Aufbau von Datenschutzmanagement

Zur Erlangung eines dauerhaft angemessenen Datenschutz-Niveaus und der ständigen Einhaltung sämtlicher geforderter Regularien empfiehlt sich die Implementierung eines Datenschutz¬managementsystems (DSMS). Ein solches DSMS ist die Gesamtheit aus Zuständigkeiten, vorgeschriebenen Verhaltensweisen und Abläufen (z.B. Vorabkontrollen, Auskunfts- und Benachrichtigungsroutinen) sowie sächlichen Mitteln, die zur Erreichung der Datenschutzziele dienen. Dabei sind organisatorische Aspekte wie Verantwortlichkeiten, Berichtswege und angrenzende Prozesse, wie z.B. das Risikomanagement, zu berücksichtigen. Elementar ist an dieser Stelle auch die Planung und Umsetzung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten sowie die Erstellung aller datenschutzrechtlich relevanten Dokumente (wie bspw. Verfahrensverzeichnis).

Dabei sind zunächst grundlegende Anforderungen an die Datenschutzorganisation zu betrachten, die sich direkt aus dem Bundesdatenschutzgesetz (BDSG), insbesondere § 4ff BDSG ergeben. Hierzu gehören unter anderem Anforderungen wie die Bestellung eines internen Datenschutzbeauftragten (§ 4f BDSG) und das Erarbeiten eines öffentlichen Verfahrensverzeichnisses (§ 4g (2) BDSG). Die hier betrachteten Anforderungen des BDSG stellen das „Fundament“ des Datenschutzes dar und bilden damit die Grundlage für die Verankerung des Datenschutzes im Unternehmen.

Darüber hinaus ist auch Datenschutzkonformität der Geschäftsprozesse mit Bezug zu personenbezogenen Daten zu betrachten. Hierbei ist bspw. sicherzustellen, dass bei der Verarbeitung personenbezogener Daten die Grundsätze der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) zugrunde gelegt werden. Weiterhin ist sicherzustellen, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten in den jeweiligen Geschäftsprozessen (§ 4 und § 28 BDSG) sowie die Übermittlung personenbezogener Daten an Dritte (§ 4b BDSG) zulässig sind.

Weiterhin ist über entsprechende Prozesse sicherzustellen, dass die Umsetzung technischer und organisatorischer Maßnahmen (TOM) gemäß § 9 BDSG (nebst Anlage) für einen „angemessenen“ Schutz personenbezogener Daten erfolgt.

Unser Angebot

SRC unterstützt Sie in sämtlichen Phasen bei der Konzeption, Umsetzung oder dem Betrieb eines Datenschutzmanagementsystems. Unser umfassendes Dienstleistungsportfolio beinhaltet zum Beispiel die nachfolgenden Aspekte.

Datenschutzrechtliche Bestandsaufnahme

Zur Konzeption eines Datenschutzmanagementsystems ist zunächst eine Bestandsaufnahme nötig, d.h. es ist zu überprüfen wo im Unternehmen personenbezogene Daten auftreten und ob diese datenschutzkonform verarbeitet sowie angemessen geschützt werden.

SRC unterstützt bei der Definition des Geltungsbereichs sowie bei der Feststellung des Erfüllungsgrades datenschutzrechtlicher Regelungen. Hierfür werden die bestehenden datenschutzrechtlich relevanten Geschäftsprozesse, Systeme und Dokumente auf Konformität zu den Anforderungen des Bundesdatenschutzgesetzes und den damit einhergehenden Gesetzen, Verordnungen und Rechtssprechungen analysiert und bewertet.

Ergebnis der Bestandsaufnahme ist die Einschätzung des Erfüllungsgrades des Datenschutzes für die einzelnen Bereiche des Unternehmens.

Definition datenschutzrechtlich relevanter Prozesse und Erstellung datenschutzrechtlich relevanter Dokumente

Der Aufbau einer internen Datenschutzorganisation und eines DSMS beinhaltet auch die Definition von Datenschutzprozessen und die Erstellung datenschutzrechtlich relevanter Dokumente. Bei den erforderlichen Prozessen handelt es sich beispielsweise um Verfahren zu Vorabkontrolle, Auskunftsroutinen oder die Prüfung einer Rechtmäßigkeit von Datenverarbeitung. Zu den benötigten Dokumenten gehören zum Beispiel Verfahrensverzeichnisse / -beschreibungen, Richtlinien, Betriebsvereinbarungen, Dokumentationen und Vertragsvorlagen. SRC unterstützt Sie bei der Ausarbeitung der benötigten Prozesse und Dokumente.

Datenschutzstrategie und Konzeption technischer und organisatorischer Maßnahmen

Aufbauend auf den Ergebnissen der Bestandsaufnahme und unter Berücksichtigung der Dokumentationsanforderungen wird eine Datenschutzstrategie erstellt. Diese ist Basis für die Festlegung und Planung „angemessener“ technischer und organisatorischer Maßnahmen, die die Einhaltung datenschutzrechtlicher Vorschriften gewährleisten.

Hierbei sind insbesondere die in der Anlage zu § 9 BDSG ausgeführten Anforderungen zu beachten:

  • Zutrittskontrolle,
  • Zugangskontrolle,
  • Zugriffskontrolle,
  • Weitergabekontrolle,
  • Eingabekontrolle,
  • Auftragskontrolle,
  • Verfügbarkeitskontrolle,
  • Trennungsgebot. 

SRC unterstützt Sie nicht nur bei der Auswahl und Implementierung konkreter Sicherheitsmaßnahmen, sondern bietet Ihnen auch die Konzeption von Prozessen und Verfahren zur Definition eines angemessenen Schutzniveaus und zur Ableitung als „angemessen“ zu betrachtender Maßnahmen für die Verarbeitung personenbezogener Daten an.

Ansprechpartner

Detlef Kraus
Thilo W. Pannen
Randolf Skerka

info[at]src-gmbh.de
Telefon: +49(0)228 2806-0
Telefax: +49(0)228 2806-199

Seitenanfang  SeitenanfangSeite drucken  Seite drucken

Copyright © SRC Security Research & Consulting GmbH

Graurheindorfer Straße 149a . 53117 Bonn . Telefon: +49(0)228 2806-0 . Telefax: +49(0)228 2806-199 . info[at]src-gmbh.de