DQS im Dialog
DQS Website Abonnieren

DS-GVO-Umsetzung: Managementsysteme geben Sicherheit

Seit dem 25. Mai 2018 sind Unternehmen auch in Deutschland zur Umsetzung der Datenschutz-Grundverordnung (DS-GVO) verpflichtet. Wie die Nachweise erbracht werden können, ist aber bis heute nicht definiert. Wie können Unternehmen also sichergehen, dass sie die gesetzlichen Anforderungen konform umsetzen?
© Fotolia DS-GVO Umsetzung

DS-GVO: Zertifizierungen noch nicht möglich

Die Unternehmen sind gut beraten, den datenschutzrechtlichen Aufsichtsbehörden gegenüber – auf Anfrage – einen Nachweis über die Umsetzung der gesetzlichen Anforderungen zu erbringen. Organisationen, die nicht alle Anforderungen erfüllen, riskieren empfindliche Sanktionen. Bis auf die Anforderung einer umfangreichen Dokumentation zur Umsetzung der einzelnen Maßnahmen gibt es aktuell kein einheitliches Konzept zur Erbringung objektiver Nachweise. Eine DS-GVO-Zertifizierung ist vorgesehen, aber bislang existiert noch keine Akkreditierung für Datenschutz bei der DAkkS (Deutsche Akkreditierungsstelle GmbH).

DS-GVO: Datenschutzanforderungen im Managementsystem abbilden

Die DS-GVO sieht eine Reihe von Abläufen vor, die seit Mai 2018 umgesetzt werden müssen. Dabei ist es sowohl von der Organisation, dem Zweck und der Art der Verarbeitung personenbezogener Daten als auch von den Risiken für Rechte und Freiheiten natürlicher Personen abhängig, welche Prozesse in welcher Ausprägung etabliert werden müssen. Dies können u.a. Prozesse zum Risikomanagement (Datenschutz-Folgenabschätzung), zum Umgang mit Auskunftsersuchen von Personen oder Prozesse zu Reaktionsmechanismen bei Datenschutzverletzungen sein.

Eine sinnvolle Lösung für Unternehmen, die vielfältigen Anforderungen abzubilden, bietet ein modernes Managementsystem – beispielsweise für die regelmäßige Überprüfung und Anpassungen von Datenschutzmaßnahmen oder das Festlegen der entsprechenden Verantwortlichkeiten. Genau diese Aspekte werden durch den fortlaufenden Verbesserungsprozess (Plan-Do-Check-Act-Modell) gesteuert. So können Unternehmen bereits heute erste Schritte gehen und auf bestehende Managementsysteme zurückgreifen.

Ein Managementsystem, aber welches?

Als Lösung für den Augenblick bietet sich die Ausrichtung an den internationalen Normen ISO 27001 und ISO 27701 an.

Ein wirksames Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Information unter Anwendung eines Risikomanagementprozesses. Es gibt damit interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken.

Whitepaper ISO 27701: ISO 27001 trifft DS-GVO der DQS

ISO 27701: ISO 27001 trifft DS-GVO

Geballtes Expertenwissen in unserem kostenfreien Whitepaper. Erfahren Sie mehr über die

  • Anforderungen an ein Managementsystem
  • ISO 27001, ISO 27701 und DS-GVO – ein Vergleich
  • 7 Schritte zum Datenschutzmanagementsystem
Jetzt kostenfrei herunterladen!

Eine Zertifizierung nach ISO 27001, vor allem in Verbindung mit ISO 27701, ist aber auch ein wesentlicher Beitrag zur Umsetzung der DS-GVO und Sicherstellung datenschutzrechtlicher Anforderungen im Unternehmen. Sie kann dazu beitragen, im Falle eines Datenschutzverstoßes das Bußgeld zu mindern (Art. 83 lit. c und Erwägungsgrund 150 DSGVO). Im Wesentlichen unterstützt die Norm ISO 27001 bei der Umsetzung der Anforderungen des Art. 32 DS-GVO – Sicherheit der Verarbeitung.

Mit ISO 27701 wurde im August 2019 eine neue Norm veröffentlicht, die Anforderungen an den Datenschutz im Informationssicherheits-Management formuliert. Sie spezifiziert damit ein Datenschutz-Managementsystem auf der Grundlage von ISO 27001, ISO 27002 (Leitfaden für Informationssicherheitsmaßnahmen) und ISO 29100 (Rahmenwerk für Datenschutz). ISO 27701 stellt aber nur eine Ergänzung zu ISO 27001 dar. Eine Zertifizierung allein nach der neuen Norm ist nicht möglich.

ISO/IEC 27701:2019-08 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden

DS-GVO Umsetzung in Deutschland: Wächst der Druck auf Unternehmen?

Die Mehrzahl der Unternehmen und Organisationen hat noch keine fertige Lösung für einen Umsetzungsnachweis der DS-GVO.

Die DS-GVO und das BDSG (Bundesdatenschutzgesetz) verpflichtet die Mitgliedstaaten, eine oder mehrere öffentliche Stellen zu beauftragen, die die Anwendung nationaler Datenschutzregelungen in völliger Unabhängigkeit überwachen. Weiterer Druck auf die Unternehmen entsteht dadurch, dass jeder Einzelne das Recht hat, sich an die zuständige Kontrollstelle zu wenden.

Die Aufsichtsbehörden hatten nach Mai 2018 noch einige Monate Karenz eingeräumt, bevor die Kontrollen der unabhängigen Datenschutzbeauftragten einsetzten. Doch die Liste der Verstöße ist mittlerweile lang und stellt das Sicherheitsgefühl auf eine harte Probe.

Bei der DQS in guten Händen

Unternehmen, die auf Nummer Sicher gehen und Geldstrafen vermeiden wollen, können den Status ihrer Datenschutzmaßnahmen in Form einer Gap-Analyse von einer unabhängigen Stelle wie der DQS ermitteln lassen. Im Mittelpunkt einer solchen GAP-Analyse steht eine Selbstbewertung mit Dokumentenprüfung.

Alternativ können schon jetzt die Anforderungen von ISO 27701 in einem Vor-Audit von unseren Datenschutz-Experten begutachtet werden. Vor Ort wird geprüft, ob Ihr Unternehmen die wesentlichen Datenschutzaspekte einhält. Im Anschluss stellen wir Ihrem Unternehmen eine Bewertung aus, aus der auch hervorgeht, ob bzw. welcher Handlungsbedarf besteht.

DSGVO, Datenschutz, Datenschutzgrundverordnung, Grundverordnung, Datenspeicherung, Datenverarbeitung, Compliance, Richtlinie

Sie Haben Fragen zum Vorgehen?

Kontaktieren Sie uns.
Ganz unverbindlich und kostenfrei. Wir zeigen Ihnen gerne mögliche Wege auf.

Jetzt Anfrage senden

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von internen Normexperten und langjährigen Auditoren für Managementsysteme verfasst. Sollten Sie Fragen zum Inhalt und unseren Audits haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.

Alles Weitere zu unseren Experten finden Sie hier.