Zur Erfüllung ihrer datenschutzrechtlichen Rechenschaftspflicht müssen Unternehmen stets nachweisen können, dass sie die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) einhalten, überwachen und ggf. verbessern. Diese sog. Nachweispflicht, zielt vor allem auf die Erbringung von Nachweisen gegenüber der Aufsichtsbehörde ab, wobei eine unzureichende Dokumentation auch eine Sanktionierung durch die Aufsichtsbehörde zur Folge haben kann. Die Formulierung in Art. 24 DSGVO legt nahe, dass die Umsetzung der Nachweispflicht ein funktionierendes Datenschutz-Managementsystem (DSMS) samt Audits voraussetzt.

Praktische Umsetzung der Rechenschafts- und Nachweispflicht durch ein Datenschutzmanagement

Die DSGVO hat dem Verantwortlichen einer Datenverarbeitung umfangreiche Nachweis- und Rechenschaftspflichten auferlegt. Der Verantwortliche hat danach die in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) einzuhalten und muss deren Einhaltung nachweisen können.

Die Einhaltung dieser Grundsätze kann im Rahmen eines DSMS erfolgen. Auch wenn die DSGVO selbst keine konkrete Pflicht zur Etablierung eines solchen Systems vorsieht, legt die Formulierung in Art. 24 DSGVO nahe, dass ein übergreifende Organisationsstrukturen zu schaffen und zu unterhalten sind, die sicherstellen, dass aus dem Unternehmen heraus Dritte nicht in ihren Datenschutz-Rechten verletzt werden, und datenschutzrechtliche Normen eingehalten werden. Die Steuerung der funktionalen Prozeduren zur Einhaltung der Datenschutzgrundsätze und des übergeordneten Kreislaufs aus Planung, Umsetzung und Durchführung, Überprüfung und Anpassung von Maßnahmen erfordert einen systematischen Ansatz und eine Organisation. Entsprechend reichen einmalig festgelegte Maßnahmen allein nicht aus, um Bußgelder oder etwa die persönliche Haftung von Organisationsmitgliedern zu vermeiden. Vielmehr sind einmal ergriffene Maßnahmen regelmäßig insbesondere auf ihre Angemessenheit und Wirksamkeit zu überprüfen und gegebenenfalls Anpassungen vorzunehmen.

Ein solches DSMS dient somit der Einhaltung des Datenschutzes, der Vermeidung von Datenschutzpannen (Data-Breaches) und der Erfüllung der Anforderungen der Rechenschaftspflicht (Accountability, Art. 5 Abs. 2 DSGVO). Mit Blick auf die zunehmende Aktivität und Bereitschaft der Datenschutzbehörden Bußgelder gegen DSGVO-Verstöße zu verhängen (zuletzt ein Bußgeld i.H.v. 14,5 Mio. gegen ein Immobilienunternehmen [Pressemitteilung des BlnBDI vom 05. November 2019]), ist ein funktionierendes DSMS mit integrierten Überwachungsmechanismen das wesentliche Instrument zur Einhaltung der Datenschutz-Compliance und Stärkung der Eigenkontrolle. Ein DSMS ist jedoch keinesfalls zu verwechseln mit Datenschutz-Tools bzw. Software, die aber das Datenschutzmanagement unterstützen und erleichtern können.

Grundlage für das Datenschutz-Managementsystem

Beim Aufbau eines DSMS kann man sich an vorhandenen Compliance-Managementsystemen (CMS) orientieren. Das CMS kann für verschiedene Rechtsgebiete gelten, so unter anderem auch für Datenschutz. Entsprechend kann ein DSMS auf Grundlage der Anforderungen des IDW PS 980 erfolgen.

Der Prüfstandard PS 980, herausgegeben durch das Institut der Wirtschaftsprüfer in Deutschland (IDW), gibt für ein CMS sieben wesentliche Bestandteile vor (vgl. Abb. 1).

 

Als Grundalge für ein DSMS stehen daneben weitere Standards zur Verfügung. Insbesondere sind hier auch die etablierten Standards der ISO 27000-Normenreihe zu nennen. Von wesentlicher Bedeutung ist die jüngst veröffentlichte Erweiterung der ISO 27001, die Basis für ein Managementsystem für Informationssicherheit. Die jüngste Ergänzungsnorm, ISO 27701, bezieht sich explizit auf ein Datenschutz-Managementsystem und kann einer Zertifizierung des ISMS nach ISO/IEC 27001 weitere normative Anforderungen hinzufügen – und auch im Rahmen eines Audits mit überprüft werden.

Zudem existiert das Standard-Datenschutzmodell (SDM), welches von den deutschen (Landes-) Aufsichtsbehörden veröffentlich wird. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 6. November 2019 mit der Version 2.0 eine grundlegend überarbeitete Version verabschiedet. Das SDM 2.0 soll die rechtlichen Anforderungen der DSGVO vollständig erfassen und mit Hilfe der Gewährleistungsziele (Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung,• Transparenz und Intervenierbarkeit) systematisiert.

Funktionierendes Datenschutz-Managementsystem

Zur Sicherstellung eines funktionsfähigen DSMS und damit der Datenschutz-Compliance, sind regelmäßige Überprüfungen durchzuführen. Unabhängig von dem für das Unternehmen einschlägigen DSMS-Standard, entspricht diese Anforderung auch dem sequenziellen Verlauf eines DSMS. Sämtliche (Kern-) Prozesse – sind hierbei im Rahmen eines PDCA-Zyklus organisiert, der regelmäßig zu durchlaufen ist (vgl. Abb. 2).

Regelmäßige Überprüfungen stärken die Eigenverantwortung und damit auch die Eigenkontrolle der Unternehmen.

Abhängig von der Ausgangslage und Bedarf können im Rahmen der Überprüfung unterschiedliche Prüfungsgegenstände betrachtet und Erkenntnisse gewonnen werden. So kann die Prüfung des DSMS beispielsweise Implementierungslücken oder Optimierungsbedarfe der Datenschutzprozesse zutage fördern. Durch die Prüfung in Form einer Selbstkontrolle, kann sich der Datenschutzbeauftragte eigenständig ein Bild vom Stand des Datenschutzes machen und eine Bewertung durchführen. Ferner kann die Prüfungstiefe je nach Bedarf variieren. So lassen sich durch einen „Quick-Check“ beispielsweise auch nur einzelne Datenschutzdomänen, wie das Datenschutzprogramm und dort der Aspekt der Datenschutzinformationen prüfen oder es können durch sog. „Dry Runs“ spezielle Prozessabläufe (Melde- oder Auskunftsprozesse) simuliert werden. Oder ein DSMS kann z.B. auf dessen Konzeption, Angemessenheit, Wirksamkeit hin überprüft werden.

Die Überprüfung oder ein Audit zur Sicherstellung der Datenschutz-Compliance erfolgt dabei etwa auf den Fragekatalogen der deutschen Datenschutzaufsichtsbehörden, den Standards ISO 27001 / 27701, dem IDW PS 980 oder dem IDW Prüfhinweis PH 9.860.1– bzw. auf Basis eines Hybrid dieser Anforderungen.

Praxishinweis: Was Unternehmen jetzt tun sollten

  • Abschluss und Finalisierung von DSGVO Implementierungsprojekten

Um die Implementierungsergebnisse zu validieren, können Quick-Checks helfen, um einzelne Datenschutzdomänen zu überprüfen.

  • Aufbau/Ausbau eines Datenschutzmanagementsystems (DSMS)

Das DSMS sollte nach seinem Aufbau auf seine Angemessenheit und Wirksamkeit hin überprüft werden.

  • Selbstkontrolle des Datenschutzbeauftragten nach Art. 39 DSGVO

Der Datenschutzbeauftragte hat die Einhaltung der DSGVO zu überwachen und kann diesen Kenntnisstand in Form eines Reportings an die Geschäftsleitung weitergeben. Für diese Überwachung können die vorgeschlagenen Audits als Selbstkontrolle durchgeführt werden.

  • Durchführung von datenschutzfokussierten Revisionsprüfungen zur Vermeidung von Organisationsverschulden

Die sog. „Third Line of Defense” kann im Rahmen ihres Auditprogramms Prüfungen der Datenschutzfunktion im Unternehmen vornehmen, um mögliche Organisationsschwächen der Geschäftsleitung frühzeitig aufzuzeigen.