Datenschutz-Managementsystem pragmatisch einführen und betreiben

Nicht zuletzt durch die Datenschutz-Grundverordnung (DSGVO) wird die Einführung eines Datenschutz-Managementsystems gefordert, schließlich muss das verantwortliche Unternehmen die Einhaltung der rechtlichen Anforderungen nachweisen (Rechenschaftspflicht). Hierbei orientiert sich die UIMC an der etablierten Vorgehensweise bei der Einführung eines Informationssicherheits-Managementsystems. Eine pragmatische und effiziente Umsetzung steht stets im Vordergrund, schließlich kann nur so der Datenschutz im Unternehmen nachhaltig umgesetzt werden und Risiken minimiert werden. Praxiserprobte Verfahrensweisen und Tools erhöhen hierbei nicht nur die Effizient, sondern auch die Nachverfolgung, die Vergleichbarkeit und die Effektivität der Maßnahmen.

Um den Datenschutz umzusetzen, reicht es nicht aus, einen Datenschutzbeauftragten zu bestellen. Zum Aufbau einer Datenschutzorganisation bzw. eines Datenschutz-Managementsystems wird durch die UIMC nach erfolgter Analyse ein Datenschutzkonzept entwickelt. Das Konzept muss im Rahmen einer regelmäßigen Revision auf Umsetzung und Wirksamkeit überprüft und optimiert werden.

Unsere Vorgehensweise beim Aufbau des Datenschutz-Managementsystems (DSMS) lehnt sich an den Anforderungen der ISO 27701 an, welche eine Erweiterung der Best-Practice-Norm der ISO/IEC 27001 und ISO/IEC 27002 um ein Datenschutzmanagement ist. Hierdurch können analoge Vorteile und ähnlicher Nutzen wie bei einem Informationssicherheits-Management generiert werden.

Sie wollen der gesetzlichen Rechenschaftspflicht effizient und pragmatisch nachkommen?
Sie haben bereits ein Qualitätsmanagementsystem aufgebaut?
Sie werden von Ihren Auftraggebern dazu aufgefordert, Ihre Informationssicherheit nach ISO 27001 oder TISAX zu gestalten?
Sie wollen den Datenschutz dabei nicht als Stand-Alone-Lösung parallel dazu entwickeln?

Profitieren Sie von unseren jahrzehntelangen Erfahrungen im Rahmen der externen Datenschutzbeauftragung und des Aufbaus von Managementsystemen.

Unsere Vorgehensweise:

Vorgehensmodell der UIMC (Überblick)

Das prinzipielle Vorgehen der UIMC in der Beratung zeichnet sich durch eine Mischung aus vorstrukturierten und standardisierten Verfahrensweisen mit unterstützenden Hilfsmitteln sowie individuellen Problemlösungen aus. Hierbei hat sich ein Vorgehensmodell bewährt, das in Anlehnung an gängige Standards erarbeitet worden ist. Dieses Vorgehensmodell ist top-down-orientiert, d. h. die Erarbeitung der Strategie-/Zielkomponente steht am Anfang und bildet die Basis aller weiteren Entscheidungen.

Erhebung des Ist-Zustands

Ausgangspunkt ist stets ein Datenschutz-Checkup, um eine Bewertung der aktuellen Ist-Situation vorzunehmen. Dies tun wir stets mit Hilfe des UIMC-Tools für Analyse und Berichterstellung (UTAB). Innerhalb eines Interviews bzw. Workshops werden die Informationen anhand eines computergestützen Fragenkatalogs erfasst sowie durch die UIMC ausgewertet und in Form eines Status-Quo-Berichts inkl. Schwachstellen und eines Maßnahmenkatalogs zur Verbesserung dokumentiert.

Am Datenschutz-Checkup sollte neben dem internen Ansprechpartner eine Person teilnehmen, die die internen Strukturen und bereits getroffenen Regelungen und die Prozesse gut kennt. Die Teilnahme aus den datenschutzrelevanten Fachbereichen (wie z. B. Personal, Vertrieb, Marketing, IT) ist zumindest temporär empfehlenswert, wobei es zielführend für die Auditergebnisse und die Sensibilisierung in Ihrem Hause ist, wenn die Ansprechpartner den gesamten Zeitraum anwesend sind.

Im Nachgang werden zwei Berichte erstellt:

Management Summary des Status quo im Datenschutz und
Maßnahmenkatalog mit empfohlenen Maßnahmen zur Verbesserung der Datenschutz-Organisation. Hierbei werden nicht nur Prioritäten und Verantwortliche mit Ihnen gemeinsam vereinbart, sondern können auch Zeitpläne zur Umsetzung erstellt werden.

[siehe auch: Audits, Revision, Checkups]

Maßnahmenplanung zur struktruierten Verbesserung

Die vorgeschlagenen Maßnahmen können durch die UIMC innerhalb einer Aktivitätenliste so vorpriorisiert werden, dass eine sukzessive Abarbeitung der Schwachstellen vorgenommen werden kann. Dies ist erforderlich, weil Erfahrungswerte zeigen, dass ein gleichzeitiges Beseitigen verschiedenster Schwachstellen u. a. aus Effizienz-, Akzeptanz- und Effektivitätsgründen nicht sinnvoll ist.

Erstellung notwendiger Dokumentation und Risikobewertung

Auch wird eine Verzeichnis von Verarbeitungstätigkeiten (VvV), kurz: Verfahrensverzeichnis, erstellt und die gesetzlich geforderte Risikobewertung durchgeführt. Hierbei hat die UIMC ein Verfahren entwickelt, die einerseits aus Effizienzgründen bereits erhobene Daten in die Risikobeurteilung einfließen lässt und hierbei sowohl qualitative als auch quantitative Faktoren berücksichtigt; andererseits ist diese Vorgehensweise von Aufsichtsbehörden anerkannt. Etwaige Datenschutz-Folgenabschätzungen können hierbei zumeist nahtlos angeschlossen werden.

Optimale Organisation

Zentrales Instrument für die Umsetzung des Datenschutzes ist das Datenschutzhandbuch. Es enthält alle wesentlichen Anweisungen, Vorgaben, Formblätter etc. und umfasst alle aufbau- und ablauforganisatorischen Fragestellungen, welche allgemein verbindlich sind.

Das Handbuch ist ein auf langjähriger Erfahrung und den Datenschutzgesetzen basierendes Regelwerk. Es ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist. Neben der Einzellösung (Datenschutz oder Informationssicherheit) kann/sollte diese Lösung aufgrund der großen Nähe der beiden Gebiete sinnvollerweise auch in Form eines integrierten Informationssicherheits- und Datenschutz-Handbuchs eingesetzt werden.

Hinzu kommen Formulare, Muster, Checklisten etc., die wir in unserem Online-Formular-Center bereithalten. Somit ist sichergestellt, dass Sie stets die aktuellen Versionen der Unterlagen nutzen.

[siehe auch: Handbuch, Hilfsmittel]

Faktor Mensch berücksichtigen

Ferner ist es unerlässlich, die Mitarbeiter im Hinblick auf die Risiken zu sensibilisieren und auf die Maßnahmen zu schulen. Aus unserer langjährigen Erfahrung sind vor allem folgende Formen zielführend, welche wir auch umsetzen und zumeist auch sinnvoll miteinander kombinieren, wobei wir gerne ein individuelles Schulungskonzept erstellen: Präsenz-Schulungen durch einen erfahrenen Referenten und/oder E-Learning zur Selbstschulung mittels eCollege.

[siehe auch: eCollege]

Kontinuierliche Verbesserung

Durch regelmäßige Besuche, Revisionsgespräche und Audits sowie durch die kontinuierliche Anpassung der Hilfsmittel wie Handbuch und Schulungen an technische und rechtliche Änderungen werden wir den Datenschutz und die Informationssicherheit laufend optiminieren. Auch Veränderungen des Unternehmens können berücksichtigt werden, indem Regelungen, Prozesse usw. entsprechend modifiziert werden.

Hierzu hat die UIMC ein Verfahren entwickelt, dass es uns ermöglicht, unseren Kunden einen schnelle Überblick über Vorgänge, Risiken, Ist-Zustand etc. zu geben („UIMClient“). Dies fließt in den jährlichen Tätigkeitsbericht, der selbstverständlich mit einer Management Summary zum schnellen Einstieg der Entscheider beginnt.

Im Übrigen kann – spätestens seit Einführung der Datenschutz-Grundverordnung – eine gleichzeitige Betrachtung von Datenschutz und von Informationssicherheit nicht nur fachlich sinnvoll und empfehlenswert sein, es werden auch Synergien erzeugt, die wir an Sie weitergeben können.

Maßgeschneiderte Umsetzungskonzepte

Lassen Sie sich gleich jetzt ein individuelles Angebot erstellen

Ihr Ansprechpartner

Kevin Nicholls

Fragen? Informationen? Angebot?

Kontaktdaten und Standorte

Termin mit Vertriebsteam vereinbaren

Warum UIMC?

Hohe Methoden- und Fachkompetenz
Synergien aus Mehrfachbestellungen
Know-How-Transfer aus ISMS
Keine Betriebsblindheit
Kurzfristige Verfügbarkeit
Best Practice

Maßgeschneidertes Konzept

FYI: Hilfsmittel & Tools

Unser Tipp

Führen Sie das Datenschutz-Managementsystem gemeinsam mit der Informationssicherheit ein; Sie nutzen so große Synergien zwischen den beiden Themengebieten und müssen keine zwei "Parallel-Systeme" pflegen.
Informationssicherheits-Management

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo