Haben Sie den Datenschutz in Ihrem Unternehmen vollständig im Griff? Wissen Sie, wer wofür zuständig ist und kennen Ihre Mitarbeitenden ihre Verantwortung? Haben Sie Verfahren und Methoden eingeführt, mit denen Sie Ihre Massnahmen aufrechterhalten können?

In den letzten drei Beiträgen haben wir Ihnen gezeigt, welche Themen mit dem Inkrafttreten des neuen Schweizer Datenschutzgesetzes weiter an Bedeutung gewinnen und wie Sie diese angehen können. Mit dem letzten Beitrag dieser Reihe stellen wir Ihnen eine Möglichkeit vor, um die Herausforderung Datenschutz gezielt zu managen und den Überblick zu behalten – mit einem Datenschutz-Managementsystem (DSMS).

Managementsysteme – Was sie wirklich nützen

Unternehmen müssen sich häufig mit vielen verschiedenen Themen auseinandersetzen, wie zum Beispiel Qualität, Umwelt, Sicherheit – und eben auch Datenschutz. Um diese unterschiedlichen Bereiche gezielt adressieren und langfristig handhaben zu können, eignen sich sogenannte Managementsysteme. Die ISO-Norm 9000:2015, welche sich mit dem Management der Qualität befasst, definiert ein Managementsystem als einen «Satz zusammenhängender oder sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken, Ziele und Prozesse zum Erreichen dieser Ziele festzulegen». Die Norm ISO/IEC 27000:2018 für Informationssicherheit konkretisiert die zuvor genannten Elemente und führt beispielsweise Verantwortlichkeiten, Planungsaktivitäten und Ressourcen auf.

Einer der wichtigsten Bestandteile solcher Managementsysteme ist die Dokumentation. In Leit- und Richtlinien, Handbüchern, Weisungen und wie sie auch immer heissen, werden die unternehmenseigenen Rahmenbedingungen ausformuliert, Vorgehensweisen präzisiert und die für die Umsetzung verantwortlichen Rollen und Funktionen definiert. Jedes Dokument soll und kann, bei richtiger Handhabung, dabei unterstützen, die gesetzten Ziele zu erreichen.

Der Vorteil einer gut geführten Dokumentation liegt darin, dass Sie sich mit ihren Zielen, aber auch mit den für Sie passenden Verfahren auseinandersetzen. Bereits getroffene und dokumentierte Entscheide zu Aufgaben, Kompetenzen und Verantwortlichkeiten führen dazu, dass bei dringenden Anliegen nicht mehr über Grundsatzentscheide diskutiert wird. Werden die einzelnen Elemente in und um diese Dokumente nun auch noch aufeinander abgestimmt und aktuell gehalten, managen Sie die Themenbereiche Ihres Unternehmens mit System – in einem Managementsystem.

Datenschutz mit System – in vier Phasen zum Managementsystem

Auch für den Datenschutz gibt es mittlerweile Standards für den Aufbau von Managementsystemen. So beispielsweise der ISO/IEC-Standard 27701, der auf den Datenschutz ausgerichtete Erweiterungen für Informationssicherheits-Managementsysteme definiert.

Für den Aufbau eines Datenschutz-Managementsystems (DSMS) empfiehlt es sich wiederum, eine standardisierte Vorgehensweise wie zum Beispiel den PDCA-Zyklus zu verwenden. Der vierstufige Regelkreis beginnt mit der Planungsphase (P für PLAN), in welcher das Unternehmen definiert,

• welche Ziele es im Rahmen des Datenschutzes anstrebt,
• welche Massnahmen für die Zielerreichung umgesetzt werden sollen und
• welche Bereiche des Unternehmens durch das DSMS abgedeckt werden sollen.

Die in dieser Phase getroffenen Entscheidungen bilden die Basis der Dokumentation. In der nächsten Phase erfolgt die aktive Umsetzung (D für DO) der definierten Massnahmen. Das DSMS wird in die Strukturen des Unternehmens eingebunden und den Mitarbeitenden bekannt gemacht.

Um sicherzustellen, dass sich Ihr eingeführtes DSMS etabliert hat und die eingeführten Massnahmen von allen Mitarbeitenden gelebt werden, sollten Sie gelegentlich Überprüfungen (C für CHECK), sogenannte Audits, durchführen oder durchführen lassen. Daraus gewonnene Erkenntnisse sollten Sie wiederum in die weitere Planung zur Aufrechterhaltung und Weiterentwicklung Ihres DSMS einfliessen lassen (A für ACT).

Unsere Empfehlungen – Das sollten Sie tun

Damit Sie für die Datenschutzanforderungen gewappnet sind und diese auch im geschäftigen Alltag einhalten können, sind klare Verantwortlichkeiten, pragmatische Verfahren und eine gute Dokumentation zielführend. Anhand von Empfehlungen zeigen wir Ihnen, wie Sie all das mit einem DSMS unter einen Hut bringen.

1. Rahmen definieren

Um den Datenschutz in einer für Ihr Unternehmen passenden Weise managen zu können, ist es wichtig, dass Sie Ihre Ziele kennen. Definieren Sie, was Sie mit dem DSMS erreichen wollen und welchen Umgang mit Personendaten Sie innerhalb Ihres Unternehmens anstreben. Die Ziele sollten sich dabei an den Anforderungen und Bedürfnissen Ihres Unternehmens orientieren. Berücksichtigen Sie entsprechend bereits bestehende Strukturen und allfällig vorhandene Managementsysteme, an denen Sie sich beim Aufbau des DSMS orientieren können.

2. Risikoanalyse und Massnahmenplanung

Um die Massnahmen zur Erreichung der definierten Ziele zu planen, wird ein risikobasierter Ansatz empfohlen. Identifizieren Sie die Risiken, die sich ergeben können, wenn Sie sich nicht an die Vorgaben des Datenschutzes halten. Leiten Sie daraus wiederum die notwendigen technischen und organisatorischen Massnahmen ab, um die Risiken zu reduzieren.

Da der Datenschutz die Wahrung der Persönlichkeitsrechte von betroffenen Personen sicherstellen soll, ist es bei der Risikoanalyse empfehlenswert, nicht nur potenzielle Risiken für das Unternehmen, sondern auch jene für Ihre Kunden, Mitarbeitenden und anderen Anspruchsgruppen zu beachten.

3. Dokumentation

Prüfen Sie in den für Ihr Unternehmen geltenden Vorschriften, welche Nachweise von Ihnen verlangt werden oder wo die Nachvollziehbarkeit gewährleistet werden sollte.

Dabei können einerseits klare Vorgaben zur Dokumentation bestehen, wie beispielsweise das Verzeichnis der Bearbeitungstätigkeiten oder eine Datenschutz-Folgeabschätzung. Vergessen Sie dabei nicht, zu prüfen, ob allfällige Ausnahmeregelungen auf Sie zutreffen.

Auf der anderen Seite lässt sich die Einhaltung von Verbindlichkeiten wie zum Beispiel die zukünftige Meldepflicht von Datenschutzverletzungen oder die Frist für die Bearbeitung von Auskunftsgesuchen am besten nachweisen, wenn die Ereignisse und Aktivitäten dokumentiert werden. Hier können Leitfäden, Checklisten oder Prozesse hilfreich sein.

Für die Dokumentation gilt wie in vielen Bereichen des unternehmerischen Alltags: Weniger ist manchmal mehr. Legen Sie daher vor allem Wert auf die Themen, für die sich in Nr. 2 bereits Risiken und allfällige Massnahmen abgezeichnet haben.

4. Mitarbeitende mitziehen

Vergessen Sie nicht, Ihre Mitarbeitenden über neu definierte Vorgaben und eingeführte Prozesse zu informieren und ihnen ihre Verantwortung im Rahmen des Datenschutzes näher zu bringen.

Neben der Sensibilisierung der Mitarbeitenden für das Thema – beispielsweise anhand von Schulungen und Informationsanlässen – sollten Mitarbeitende auch Zugang zu den für sie relevanten Materialien und Dokumentationen erhalten. Dabei sollte Wert daraufgelegt werden, dass die Pflichten und Rechte der Mitarbeitenden im Rahmen des Datenschutzes adressatengerecht vermittelt werden.

5. Kontinuierliche Überprüfung

Führen Sie einen Prozess zur kontinuierlichen Optimierung und Aktualisierung ein, allenfalls in Verbindung mit bereits eingeführten Managementsystemen (z. B. QMS, ISMS) oder gekoppelt an andere regelmässige Prüfungen (z. B. Audits). Stellen Sie sicher, dass sich jemand verantwortlich zeichnet für diese Aufgaben, zum Beispiel indem Sie einen Datenschutzberater nach Art. 10 des neuen Datenschutzgesetzes (nDSG) oder einen Datenschutzbeauftragten nach Abschnitt 4 der Datenschutz-Grundverordnung (DSGVO) der EU ernennen. Zudem sollten Sie daran denken, Ihre Dokumentation aus Nr. 3 laufend zu aktualisieren.

Wenn Sie Ihre internen Ressourcen lieber anderweitig einsetzen

Sie sind mit Ihrem Alltagsgeschäft gefordert und haben keine personellen Ressourcen, die sich für den Datenschutz begeistern lassen? Sie möchten dieses Thema gerne Spezialisten in die Hände geben? Wir begleiten Sie gerne beim Aufbau und Betrieb eines für Sie und Ihr Unternehmen geeigneten Datenschutz-Managementsystems und unterstützen Sie als Datenschutzberater oder dessen Stellvertreter.

Lesen Sie die gesamte Blogreihe

Datenschutz (1 / 4): Beschaffung von Personendaten
Datenschutz (2 / 4): Umgang mit Personendaten
Datenschutz (3 / 4): Aufbewahrung und Löschung
Datenschutz (4 / 4): Datenschutz-Managementsystem (DSMS)