartige Softwarelösungen rufen zwar Kosten auf, diese sind jedoch im Verhältnis zu den Folgekosten, die ein Pen & Paper DSMS aufrufen, gering. Zugegebenermaßen gibt es erschwingliche und sehr preisintensive Systeme.
Worum geht es: Cloudbasierende DSMS erlauben es der verantwortlichen Stelle [Behörde oder Unternehmen] alle Prozesse auf einen Blick dargestellt zu bekommen. Mehr noch: Die Systeme sind PDCA-fähig, häufig Mandantenfähig, mehrsprachig und nicht selten einfach, also intuitiv zu bedienen. Die Kontrolle aller Prozesse, welche definiert werden müssen, liegt stets bei der obersten Managementebene und den jeweiligen Datenschutzbeauftragten und -Koordinatoren.
Die wesentlichen Vorteile bei derlei gearteten Systemen, sind genau die Schwächen der Pen & Paper Systeme. Mit einem cloudbasierten System erfüllt man alle Rechenschaftspflichten. Plötzlich kann man alle wesentlichen Richtlinien und Umsetzungsdokumente per Knopfdruck generieren und versenden. Der positive Nebeneffekt der zurecht gelobten Clean-Desk- beziehungsweise Empty-Desk-Richtlinie ist dabei fast Nebensache.
Die Kommunikation wird durch cloudbasierte GRC-Systeme oder DSMS wesentlich einfacher gestaltet. So kann eine [vermeintliche / vermutete] Datenpanne per Knopfdruck an den zuständigen Datenschutzbeauftragten zur Prüfung gesendet werden. Alle Vorgesetzten erhalten per Knopfdruck vom Datenschutzbeauftragten Updates zu einer bestehenden Datenschutz-Anfrage – es ist vieles möglich.
Der risikobasierende Ansatz der meisten GRC- oder Cloudsysteme ist auch ein Punkt, der stark dazu beiträgt die Datenschutz-Awareness [Bewußtsein, Sensibilität] bedeutend zu steigern. So können auf dem System-Dashboard alle Prozesse, in verschiedenen Matrizen, die vorhandenen Risiken darstellen. Teilweise werden diese Risikodarstellungen sogar um potentielle monetäre Folgen im Fall einer Datenpanne ergänzt.
Wenn vorhanden, so sind die Self-Assessment-Center-Möglichkeiten positiv hervorzuheben. Nicht jede Datenschutz-Lücke lässt sich sofort schließen. Teilweise ist die verantwortliche Stelle abhängig von den Antworten Dritter. Self-Assessments geben der verantwortlichen Stelle oder dem Datenschutzbeauftragten die Möglichkeit dokumentiert Risiken einzuschätzen und dann sogar „damit zu leben“. Dies ist dann kein Stand, der auf immer so bleibt – denn man kann alles auf die Wiedervorlage schieben. Somit gerät nichts in Vergessenheit.
Abschließend noch ein paar Worte zum Thema Kosten. Es gibt Datenschutz-Dokumentationen, welche sehr umfangreich sind und dementsprechend viel Zeit in Anspruch nehmen. Dies hat einen wesentlichen Einfluss auf die Kosten des Datenschutzes. Datenschutzfolgenabschätzungen zum Beispiel können je nach Art der Verarbeitung sehr langwierig sein. Ein DSMS als SaaS bzw. ein GRCS nimmt dem Verantwortlichen und dem Datenschutzbeauftragten in diesem beispielhaft genannten Punkt sehr viel ab. Pen & Paper DSMS verursachen mindestens einen mittleren dreistelligen Betrag, wenn Datenschutzfolgenabschätzungen erstellt werden müssen. Ein GRCS kann solche Dokumentationen per Knopfdruck erzeugen.
