Wenn wir mal ganz ehrlich zu uns selbst sind, dann werden auch kleine und mittelständische Unternehmen (KMU) die doch recht weitreichenden Vorgaben der Datenschutz-Grundverordnung (DSGVO), die auch für KMU gelten, nicht umsetzen und vor allem im Hinblick auf einen haftungs- und sanktionsrechtlich relevanten Fahrlässigkeitsvorwurf nicht nachweisen können, ohne eine Form eines geordneten „Prozesses“ für die Umsetzung der Pflichten der DSGVO vorweisen zu können. Immer wenn wir über solche „geordneten Prozesse“ sprechen, ist von Qualitätsmanagement bzw. Management-Systemen die Rede. Und heute reden wir mal über Datenschutzmanagementsysteme (DSMS).
Dazu aber gleich mehr. Zunächst aber dies: Der aufmerksame Leser wird vielleicht über die Formulierung oben gestolpert sein…wieso soll denn das KMU „nachweisen“, dass es nicht fahrlässig (oder vorsätzlich) gehandelt hat. Das muss doch schließlich „Staat“ im Falle eines Bußgeldes oder der Geschädigte im Falle eines Schadensersatzanspruches nachweisen. Ja, das ist grundsätzlich richtig. Nur hat die Europäische Union auf rechtsstaatlich nicht unbedenkliche Weise in Art. 5 Abs. 2 DSGVO eine Nachweispflicht („Rechenschaftspflicht“) eingeführt, die – auf dem Papier – zwar nicht unmittelbar aber zumindest mittelbar zu einer Art von Beweislastumkehr führt.
Und über § 93 Abs. 1 i.Vm. § 91 Abs. 2 AktG bzw. § 43 GmbHG wird es dann ohne ein Datenschutzmanagementsystem aber ggf. auch schon mal eng für die vertretungsberechtigten Personen der Kapitalgesellschaften. Denn ohne jedwede Maßnahme im Bereich Datenschutzmanagement wird es bei Bußgeldrisiken von bis zu 20 Mio. Euro nach der DSGVO die Luft für Geschäftsführer und Vorstände ggf. eng – im Hinblick auf eine denkbare persönliche Haftung. Auf einmal wird Datenschutz dann doch zur Chefsache (ich hasse übrigens diesen „Beratersprech-“ bzw. Schlaumeier-Satz).
Wir können lange hin und her reden, aber auch aus Art. 24 Abs. 1 DSGVO und im Bereich der Datensicherheit aus Art. 32 Abs. 1 lit. d) DSGVO sind die Zeichen sehr deutlich in Richtung eines „Managementsystems“ gesetzt. Genau genommen macht da bei einer Gesamtbetrachtung nur ein DSMS Sinn. Wie setze ich denn jetzt aber ein DSMS um? Gibt es dafür einen Standard?
Es gibt natürlich für alles mögliche immer Standards. Im Bereich des Datenschutzes könnte z.B. ISO 29151 genannt werden. Allerdings für die DSGVO kein wirklich passgenauer Ansatz. Auf jeden Fall auch viel zu viel Aufwand für KMU. Ein recht guter Standard ist dann VdS 10010. Der ist im Bereich der sog. „Aufbauorganisation“, also der erforderlichen Personen, die im Datenschutz „Hüte“ im Unternehmen auf haben, aber auch nicht ohne. Einen Überblick über Standards und Vor- und Nachteile derselben habe ich in diesem Webinar mal in Ansätzen aufgezeigt.
Es ist im Ergebnis auch nicht ganz entscheidend, ob ich mich an einen Standard halte. Wichtig ist allerdings schon, dass bei der Umsetzung eine Struktur erkennbar ist, aus der sich ergibt, dass Datenschutzmaßnahmen, die gesetzlich vorgesehen sind, geplant und umgesetzt werden. Und dass diese auch regelmäßig evaluiert und angepasst werden. Es grüßt der „Plan Do Check Act“-Zyklus. Der PDCA-Zyklus als Zirkel der kontinuierlichen Verbesserung. Insbesondere ist es hilfreich, sich bei der Struktur im Bereich der Datensicherheit an gängige Standards der Informationssicherheit (ISO 27001, BSI-Standard, VdS 3473) „anzulehnen“. Im Worst-Case-Szenario wird es in der Regel darauf hinauslaufen, dass ein Gericht einen Sachverständigen mit der Klärung der Frage beauftragt, ob Daten dem Stand der Technik entsprechend sicher verarbeitet wurden. Und diesem Sachverständigen sollte sich bei Sichtung von Dokumenten eine Struktur zeigen, die er als „Sicherheitsstandard“ erkennen kann.
Ich glaube bei der Planung und Umsetzung eines DSMS ist es immer noch die beste Idee, mit einzelnen Richtlinien zu arbeiten, die idealerweise in einem Unternehmens-WIKI gepflegt werden. Denn das löst zugleich Probleme der Dokumentenlenkung (inkl. der Erstellung, Prüfung und Freigabe) und die Probleme der Versionierung von Dokumenten und der Änderungsrückverfolgung.
Ein bewährtes Set von Richtlinien in einem DSMS beinhaltet z.B. folgende Dokumente:
- Leitlinie zu Datenschutz und Informationssicherheit
- Richtlinie zum Datenschutz (für Beschäftigte)
- Richtlinie zur Umsetzung von Datenschutzmaßnahmen
- Richtlinie für die Umsetzung von Betroffenenrechten
- IT-Richtlinie für Nutzer
- Richtlinie für Speicherorte
- Richtlinie für die Nutzung mobiler IT-Systeme
- Richtlinie für die Nutzung mobiler Datenträger
- Richtlinie Regelungen für Lieferanten und sonstige Auftragnehmer
- Richtlinie für Störungen und Ausfälle
- Richtlinie für Sicherheitsvorfälle
- Notfallplan
In der Mandatspraxis hat sich aber bei einigen DSGVO-Projekten gezeigt, dass die Mandanten mit diesem Ansatz nicht zufrieden waren. Da kamen z.B. folgende Äußerungen:
Stephan, das ist schon alles gut. Aber wir haben hier eine ganze Reihe von älteren Beschäftigten. Die gucken eigentlich nie ins WIKI.
Können wir das nicht alles in einem Dokument bekommen. Ich möchte den Mitarbeitern etwas in die Hand geben können.
Bei uns arbeiten 120 Leute in der Halle. Die haben da zwar einen gemeinschaftlichen PC. Den nutzen die aber nur, um ihre Stunden und Urlaub einzutragen. Wir brauchen da schon irgendwie „Papier“.
Ich denke dann immer. Mensch, wir leben im 21. Jahrhundert. Was wollt ihr mit Papier? Dann habe ich mir aber gedacht: Okay, lass’ uns das probieren.
Also habe ich alle Richtlinien einfach in einem Dokument zusammengefügt, miteinander harmonisiert und ein bisschen Begleittext geschrieben. Fertig war das Datenschutzhandbuch. Die Version 0.1 habe ich dann an die betroffenen Mandanten gesendet. Die waren mit dem Ansatz „happy“. Genau das, was sie wollten.
Dann bin ich aber noch einen Schritt weiter gegangen und habe das Dokument auch an die Mandanten gesendet, die bereits WIKIs im Einsatz hatten bzw. die Umsetzung der DSMS-Richtlinien im WIKI geplant hatten. Und nach dem Feedback war ich „baff“. Über 80% der Mandanten sind auf das „Datenschutzhandbuch“ umgestiegen. Weg vom WIKI, hin zu einem Dokument. Ich habe das nicht ganz verstanden. Aber wenn die Mandanten sagen, dass das besser zu ihnen passt, dann haben die Mandanten recht. So einfach ist das.
Jetzt habe ich dieses Datenschutzhandbuch noch etwas verfeinert, und es ist jetzt mein Hauptwerkzeug bei der Umsetzung von Datenschutzmanagementsystemen bei Mandanten. Der Vorteil: Es ist flexibel, schnell und vor allem für die Mandanten einfach versteh- und nachvollziehbar.
Es sind auch in dem Datenschutzhandbuch alle m.E. erforderlichen Richtlinien für die Umsetzung der Datenschutzmaßnahmen nach der DSGVO. Aber nicht nur das. Es beinhaltet vor allem auch eine Aufbauorganisation für das Datenschutzmanagement mit einem flexiblen und ggf. schlanken Datenschutz- und Informationssicherheitsteam.
Hervorheben möchte ich hier insbesondere, dass mein „Datenschutzhandbuch“ der Rollen- und Aufgabenverteilung zwischen den Pflichten des Unternehmens als „Verantwortlichen“ und der Rolle des Datenschutzbeauftragten entsprechend Rechnung trägt und dabei vor allem die Haftungsaspekte des Datenschutzbeauftragten entsprechend berücksichtigt.
Das Datenschutzhandbuch füllt gut 50 DIN A4 Seiten und liegt im Word-Format vor. Es ist für Datenschutz-Coaching-Mitglieder herunterladbar.
Da eine Datenschutz-Coaching-Mitgliedschaft schon ab 46,41 € (inkl. MwSt.) erhältlich ist, sollte die Anschaffung bei Interesse an einer DSMS-Umsetzung in KMU über ein Datenschutzhandbuch ein „No Brainer“ sein.
Übrigens haben auch Mitglieder des Online-Kurses für Datenschutzbeauftragte Zugriff auf das Dokument.
Das Dokument wird regelmäßig aktualisiert und steht bei aktiver Datenschutz-Coaching-Mitgliedschaft dann in der jeweils aktuellen Version zur Verfügung.
Zu den Nutzungsrechten: Das Dokument kann von Datenschutz-Coaching-Mitgliedern heruntergeladen und nach Belieben angepasst und für sich oder Kunden verwendet werden. Die Verwendung erfolgt auf eigenes Risiko. In dem Dokument sind keinerlei Hinweise auf ein Urheberrecht von mir enthalten und müssen auch nicht angebracht werden. Das einzige, was ich im Hinblick auf die Nutzung untersage, ist der Verkauf des Dokuments über das Internet. Ich möchte also nicht, dass ihr das Dokument über eure Internetseiten kostenfrei oder kostenpflichtig zum Download bereitstellt. Für euch oder eure Kunden könnt ihr es aber frei verwenden.
Das Dokument können Datenschutz-Coaching-Mitglieder hier herunterladen: