Datenschutz-Management jederzeit nachprüfbar
Managementsysteme gibt es für Lager, Finanzen, Assets und alles Mögliche. Beim Datenschutz ist die Sache allerdings ernster. Denn die europäische Datenschutz-Grundverordnung (DSGVO) hat Unternehmen vor erweiterte Nachweis- und Rechenschaftspflichten gestellt.
Die Geschäftsleitung der Firma muss jetzt dokumentiert nachweisen können, dass ihr Unternehmen die Datenschutzgrundsätze der DSGVO einhält. Ein Datenschutz-Managementsystem (DSMS) ist also nicht gerade Pflicht, aber in den allermeisten Fällen doch sehr ratsam. Es ist außerdem der einfachste Weg direkt zur Datenschutz-Zertifizierung.
DSGVO Nachweis- und Rechenschaftspflichten
Die europäische Datenschutz-Grundverordnung sollte dem hemmungslosen Datensammeln klare Grenzen stecken. Ob das gelungen ist, steht auf einem anderen Blatt – sicher ist, dass die DSGVO einer Vielzahl von kleinen und mittleren Unternehmen (KMU) in Deutschland eine Menge Arbeit aufgebürdet hat.
Die Wahrung der Privatsphäre auch online und in digitalen Welten ist gut und richtig, betrieblicher Datenschutz ist notwendig und sinnvoll – darin sind wir uns einig. Für Unternehmen in Deutschland, das auch vorher schon ein Bundesdatenschutzgesetz hatte, ist dies auch nicht grundlegend neu. Man durfte vorher nicht bei Rot über die Ampel fahren, und man darf es immer noch nicht. Aber die Geldbuße kann jetzt in die Millionen gehen. Und man kann Sie jederzeit herauswinken und von Ihnen den Nachweis verlangen, dass Sie nicht bei Rot über Ampeln fahren. Das klingt zunächst fast unmöglich, aber es gibt tatsächlich eine Lösung.
Strukturierter Datenschutz saubere Dokumentation
Tatsache ist, dass die DSGVO von Unternehmen nahezu bei jeder Bestimmung der 99 Artikel einen dokumentierten Nachweis verlangt, dass Sie die Bestimmung auch einhalten. Unterm Strich ist ein solcher Nachweis praktisch nur zu führen, indem man sämtliche Vorgänge und Routinen der Datenverarbeitung systematisch organisiert, strukturiert, kontrolliert und protokolliert – und genau das leistet ein Datenschutz-Managementsystem. Es klärt unter anderem die folgenden grundlegenden Datenschutzfragen:
- Welche (personenbezogenen) Daten verarbeiten wir?
- Welche (personenbezogenen) Daten lassen wir von anderen verarbeiten?
- Zu welchem Zweck?
- Welche technischen Maßnahmen setzen wir ein?
- Welche Prozesse legen wir dafür fest?
- Welche Prozesse legen wir für die Löschung fest?
- Wer ist dafür zuständig?
Insofern erfüllt ein DSMS mehrere Zwecke: Zum einen schafft es im Unternehmen die nötige Selbstdisziplin und trägt wesentlich zur faktischen Umsetzung der Datenschutzvorgaben bei. Zum anderen gibt das Datenschutz-Management Firmenverantwortlichen die Sicherheit, dass sie quasi von jetzt auf gleich alle erforderlichen Informationen und Nachweise vorlegen können.
Tipp: Eine gute Erst- oder Einmal-Analyse, mit der Sie den Datenschutzstatus Ihres Unternehmens analysieren und beurkunden lassen können, leistet IITR Cert mit privASSIST.
Entscheidende DSMS-Leistungsmerkmale
Nun ist Datenschutz-Management nicht gleich Datenschutz-Management. Konzerne finden mitunter eigene Lösungen, lagern diese Risiken aus oder geben Tausende von Euro für „Enterprise GDPR-Compliance“ aus. Für kleine und mittlere Unternehmen sind solche Lösungen weder praktikabel noch finanzierbar. Bitter ist, dass aber gerade KMU die ersten sind, von denen Großunternehmen und andere Geschäftspartner einen Nachweis der DSGVO-Konformität verlangen, zum Beispiel weil sie als Zulieferer an einer größeren Lieferkette beteiligt sind. Allein aus diesem Grund war der IITR Datenschutz GmbH früh klar, dass die mittelständische Wirtschaft hierzulande DSMS-Lösungen braucht, die
- hilfreich,
- professionell,
- praktisch und
- finanzierbar sind.
Hilfreich bedeutet, dass ein Datenschutz-Managementsystem nicht mit Informationen und Know-how geizt, sondern ein Datenschutzhandbuch mitbringt, Mustervorlagen und Checklisten zur Verfügung stellt und vielleicht sogar E-Learning-Kurse für die Mitarbeiter anbietet.
Professionell bedeutet, dass Software, Dokumente und Vorlagen etc. von und mit Datenschutzexperten entwickelt sind und zuverlässig der Datenschutz-Grundverordnung entsprechen.
Praktisch bedeutet, dass das DSMS an den Bedürfnissen kleiner und mittlerer Unternehmen ausgerichtet ist – nicht überdimensioniert, nicht zu schwach, sondern genau richtig. Hierher gehören auch Funktionen wie die Möglichkeit der gezielten Rechtevergabe oder einer versionierenden Archivierung.
Finanzierbar bedeutet, dass das Datenschutz-Managementsystem mehr Kosten spart, Haftungsrisiken im Zaum hält und Verfahren vereinfacht, als es an Ausgaben aufwirft. Das ist durchaus realistisch: Das Compliance-Kit 2.0 der IITR Datenschutz GmbH kostet 30 Euro pro Monat – vergleichen Sie das getrost einmal mit ihrer Telefonrechnung.
Compliance-Kit 2.0 mit sechs Monaten Testlauf
Neben dem einfachen Datenschutz-Kit mit externem Datenschutzbeauftragten für kleinere Unternehmen hat die IITR Datenschutz GmbH mit dem Compliance-Kit 2.0 ein voll ausgebautes Datenschutz-Management-System für mittlere und größere Unternehmen entwickelt. Es ist im Kern eine zentrale, übersichtliche Konsole (auf Deutsch oder Englisch), über die Sie Vorlagen aufrufen und bearbeiten, Auftragsverarbeitungsverträge kontrollieren oder z. B. das Verzeichnis der Verarbeitungstätigkeiten aktuell halten. Eigene Dokumente lassen sich problemlos hochladen. Über die Checkliste behalten Sie laufende Vorgänge und DSGVO-Erfordernisse sicher im Blick. Das System ist multimandantenfähig, sämtliche Änderungen an Dokumenten werden nachvollziehbar und revisionssicher gespeichert.
Wie gut das funktioniert, können Datenschutzverantwortliche jederzeit ausprobieren. IITR Datenschutz gibt Interessenten ein halbes Jahr lang vollen Zugriff im kostenfreien Testzugang. Und zwar fair: Eine automatische Verlängerung findet nicht statt. Wen das Compliance-Kit 2.0 überzeugt hat, bestellt ab dem siebten Monat kostenpflichtig für 30 Euro. Das geht bei IITR Datenschutz ganz sicher und solide: Vertrag per Mail, bitte unterschrieben zurück.
Am besten zertifiziert und zertifizierbar
Ein wichtiger Punkt wäre noch zu ergänzen: Im besten Fall ist ein Datenschutz-Managementsystem selbst zertifiziert. Nach gängiger Lesart sind Zertifizierungen für DSMS in Art. 42 DSGVO zwar nicht vorgesehen und es gibt deshalb keine regulatorische Instanz dafür. Aber die IITR Datenschutz GmbH hat trotzdem einen Weg gefunden: Die beiden staatlich geprüften und beeideten Ziviltechniker Dipl.-Ing. Dr. Peter Gelber und Dipl.-Ing. Wolfgang Fiala haben die IITR-Lösung unter die Lupe genommen und beurkunden, dass das Compliance-Kit 2.0 die Vorschriften der DSGVO umfassend und korrekt abbildet.
Österreichische Ziviltechniker sind als „Personen öffentlichen Glaubens“ befugt, bestehende Übereinstimmungen zu überprüfen und darüber Urkunden auszustellen. Von daher hat die Konformitätsbeurkundung vom 6. August 2019 den Rang einer amtlichen Prüfung. Unternehmen dürfen also beruhigt sein, dass sie mit diesem DSMS über eine qualifizierte Datenschutzgrundlage verfügen.
Das ist noch nicht alles. Unternehmen wiederum können ihre mit dem Compliance-Kit 2.0 organisierten Datenschutzmaßnahmen und -routinen durch die IITR Cert GmbH zertifizieren lassen. Auf diese Weise können sie sich gegenüber Kunden und Geschäftspartnern mit Brief und Siegel als DSGVO-konform ausweisen.