Datenschutzmanagement

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Das Datenschutzmanagementsystem (DSMS) beschreibt das allgemeine Sicherheitsmanagement speziell im Bereich der Datenschutz. Datenschutzmanagement ist ein komplexer Prozess der Steuerung von materiellen, konzeptionellen und menschlichen Ressourcen mit dem Ziel, den Anforderungen an die Aspekte Rechtmäßigkeit, Zweckbindung, Treu und Glauben, Verhältnismäßigkeit, Transparenz, Nachweisbarkeit, Datenminimierung, Richtigkeit, Speicherplatzbegrenzung, Belastbarkeit und das "Recht auf Vergessen", Vertraulichkeit, Integrität und Verfügbarkeit einer Organisation angemessen zu entsprechen.

Grundlagen

Die neue Europäische Datenschutz-Grundverordnung (EU-DSGVO) erfordert umfangreiche Nachweis- und Dokumentationspflichten. Nach Ansicht führender Datenschützer ist dies nur über ein DSMS erfüllbar. Dabei ist das grundlegende Dokument das Verarbeitungsverzeichnis.

Das Vorgehen beim DSMS entspricht dem bekannten Vorgehen per PDCA-Zyklus beim Qualitätsmanagementsystem ISO 9000 oder Informationssicherheitsmanagementsystem (ISMS). Hier ist ebenfalls, wie beim ISMS die Informationssicherheitsleitlinie, als Grundlage eine Leitlinie zum Datenschutz zu erstellen.

Trotz der Nähe des DSMS zum ISMS (Vertraulichkeit, Integrität und Verfügbarkeit) sind kaum alle erforderlichen technisch-organisatorische Maßnahmen (TOM) auf Grund der vielen weiteren Schutzziele (s.o.) so abbildbar. Das liegt auch an der unterschiedlichen Ausrichtung: IT-Sicherheitsmaßnahmen liegen im Eigeninteresse des Unternehmens, während Datenschutz primär eine Anforderung eines Externen darstellt. Erforderlich ist deshalb entweder eine separate Toolunterstützung mit Schnittstellen zu anderen Management-Systemen. Geeignet wäre dabei:

Im Trend ist aber auch ein sogenanntes "Integrierte Managementsystem", dass auf gemeinsamer Datenbasis (möglichst) alle relevanten Dokumentationspflichten im Unternehmen abdeckt (Risikomanagement, Qualitätssicherung bzw. ISO 9000, ISMS, DSMS, ... bis hin zum Integrated Report). Speziell für KMU wurde die VdS 10010 entwickelt.

DSMS-PDCA

Als Beispiel für einen PDCA-Zyklus soll die EU-DSGVO-Anforderung "Recht auf Vergessen" dienen.

  • Plan - Planung mittels des Verarbeitungsverzeichnisses nach EU-DSGVO
  • Do - Kundenanforderung zur Löschung seiner personenbezogenen Daten
  • Check - Prüfung der Erfassung und Umsetzung der Kundenanforderung
  • Act - ggf. Korrektur und Änderung des Verarbeitungsverzeichnisses


Weblinks


Literatur

Thomas Kranig, Andreas Sachs, Markus Gierschmann: Datenschutz-Compliance nach der DS-GVO: Handlungshilfe für Verantwortliche inklusive Prüffragen für Aufsichtsbehörden (Bundesanzeiger Verlag ISBN 978-8462-0773-4)


Siehe


Siehe auch



Diese Seite wurde zuletzt am 19. April 2018 um 14:21 Uhr von Oliver Wege geändert.

Anzeigen