Datenschutzmanagement

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Das Datenschutzmanagementsystem (DSMS) beschreibt das allgemeine Sicherheitsmanagement speziell im Bereich der Datenschutz. Datenschutzmanagement ist ein komplexer Prozess der Steuerung von materiellen, konzeptionellen und menschlichen Ressourcen mit dem Ziel, den Anforderungen an die Aspekte Rechtmäßigkeit, Zweckbindung, Treu und Glauben, Verhältnismäßigkeit, Transparenz, Nachweisbarkeit, Datenminimierung, Richtigkeit, Speicherplatzbegrenzung, Belastbarkeit und das "Recht auf Vergessen", Vertraulichkeit, Integrität und Verfügbarkeit einer Organisation angemessen zu entsprechen.

Grundlagen

Die neue Europäische Datenschutz-Grundverordnung (EU-DSGVO) erfordert umfangreiche Nachweis- und Dokumentationspflichten. Nach Ansicht führender Datenschützer ist dies nur über ein DSMS erfüllbar (siehe Literatur). Dabei ist das grundlegende Dokument das Verarbeitungsverzeichnis.

Das Vorgehen beim DSMS entspricht dem bekannten Vorgehen per PDCA-Zyklus beim Qualitätsmanagementsystem ISO 9000 oder Informationssicherheitsmanagementsystem (ISMS). Hier ist ebenfalls, wie beim ISMS die Informationssicherheitsleitlinie, als Grundlage eine Leitlinie zum Datenschutz zu erstellen.

Trotz der Nähe des DSMS zum ISMS (Vertraulichkeit, Integrität und Verfügbarkeit) und deren Umsetzung per technisch-organisatorische Maßnahmen (TOM) sind kaum alle erforderlichen gesetzlichen Pflichten auf Grund der vielen weiteren Schutzziele (s.o.) so abbildbar. Das liegt auch an der unterschiedlichen Ausrichtung: IT-Sicherheitsmaßnahmen liegen im Eigeninteresse des Unternehmens, während Datenschutz primär eine Anforderung eines Externen darstellt. Erforderlich ist deshalb entweder eine separate Toolunterstützung mit Schnittstellen zu anderen Management-Systemen. Geeignet wäre dabei:

  • der Rückgriff auf bestehende datenschutzrelevante ISO-Normen, die allerdings auf Grund der Allgemeingültigkeit noch um die speziellen Aspekte der EU-DSGVO erweitert werden müssten
  • die Anwendung des Standard-Datenschutzmodells (SDM), wobei allerdings z.T. andere Schutzziele als in der EU-DSGVO (Datenminimierung, Nichtverkettung, Transparenz, Intervenierbarkeit) gelten und es bisher nur einzelne Bausteine mit entsprechenden Maßnahmenkatalogen gibt (Bausteine Datenschutz-Management, Planung/Spezifikation, Dokumentation, Protokollierung, Trennung, Löschen, Aufbewahrung[1]; z.B. im Gegensatz zu den wesentlich umfangreicheren IT-Grundschutz-Katalogen). Das SDM sollte zunächst an die DSGVO angepasst werden - die Version 2.0 steht seit November 2019 bereit[2] - danach erst sollen weitere Bausteine folgen. „Die rechtlichen Anforderungen der Datenschutzgrundverordnung (DS-GVO) werden vom SDM nun vollständig erfasst und mit Hilfe der Gewährleistungsziele systematisiert“, so in einer Mitteilung der DSK vom 13.11.2019 zum Standard-Datenschutzmodell, Version 2.0.[3] [Download SDM Version 2.0 unter Entschließungen und Beschlüsse der 98. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 6. und 7. November 2019 in Trier unter https://www.datenschutz-mv.de/datenschutz/publikationen/entschliessungen_2020_2011/]

Im Trend ist aber auch ein sogenanntes "Integrierte Managementsystem", dass auf gemeinsamer Datenbasis (möglichst) alle relevanten Dokumentationspflichten im Unternehmen abdeckt (Risikomanagement, Qualitätssicherung bzw. ISO 9000, ISMS, DSMS, ... bis hin zum Integrated Report). Speziell für KMU wurde die VdS 10010 entwickelt.

DSMS-PDCA

Als Beispiel für einen PDCA-Zyklus soll die EU-DSGVO-Anforderung "Recht auf Vergessen" dienen.

  • Plan - Planung mittels des Verarbeitungsverzeichnisses nach EU-DSGVO
  • Do - Kundenanforderung zur Löschung seiner personenbezogenen Daten
  • Check - Prüfung der Erfassung und Umsetzung der Kundenanforderung
  • Act - ggf. Korrektur und Änderung des Verarbeitungsverzeichnisses


Weblinks


Literatur

Thomas Kranig, Andreas Sachs, Markus Gierschmann: Datenschutz-Compliance nach der DS-GVO: Handlungshilfe für Verantwortliche inklusive Prüffragen für Aufsichtsbehörden (Bundesanzeiger Verlag ISBN 978-8462-0773-4)


Einzelnachweis

  1. SecuPedia Aktuell: "Standard-Datenschutzmodell: Anwender können mit ersten Bausteinen arbeiten"
  2. SecuPedia Aktuell: DSGVO: DSK hat überarbeitete Version des Standard-Datenschutzmodelles entwickelt
  3. Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 13. November 2019


Siehe


Siehe auch



Diese Seite wurde zuletzt am 15. November 2019 um 18:49 Uhr von Doris Porwitzki geändert. Basierend auf der Arbeit von Oliver Wege.