Datenschutz Management nach DS-GVO
Ein wichtiger Bestandteil bei der Umsetzung der Datenschutz Grundverordnung (DS-GVO) ist ein aussagefähiges Datenschutz Management System. Wieso benötigt man eigentlich ein Datenschutz Management System werden jetzt sicherlich viele fragen. Reicht es nicht aus, die Vorschriften einfach einzuhalten ? Warum eigentlich ein Management System ?
Hier hilft ein Blick im Artikel 24 Abs. 1 DS-GVO weiter. Gemäß dieser Vorschrift hat der Verantwortliche „sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
Dies wird einigen sehr bekannt vorkommen, da es sich hier um einen typischen PDCA (Plan-Do-Check-Act) Zyklus handelt. Also um einen Kreislauf, in welchem immer wieder geprüft angepasst und verbessert wird. Jeder der sich schon einmal mit Qualitätssicherung befasst hat, wird diesen Kreislauf kennen. Wie man sieht, hängt der Datenschutz sehr eng mit Qualitätssicherung zusammen.
Welches Datenschutz Management-System ?
Hier spätestens werden sich vor allem viele kleine und mittlere Unternehmen (KMU) fragen, wie man jetzt noch den Aufwand für ein Datenschutz Management System bewältigen soll. Woran soll man sich orientieren? Vielleicht ein System nach ISO 27001 ? Doch hier wird man feststellen, dass dies zum einen ein sehr aufwendiges System darstellt und zum anderen der Datenschutz hier nur am Rande berührt wird. Es geht bei ISO 27001 vornehmlich um Informationssicherheit.
Aber hier kommen einem die vagen Formulierungen der DS-GVO sehr entgegen. Es wird nämlich kein bestimmtes System verlangt, sondern es muss nur ein systematisches Vorgehen vorhanden sein.
Datenschutz mit VdS 10010
Viele der verfügbaren Managementsysteme sind sehr techniklastig. Aber eines der Systeme ist für den Datenschutz sehr sinnvoll. Hier handelt es sich um das VdS 10010. Dieses Managementsystem ist speziell für kleine und mittlere Unternehmen geeignet. Es ist bei weitem nicht so umfangreich wie beispielsweise ISO 27001 und es ist sehr gut für den Datenschutz geeignet.
Die Umsetzung ist auch möglich, wenn keine umfangreichen Ressourcen zur Verfügung stehen. Außerdem kann man das System auch einfach als Anregung nehmen und es an die eigenen Bedürfnisse anpassen. Selbst wenn dann keine VdS 10010 Zertifizierung erfolgt, ist ein Datenschutz Management System vorhanden und die Erfordernisse der DS-GVO sind erfüllt.
Es gibt jedoch auch Kritikpunkte an VdS 10010. Hier wird insbesondere der Punkt 4.3 (Datenschutzmanager) genannt. Der Hauptkritikpunkt hierbei ist, dass das System für KMU’s entworfen wurde. Aber gerade in diesem Bereich steht für den Datenschutz oftmals nicht ausreichend Personal zur Verfügung. Wenn dann auch noch ein Datenschutzmanager (neben dem Datenschutzbeauftragten) abgestellt werden muss, kann dies schon zu Problemen führen.
Außerdem kennt die DS-GVO bzw. das BDSG-neu keinen Datenschutzmanager. Lediglich der Datenschutzbeauftragte ist in den meisten Fällen zwingend vorgeschrieben.
Ein erfahrener Datenschutzbeauftragter wird hier sicherlich eine geeignete Lösung finden.