DQS im Dialog
DQS Website Abonnieren

DS-GVO-Umsetzung: Managementsysteme geben Sicherheit

Seit dem 25. Mai 2018 sind Unternehmen auch in Deutschland zur Umsetzung der Datenschutz-Grundverordnung (DS-GVO) verpflichtet. Wie die Nachweise erbracht werden können, ist aber bis heute nicht definiert. Wie können Unternehmen also sichergehen, dass sie die gesetzlichen Anforderungen konform umsetzen?
© Fotolia DS-GVO Umsetzung

DS-GVO: Zertifizierungen noch nicht möglich

Die Unternehmen sind gut beraten, den datenschutzrechtlichen Aufsichtsbehörden gegenüber – auf Anfrage – einen Nachweis über die Umsetzung der gesetzlichen Anforderungen zu erbringen. Organisationen, die nicht alle Anforderungen erfüllen, riskieren empfindliche Sanktionen. Bis auf die Anforderung einer umfangreichen Dokumentation zur Umsetzung der einzelnen Maßnahmen gibt es aktuell kein einheitliches Konzept zur Erbringung objektiver Nachweise. Eine DS-GVO-Zertifizierung ist vorgesehen, aber bislang existiert noch keine Akkreditierung für Datenschutz bei der DAkkS (Deutsche Akkreditierungsstelle GmbH).

DS-GVO: Datenschutzanforderungen im Managementsystem abbilden

Die DS-GVO sieht eine Reihe von Abläufen vor, die seit Mai 2018 umgesetzt werden müssen. Dabei ist es sowohl von der Organisation, dem Zweck und der Art der Verarbeitung personenbezogener Daten als auch von den Risiken für Rechte und Freiheiten natürlicher Personen abhängig, welche Prozesse in welcher Ausprägung etabliert werden müssen. Dies können u.a. Prozesse zum Risikomanagement (Datenschutz-Folgenabschätzung), zum Umgang mit Auskunftsersuchen von Personen oder Prozesse zu Reaktionsmechanismen bei Datenschutzverletzungen sein.

Eine sinnvolle Lösung für Unternehmen, die vielfältigen Anforderungen abzubilden, bietet ein modernes Managementsystem – beispielsweise für die regelmäßige Überprüfung und Anpassungen von Datenschutzmaßnahmen oder das Festlegen der entsprechenden Verantwortlichkeiten. Genau diese Aspekte werden durch den fortlaufenden Verbesserungsprozess (Plan-Do-Check-Act-Modell) gesteuert. So können Unternehmen bereits heute erste Schritte gehen und auf bestehende Managementsysteme zurückgreifen.

Ein Managementsystem, aber welches?

Als Lösung für den Augenblick bietet sich die Ausrichtung an der internationalen Norm ISO 27001 an. Ein wirksames Informationssicherheits-Managementsystem (ISMS) wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Information unter Anwendung eines Risikomanagementprozesses. Es gibt damit interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken. Eine Zertifizierung nach ISO 27001 ist aber auch ein wesentlicher Beitrag zur Umsetzung der DS-GVO und Sicherstellung datenschutzrechtlicher Anforderungen im Unternehmen und kann helfen, im Falle eines Datenschutzverstoßes das Bußgeld zu mindern (Art. 83 lit. c und Erwägungsgrund 150 DSGVO). Im Wesentlichen unterstützt die Norm ISO 27001 bei der Umsetzung der Anforderungen des Art. 32 DS-GVO – Sicherheit der Verarbeitung.

ISO 27001 trifft DS-GVO

Whitepaper

ISO 27001 trifft DS-GVO

  • Anforderungen an ein Managementsystem
  • ISO 27001 und DS-GVO – ein Vergleich
  • 7 Schritte zum Datenschutzmanagementsystem
Jetzt kostenfrei herunterladen!

Im August 2019 wurde mit ISO 27701 eine neue Norm veröffentlicht, die Anforderungen an den Datenschutz im Informationssicherheits-Management formuliert. Sie spezifiziert damit ein Datenschutzmanagementsystem auf der Grundlage von ISO 27001, ISO 27002 (Leitfaden für Informationssicherheitsmaßnahmen) und ISO 29100 (Rahmenwerk für Datenschutz).

ISO/IEC 27701:2019-08 – Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden

ISO 27701 stellt aber lediglich eine Ergänzung zu ISO 27001 dar. Eine Zertifizierung allein nach der neuen Norm ist nicht möglich. ISO 27701 ist zurzeit auf Englisch erhältlich. Die deutsche Fassung wird voraussichtlich im Herbst/Winter 2020 beim Beuth Verlag vorliegen.

DS-GVO Umsetzung in Deutschland: Wächst der Druck auf Unternehmen?

Die Mehrzahl der Unternehmen und Organisationen hat noch keine fertige Lösung für einen Umsetzungsnachweis der DS-GVO.

Die DS-GVO und das BDSG (Bundesdatenschutzgesetz) verpflichtet die Mitgliedstaaten, eine oder mehrere öffentliche Stellen zu beauftragen, die die Anwendung nationaler Datenschutzregelungen in völliger Unabhängigkeit überwachen. Weiterer Druck auf die Unternehmen entsteht dadurch, dass jeder Einzelne das Recht hat, sich an die zuständige Kontrollstelle zu wenden.

Die Aufsichtsbehörden hatten nach Mai 2018 noch einige Monate Karenz eingeräumt, bevor die Kontrollen der unabhängigen Datenschutzbeauftragten einsetzten. Doch die Liste der Verstöße ist mittlerweile lang und stellt das Sicherheitsgefühl auf eine harte Probe.

Bei der DQS in guten Händen

Unternehmen, die auf Nummer Sicher gehen und Geldstrafen vermeiden wollen, können den Status ihrer DS-GVO Umsetzung in Form einer Gap-Analyse von einer unabhängigen Stelle wie der DQS ermitteln lassen. Im Mittelpunkt einer solchen GAP-Analyse steht eine Selbstbewertung mit Dokumentenprüfung. Alternativ können schon jetzt die Anforderungen von ISO 27701 in einem Vor-Audit von unseren Datenschutz-Experten begutachtet werden. Vor Ort wird geprüft, ob Ihr Unternehmen die wesentlichen Datenschutzaspekte einhält. Im Anschluss stellen wir Ihrem Unternehmen eine Bewertung aus, aus der auch hervorgeht, ob bzw. welcher Handlungsbedarf besteht.

DSGVO, Datenschutz, Datenschutzgrundverordnung, Grundverordnung, Datenspeicherung, Datenverarbeitung, Compliance, Richtlinie

Sie Haben Fragen?

Kontaktieren Sie uns.
Ganz unverbindlich und kostenfrei.

Jetzt Anfrage senden