Datenschutz-Management-System (DSMS)

Die Datenschutz-Grundverordnung (DS-GVO) verlangt von der Unternehmensleitung gemäß Artikel 24 Abs. 1 DS-GVO den Nachweis, dass alle zutreffenden Maßnahmen zur DS-GVO und BDSG im Unternehmen

  • eingeführt,
  • umgesetzt und
  • aktuell sind.

Dies ist nicht Aufgabe des intern oder extern benannten Datenschutzbeauftagten (DSB).

Daher empfiehlt es sich, die Maßnahmen in einem Datenschutz-Management-System (DSMS) abzubilden und umzusetzen. Nur so kann das Unternehmen den Anforderungen des Artikel 24 Abs. 1 und der umfangreichen Rechenschaftspflicht gemäß Artikel 5 Abs. 2 DS-GVO nachkommen. Der Verstoß gegen den Artikel 5 DS-GVO ist bußgeldbewehrt.

Als Datenschutzmanager

  • initiieren und planen wir mit Ihnen,
  • steuern und
  • setzen das DSMS um.

Das Datenschutz-Management-Systems ist ein Regelwerk, welches alle erforderlichen Maßnahmen aus der DS-GVO und dem BDSG enthält.

Das Regelwerk ist

  • in die Datenschutzorganisation,
  • in Datenschutzprozesse und
  • in den Datenschutz in betrieblichen Prozessen

geliedert und enthält dazu folgende Punkte:

  • Leitlinie des Verantwortlichen zum Datenschutz
  • Grundsätze und Rechtsgrundlagen
  • Verantwortlichkeiten
  • Gültigkeitsbereich
  • Stellung und Aufagben des Datenschutzbeauftragten (wenn benannt) und des Datenschutzmanagers/ -koordinators
  • Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde und Veröffentlichung seiner Kontaktdaten
  • Regelung zur Zusammenarbeit mit den Aufsichtsbehörden
  • Prozessinventur
  • Verzeichnis der Verarbeitungstätigkeiten als Verantwortlicher gemäß Artikel 30 Abs. 1 DS-GVO
  • Verzeichnis der Verarbeitungstätigkeiten als Auftragsverarbeiter gemäß Artikel 30 Abs. 2 DS-GVO
  • Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DS-GVO unter Berücksichtigung
    • der Positivliste der Datenschutzkonferenz
    • des Artikels 35 Abs. 3 DS-GVO
    • des Working-Papers WP 248 Rev. 02 der Datenschutzgruppe nach Artikel 29
  • Vertragsorganisation und -management zu AV-Verträgen inkl. der Auswahl eines Dienstleisters
  • Technisch-organisatorische Maßnahmen gem. Art. 32 DS-GVO, insbesondere Maßnahmen
    • zur Gewährleistung der Vertraulichkeit
    • zur Gewährleistung der Integrität
    • zur Gewährleistung der Verfügbarkeit und Belastbarkeit
    • zum Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technisch-organisatorischen Maßnahmen
  • IT-Sicherheitskonzept
  • Maßnahmen gemäß Artikel 25 DS-GVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen)
  • Löschkonzept/ Aufbewahrungspflichten
  • Entsorgung/ Vernichtung
  • Rechte der betroffenen Person gemäß Artikel 12 - 22 DS-GVO
  • Sicherheitsvorfall/ Datenpanne gemäß Artikel 33 und 34 DS-GVO
  • Datenschutzrechtliche Verpflichtung der Beschäftigten nach DS-GVO
    • ggf. zusätzlich die Verpflichtung auf das Fernmeldegeheimnis
  • Schulungs- und Sensibilisierungsmaßnahmen
  • weitere unternehmenspezifische Richtlinien, z. B.
    • Nutzung des betrieblichen E-Mail-Accounts für private Zwecke
    • Telearbeitsplatz/ Homeoffice-Arbeitsplatz und/ oder mobiler Arbeitsplatz
    • BYOD (Bring Your Own Device)

Das Regelwerk wird regelmäßig und nachweislich von uns auf Aktualiät und Gültigkeit geprüft. Dazu unterliegt das Regelwerk der Methode des Deming-Kreises mit PDCA (Plan, Do, Check, Act).

Wenn Sie es wünschen, schulen wir Ihre Mitarbeiter zum Datenschutz-Management-System.

Sollten Sie uns als Datenschutzmanager bestellen, können wir nicht gleichzeitig als Ihr Datenschutzbeauftragter tätig werden (Interessenkonflikt).

Lesen Sie dazu auch:

IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, Über uns, Datenschutzorganisation, Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitung, Datenschutz, Datenschutz-Schulungen, Arbeitsplatz und seine Nutzungsbedingungen, Webserver und Auftragsverarbeitung, BGH-Urteil vom 28.05.2020 zu Cookies, Fragebogen zur Videoüberwachung