Wieso ein Datenschutzmanagementsystem?
Ziel des Datenschutzmanagementsystems (DSMS) ist es, Unternehmen und Behörden eine Systematik an die Hand zu reichen, die sich in die Geschäftsprozesse integrieren lässt, um Datenschutz langfristig und nachvollziehbar innerhalb der Organisation zu verankern. Dabei orientiert sich das DSMS der Nemesis Consulting GmbH an den aus der ISO-Welt (Umwelt, Energie, IT-Sicherheit) bekannten Strukturen. Insbesondere die Umsetzung anhand eines PDCA-Zyklus, die kontinuierliche Verbesserung oder die Anlehnung an die ISO-Dokumentationspyramide schaffen einen hohen Wiedererkennungswert bei den Mitarbeitern.
Aufbau eines Datenschutzmanagementsystems
Üblicherweise wird zunächst die Datenschutzstrategie des Unternehmens in Form einer Datenschutz-Richtlinie definiert und festgelegt, welche Strukturen, Rollen und Verantwortlichkeiten auszuweisen sind. Die eigentliche Umsetzung erfolgt dann in Form eines PDCA-Zyklus und umfasst üblicherweise folgende Schritte:
Dokumentation im Datenschutzmanagementsystem
Mit Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO) wird erstmalig im Bereich des Datenschutzes eine umfassende Rechenschaftspflicht eingeführt. Dies bedeutet u. a., dass die Unternehmen in der Lage sein müssen jederzeit die Konformität mit den einzelnen Artikel der Verordnung nachzuweisen. Dadurch gewinnt die Dokumentation der Datenschutzprozesse aber auch die Protokollierung von einzelnen Vorgängen und Tätigkeiten nochmals an Bedeutung.
Bei der Umsetzung der Dokumentationspflichten stellen sich viele Unternehmen die Frage, ob eine „gedruckte“ Dokumentation oder eine „elektronische“ Dokumentation die bessere Wahl ist. Wir sind der Meinung, dass beide Welten ihre spezifischen Vor- und Nachteile haben:
- Elektronische Dokumente haben den Vorteil leicht zu pflegen und überall verfügbar zu sein.
- Gedruckte Dokumente bzw. Dokumente in einem klassischen „Printlayout“ werden von vielen Menschen als „besser lesbar“ empfunden.
- Elektronische Dokumente bieten zusätzliche Möglichkeiten, beispielsweise die Verlinkung von Inhalten.
- Eine gedruckte Dokumentation ist „leichter greifbar“ und kann durch einen professionellen Aufbau in Gesprächen mit Kunden oder Auditoren „einen guten Eindruck machen“.
- Protokolle können häufig automatisiert direkt in den IT-Systemen erzeugt werden.
Wir sind daher der Meinung, dass es kein „entweder / oder“ sein sollte, sondern häufig eine Kombination aus beiden Welten sinnvoll ist. Wir empfehlen Vorgabedokumente im klassischen Dokumentlayout zu erstellen, jedoch Vorteile der elektronischen Welt (z. B. Verlinkungen) zu nutzen. Die entstehenden Dokumente (z. B. PDF’s) können sowohl rein digital genutzt werden als auch im Bedarfsfalle optisch ansprechend gedruckt werden. Die Verwaltung erfolgt über ein Online System, beispielsweise unserem „virtuellen Datenschutzbüro“. Reine Aufzeichnungen / Nachweise sollten soweit möglich automatisiert direkt in den IT-Systemen erfolgen. Letztendlich entscheidet aber immer die individuelle Kundensituation über die geeignete Vorgehensweise.
Gerne zeigen wir Ihnen verschiedene Möglichkeiten auf, sprechen Sie uns an!