Im heu­ti­gen di­gi­ta­len Zeit­al­ter spielt der Daten­schutz eine ent­schei­den­de Rolle.
Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) der Eu­ro­päi­schen Union ist das zen­tra­le Gesetz, das den Schutz per­so­nen­be­zo­ge­ner Daten regelt. Eines der Grund­prin­zi­pi­en der DSGVO lautet: „Keine Ver­ar­bei­tung ohne Rechts­grund­la­ge“. Dieser Grund­satz ist in Art. 6 Abs. 1 der DSGVO ver­an­kert und bildet – auch, aber nicht aus­schließ­lich – die Grund­la­ge für die Not­wen­dig­keit eines Da­ten­­­schutz-Ma­­na­ge­­ment- systems (DSMS).

In diesem ersten Beitrag einer Serie wird er­läu­tert, warum ein DSMS für Or­ga­ni­sa­tio­nen un­er­läss­lich ist, um die An­for­de­run­gen der DSGVO zu erfüllen.

1. Recht­mä­ßig­keit der Ver­ar­bei­tung (Art. 6 Abs. 1 DSGVO)

Die DSGVO legt in Art. 6 Abs. 1 sechs Rechts­grund­la­gen fest, auf die die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ge­stützt werden kann. Diese sind:

a) Ein­wil­li­gung der be­trof­fe­nen Person;

b) Er­fül­lung eines Ver­tra­ges oder vor­ver­trag­li­che Maßnahmen;

c) Er­fül­lung einer recht­li­chen Verpflichtung;

d) Schutz le­bens­wich­ti­ger Interessen;

e) Wahr­neh­mung einer Aufgabe im öf­fent­li­chen Interesse;

f) Wahrung be­rech­tig­ter In­ter­es­sen des Verantwortlichen.

Diese Rechts­grund­la­gen sind die Säulen, auf der eine davon, die Da­ten­ver­ar­bei­tung beruhen muss. Ein Da­ten­­­schutz-Ma­­na­ge­­men­t­­sys­­tem stellt sicher, dass jede Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten die er­for­der­li­che Rechts­grund­la­ge hat und do­ku­men­tiert dies nachweislich.

2. Grund­sät­ze der Ver­ar­bei­tung (Art. 5 DSGVO)

Die DSGVO legt sechs Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten fest, die bei jeder Da­ten­ver­ar­bei­tung zu be­ach­ten sind:

a) Ver­ar­bei­tung auf recht­mä­ßi­ge Weise und nach Treu und Glauben;

b) Fest­le­gung klarer und le­gi­ti­mer Zwecke (Zweck­bin­dung);

c) An­ge­mes­sen­heit und Datenminimierung;

d) sach­li­che Rich­tig­keit und Ak­tua­li­tät (Rich­tig­keit);

e) Spei­cher­be­gren­zung auf das er­for­der­li­che Maß;

f) an­ge­mes­se­ne Si­cher­heits­maß­nah­men (In­te­gri­tät und Vertraulichkeit).

Ein DSMS stellt sicher, dass die Grund­sät­ze in der ge­sam­ten Or­ga­ni­sa­ti­on ein­ge­hal­ten werden, und do­ku­men­tiert die Umsetzung.

3. Ver­ant­wort­lich­keit und Nach­weis­pflicht (Artt. 24, 32 und 5 DSGVO)

Die DSGVO legt die Ver­ant­wor­tung für die Ein­hal­tung der Da­ten­schutz­be­stim­mun­gen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten klar beim Ver­ant­wort­li­chen fest. Artikel 24 betont die Not­wen­dig­keit, ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men um­zu­set­zen und nach­zu­wei­sen, dass die Ver­ar­bei­tung im Ein­klang mit der Ver­ord­nung erfolgt. Artikel 32 ver­langt ein Ver­fah­ren zur re­gel­mä­ßi­gen Über­prü­fung und Be­wer­tung der Si­cher­heits­maß­nah­men. Artikel 5 Absatz 2 betont die Re­chen­schafts­pflicht des Ver­ant­wort­li­chen und die Not­wen­dig­keit, die Ein­hal­tung der DSGVO nach­wei­sen zu können.

Ein DSMS er­mög­licht es Or­ga­ni­sa­tio­nen, diesen Ver­ant­wort­lich­kei­ten nach­zu­kom­men und die er­for­der­li­chen Nach­wei­se zu erbringen.

Schluss­fol­ge­rung

Ein Da­ten­­­schutz-Ma­­na­ge­­men­t­­sys­­tem (DSMS) ist für Un­ter­neh­men und Or­ga­ni­sa­tio­nen von ent­schei­den­der Be­deu­tung, um die An­for­de­run­gen der DSGVO zu er­fül­len. Es stellt sicher, dass per­so­nen­be­zo­ge­ne Daten recht­mä­ßig und unter Ein­hal­tung der Grund­sät­ze ver­ar­bei­tet werden und er­mög­licht es den Ver­ant­wort­li­chen, ihre Ver­ant­wort­lich­kei­ten und Nach­weis­pflich­ten gemäß der Ver­ord­nung zu er­fül­len. Es do­ku­men­tiert, dass per­so­nen­be­zo­ge­ne Daten recht­mä­ßig und unter Ein­hal­tung der Grund­sät­ze ver­ar­bei­tet werden.

Die Or­ga­ni­sa­ti­on muss nach­wei­sen, dass es als Ver­ant­wort­li­cher an­ge­mes­se­ne und wirk­sa­me Maß­nah­men er­greift, um die Da­ten­schutz­grund­sät­ze und Da­ten­schutz­ver­pflich­tun­gen der DSGVO um­zu­set­zen. Diese Maß­nah­men und die damit ver­bun­de­ne „Re­chen­schafts­pflicht“ be­zie­hen sich auf alle An­for­de­run­gen, die die DSGVO und andere Da­ten­schutz­nor­men an den Ver­ant­wort­li­chen für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten stellen, ein­schließ­lich all­ge­mei­ner Grund­sät­ze und spe­zi­fi­scher An­for­de­run­gen im Le­bens­zy­klus der Da­ten­ver­ar­bei­tung. Ein DSMS bietet die not­wen­di­gen Struk­tu­ren, Pro­zes­se und Do­ku­men­ta­tio­nen, um diese An­for­de­run­gen zu er­fül­len und den Nach­weis für die Ein­hal­tung der DSGVO und anderer Da­ten­schutz­nor­men nachzuweisen.

Ab­schlie­ßen­de Überlegungen

Ein DSMS ist für Un­ter­neh­men und Or­ga­ni­sa­tio­nen nicht nur wichtig, um die ge­setz­li­chen An­for­de­run­gen der DSGVO zu er­fül­len. Es geht weit darüber hinaus. Ein DSMS setzt voraus, dass Pro­zes­se do­ku­men­tiert und vorab auf den Prüf­stand ge­stellt werden. Dies er­mög­licht nicht nur die Ein­hal­tung der Vor­schrif­ten, sondern auch eine kri­ti­sche Be­wer­tung und Op­ti­mie­rung der in­ter­nen Prozesse.

Darüber hinaus er­öff­net ein DSMS die Mög­lich­keit, Risiken im Zu­sam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu iden­ti­fi­zie­ren, zu be­wer­ten und zu mi­ni­mie­ren. Dieser ri­si­ko­ba­sier­te Ansatz hilft Un­ter­neh­men, Daten­schutz nicht nur als Pflicht, sondern auch als Chance zu be­grei­fen. Daten­schutz ist kein sta­ti­sches Produkt, sondern ein kon­ti­nu­ier­li­cher Prozess, der die Un­ter­neh­mens­kul­tur und -ent­wick­lung beeinflusst.

In diesem Sinne gilt: „Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess“. Ein gut durch­dach­tes DSMS trägt nicht nur zur Rechts­kon­for­mi­tät bei, sondern fördert auch das Ver­trau­en von Kunden und Part­nern, stärkt die Wett­be­werbs­fä­hig­keit und mi­ni­miert das Risiko von Da­ten­schutz­ver­let­zun­gen. Un­ter­neh­men, die Daten­schutz als in­te­gra­len Be­stand­teil ihrer Ge­schäfts­stra­te­gie be­trach­ten, sind besser po­si­tio­niert, um lang­fris­ti­gen Erfolg und Nach­hal­tig­keit zu gewährleisten.

 

Autorin: Regina Mühlich, Wirt­schafts­ju­ris­tin und Datenschutzexpertin.

Für Fragen und Be­ra­tung zu diesen und anderen Themen stehen wir Ihnen selbst­ver­ständ­lich gerne zur Ver­fü­gung – per E-Mail consulting@adorgasolutions.de

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!