Der Weg zum Datenschutzmanagementsystem (begründete Notwendigkeit)

Mit einer systembasierten Managementperspektive auf die Entwicklung des Datenschutzes und dessen Gesetzgebung in der Schweiz ergeben sich, insbesondere im Hinblick auf das neue Datenschutzgesetz und dessen Anforderungen, u. a. folgende interessante Erkenntnisse:

Die datenschutzrechtlichen Anforderungen an die Bearbeitung von Personendaten können sehr viel (und ggf. unerwarteten) Aufwand bedeuten.
Die Anforderungen sind teilweise komplex und in vielfältiger Weise mit Anforderungen aus anderen regulatorischen Normen und Grundsätzen vernetzt bzw. überlagern oder ergänzen sich (beispielsweise bei Themen wie der Geheimhaltungspflicht; der Wahrung des Berufsgeheimnisses; bei internationalen Gesetzgebungen, wenn Personendaten ins Ausland transferiert werden etc.).
Die Anforderungen an die Datenschutz-Dokumentation und Nachweisführung können, je nach Grösse und Komplexität des Unternehmens, unter dem Gesichtspunkt der Rechenschaftspflicht hoch sein.
Sachverhalte und wahrzunehmende Aufgaben, die aus den unterschiedlichen Gebieten zu regeln sind, betreffen verschiedene Stellen im Unternehmen, mit regelmässig und vielfach stattfindenden Überschneidungen.
Aufgaben, die durch einzelne Stellen im Unternehmen "unabgestimmt" bearbeitet werden, führen zu entsprechend "unabgestimmten" Massnahmen; meist entwickeln sich daraus Organisations-Nischen, die unnötigen Doppelaufwand verursachen; das Risiko von (ggf. kritischen) "Lücken" im System bleibt dabei bestehen.
Die Wahrnehmung der Datenschutzaufgaben erfordert eine systematische Vorgehensweise und sollte in das vorhandene Managementsystem des Unternehmens integriert werden. Die Aufgaben sollten deshalb zusammengefasst im Rahmen eines stimmigen, integrierten Managementsystems nach einheitlichen Grundsätzen wahrgenommen werden.
Die Einrichtung eines geeigneten Managementsystems für den Datenschutz liegt im Verantwortungsbereich der Unternehmensleitung. Lückenhafte Regelungen, die eine Datenschutzverletzung nach sich ziehen können, sind bussgeldbewehrt.

Managementsystem Grundlagen

In jedem Unternehmen bestehen je nach der Größe des Unternehmens und den Ansprüchen an die innere Steuerung und Kontrolle des Unternehmens zu verschiedenen Teilbereichen geschriebene Regelungen oder Vorschriften, teilweise auch ungeschriebene Regelungen, die aus allgemeiner eigener Kenntnis von Beschäftigten beachtet werden.

Bei Kleinstunternehmen, wo die interne Organisation noch auf Zuruf funktioniert, und wo kundenseitig die Anforderungen keiner besonderen internen Organisationsstruktur bedürfen, mag ein ungeregeltes Agieren im täglichen Geschäftsbetrieb noch ausreichen.

Anders verhält es sich bei wachsenden Unternehmen, und zwar wenn sie eine Grösse und Komplexität erreichen, in der die internen und externen Anforderungen an Planungs-, Steuerungs- und Kontrollmechanismen unübersichtlich werden und systematisch gestaltete Strukturen und organisierte Abläufe und Kontrollen verlangen.

Diese Konstellation wird unweigerlich zur Forderung eines Managementsystems führen, das, um es auf den Punkt zu bringen, schlussendlich aus einem in sich abgestimmten Regelungssystem aus Planungs-, Steuerungs- und Kontrollmechanismen zur Unternehmensführung besteht.

Hilfreich und relevant ist hier ein Blick auf die Definition für ein "Managementsystem" aus Sicht der ISO/IEC 27000 Norm, die (in Kapitel 4.2.5), auch hinsichtlich der Informationssicherheit, dazu Folgendes zusammenfasst:

Über ein Managementsystem wird ein Rahmenwerk von Ressourcen genutzt, dass es Unternehmen ermöglicht, ihre Ziele zu erreichen. Dabei werden Organisationsstrukturen, Richtlinien, Planungstätigkeiten, Verantwortlichkeiten, Methoden, Verfahren, Prozesse und Ressourcen einbezogen.
Da es bei einem Managementsystem insbesondere um die Informationssicherheit geht, wird auch in dieser Hinsicht für ein Unternehmen Folgendes ermöglicht:
- Man wird den (Sicherheits-) Anforderungen von Kunden und anderen Stakeholdern gerecht.
- Die Planungen und Tätigkeiten des Unternehmens werden verbessert bzw. optimiert.
- Das Unternehmen kann seine (Informationssicherheits-) Ziele strukturiert und effizient erfüllen.
- Vorschriften, Gesetze und Branchenstandards werden eingehalten.
- Die Informationswerte des Unternehmens (sogenannte "Information Assets") werden in einer organisierten Art und Weise gesteuert, wodurch die fortlaufende Verbesserung und Anpassung an aktuelle Ziele des Unternehmens gefördert wird.

Im dargestellten Sinn ist ein Managementsystem nicht notwendigerweise als ein komplexes und aufwändiges Regelwerk zu verstehen. Vielmehr beschränkt man sich in der Praxis auf die in den einzelnen Teilbereichen des Unternehmens notwendigen Regelungen zu dessen Aufbau- und Ablauforganisation.

Ein solches Managementsystem kennzeichnet sich anhand folgender (klassischer) Kriterien:

Das Managementsystem ist prozessorientiert, d. h. es besteht aus definierten, strukturierten und optimierten Prozessen und Abläufen.
Dem Managementsystem liegen immer die Prozess-Komponenten PLANUNG, STEUERUNG und KONTROLLE zugrunde. Diese Komponenten sind wahrzunehmen, klar und eindeutig zu definieren und den zuständigen Stellen im Unternehmen zuzuweisen (Delegation).
Das Managementsystem orientiert sich am klassischen PDCA-Zyklus (Plan-Do-Check-Act).
Dadurch sind geschaffene und abgestimmte Regelungen für die jeweiligen Unternehmensbereiche aufeinander abgestimmt, mit dem Ergebnis eines jeweils vollständigen Systems inklusiver der Kontrollen im erforderlichen Umfang.

Und ein solches Regelungs- bzw. Managementsystem bietet insbesondere folgende Vorteile:

Im Rahmen der Delegation werden Verantwortlichkeiten klar hergestellt.
Die Prozessorganisation erhält stabile und transparente Abläufe.
Durch regelmässige Prüfungen und Freigaben werden rechtssichere Abläufe gewährleistet, was auch zu erhöhter Zuverlässigkeit der Prozesse, zur Risikominimierung und zur Haftungsentlastung führt.
Neues Personal kann schnell und effizient eingearbeitet werden.
Kosten werden reduziert, und die Qualität der Ergebnisse sowie der Unternehmensleistungen werden durch Fehlervermeidung verbessert.
Durch den PDCA-Zyklus wird ein kontinuierlicher Verbesserungsprozess der Unternehmensorganisation geschaffen.
Nicht zuletzt führt die damit gewonnene Transparenz im eigenen Unternehmen zur Verbesserung der Führungsqualität sowie zur Verbesserung der Kunden- und Mitarbeiterzufriedenheit.

Natürlich werden Managementsysteme bereichsbezogen auf Basis unterschiedlicher Normengrundlagen eingerichtet, wobei das wohl bekannteste darunter das Qualitätsmanagementsystem auf Grundlage der ISO 9001 Norm ist.

In unserer vollkommen digitalisierten Welt kommt immer häufiger ein Informationssicherheitsmanagementsystem (ISMS) auf der Grundlage der ISO 27001 Norm ins Spiel. Im Übrigen berücksichtigt die ISO 27001 Norm das Thema "Datenschutz" (i. S. v. Datenschutzmanagement) als integralen Bestandteil ihres Anforderungskatalogs.

Notabene: Soll ein Managementsystem nicht nur eingerichtet, sondern auch zertifiziert werden, sind die formellen Vorgaben der jeweiligen Norm entsprechend zu erfüllen. Für ein Datenschutzmanagementsystem gibt es bisher keine zertifizierbare Norm. Auch die ISO 27001 deckt nicht alle Anforderungen des Datenschutzes ab; sie kann aber mit der ISO 27701, bei der es um die Einrichtung eines Datenschutzmanagements geht, erweitert werden.

Datenschutzmanagementsystem

Nachdem wir ein "Managementsystem" grundsätzlich betrachtet haben, stellt sich die Frage, warum (zusätzlich?!) ein "Datenschutzmanagementsystem" (DSMS) erforderlich ist, und wie dieses "DSMS" aussehen soll.

Zunächst stellen wir fest, dass das nDSG an keiner Stelle die Einrichtung eines Datenschutzmanagementsystems verlangt. Wenn man die Forderungen des nDSG jedoch zusammengefasst betrachtet, kommt man zu dem Ergebnis, dass eine vollständige und zuverlässige Erfüllung dieser Anforderungen ein systematisch angelegtes Regelwerk sowie geregelte Kontrollen voraussetzt – und das lässt sich "wirksam" nur mit einem Datenschutzmanagementsystem bewerkstelligen.

Anforderungen des nDSG

Die Grundsatzvorschrift dazu findet sich in Artikel 7 nDSG (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen [Quelle]), wo der Verantwortliche verpflichtet ist, "[...] ...die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung."[...]

Der in Artikel 7 nDSG referenzierte Artikel 6 nDSG, der die Grundsätze der Datenbearbeitung normiert, ist demnach zu berücksichtigen. Dieser Artikel ist für das Datenschutzmanagement ausgesprochen wichtig, weil er durchweg "Prozesse" anspricht, die "getriggert" werden; diese Prozesse bekommt man in der Praxis nur über ein systematisch aufgebautes und kontrollierbares System in den Griff. Dort heisst es:

Artikel 6 Grundsätze nDSG [Quelle]

(1) Personendaten müssen rechtmässig bearbeitet werden.

(2) Die Bearbeitung muss nach Treu und Glauben erfolgen und verhältnismässig sein.

(3) Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.

(4) Sie werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind.

(5) Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Die Angemessenheit der Massnahmen hängt namentlich ab von der Art und dem Umfang der Bearbeitung sowie vom Risiko, das die Bearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringt.

(6) Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information freiwillig erteilt wird.

(7) Die Einwilligung muss ausdrücklich erfolgen für:

die Bearbeitung von besonders schützenswerten Personendaten;
ein Profiling mit hohem Risiko durch eine private Person; oder
ein Profiling durch ein Bundesorgan.

Artikel 7 nDSG stellt ausserdem klar, dass die technischen und organisatorischen Massnahmen insbesondere dem Stand der Technik zu entsprechen haben, und dass der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen Rechnung zu tragen ist.

Bei einem "Datenschutzmanagement" in diesem Kontext handelt sich also nicht nur um technische und organisatorische Maßnahmen i. S. v. Artikel 7 nDSG, denn der Bogen des Artikel 7 nDSG umfasst die Gesamtheit der Massnahmen, die erforderlich sind, um alle Vorschriften des nDSG, beispielsweise auch die Grundsätze des Artikel 6 nDSG, einzuhalten.

Die datenschutzrechtlichen Anforderungen werden sich unternehmensindividuell unterscheiden, d. h. die Vorschriften treffen in einzelnen Unternehmen in unterschiedlicher Ausprägung zu und erfordern entsprechend individuelle Massnahmen. Aus diesem Grund kann es keine für alle Unternehmen in gleicher Weise passende bzw. einheitliche Regelungen geben.

Vielmehr müssen zur Erfüllung eines Vollständigkeitsansatzes in einem ersten Schritt alle datenschutzrechtlichen Bearbeitungsvorgänge, Bearbeitungszwecke, Rechtsgrundlagen und Daten etc. identifiziert werden.

Dann sind die erforderlichen datenschutzrechtlichen Regelungen auch hinsichtlich eventueller Anforderungen aus anderen Bereichen zu konzipieren und einzuführen. Jedoch sind die Konzeption und Einführung dieser Regelungen keine einmalige Aufgabe, sondern diese Massnahmen und Regelungen müssen regelmässig überprüft und aktualisiert werden.

Zur zuverlässigen Durchführung der Aufgaben muss es dazu organisatorische Regelungen geben, mit klaren Erfordernissen für die Stellen, die für Aufgabenerfüllungen verantwortlich sind, welche sonstigen Stellen zu beteiligen sind und wie laufende Prüfungen organisiert und durchgeführt werden sollen.

Inzwischen dürfte klar sein, dass aus dem bisher Gesagten quasi eine "Forderung" nach einer systematischen Datenschutzorganisation i. S. eines Managementsystems entsteht.

Die Begründung dafür stützt sich u. a. auf die Notwendigkeit für die Durchführung folgender organisatorischen Aufgaben:

Verantwortliche Stellen für Aufgabenzuordnungen und Erledigungsziele müssen festgelegt werden.
Aufgaben und Verantwortlichkeiten müssen delegiert werden.
Die operative Durchführung der Aufgaben muss projektbezogen geregelt werden (Organisation, Projektsteuerung, Kontrolle).
Die Beteiligung sonstiger Stellen (u. a. Datenschutzberater, Revision, Sicherheitsbeauftragter) muss festgelegt werden.
Fachliche Kontrollen, Abnahmen sowie die Freigabe von Ergebnissen müssen geregelt werden.
Umfang und Art laufender Kontrollen der technischen und organisatorischen Massnahmen, beispielsweise durch interne bzw. externe Kontrollen und Audits, sowie die dafür verantwortlichen und zu beteiligenden Stellen müssen geregelt werden.

Zusammenfassung

Obwohl das nDSG an keiner Stelle ein Datenschutzmanagementsystem verlangt, ergibt sich in der Konsequenz datenschutzgesetzlicher Anforderungen die Notwendigkeit, das Management des Datenschutzes systematisch zu regeln, zu steuern und zu kontrollieren.

Mit der Forderung des Artikel 7 nDSG ergibt sich, aus unserer Sicht, zwangsläufig der Bedarf für ein Regelungs- bzw. Managementmodell auf der Grundlage des PDCA-Zyklus und eines kontinuierlichen Verbesserungsprozesses.

Dieses Managementmodell beschreibt auf der Management- und Führungsebene des Unternehmens den organisatorischen Rahmen, in dem sich die operative Datenschutzarbeit vollzieht. Auf der operativen Ebene, die von der Managementebene zu unterscheiden ist, eignet sich für die Umsetzung der einzelnen Aufgaben eine prozessorientierte Vorgehensweise.

Einzelne operativen Prozesse, (Personalverwaltung, Lohn- und Gehaltsabrechnung, Auftragsbearbeitung, Kundenmanagement etc.) sind ohnehin entsprechend Verantwortlichen zugeteilt, die dann den Einbau und die Anwendung der zutreffenden Datenschutzprozesse umsetzen.

Setzen Sie sich für weiter Informationen zum Thema gerne mit uns in Verbindung. Wir beraten Sie auch gerne unverbindlich in einem ersten Gespräch, z. B. über Zoom oder Teams, über pragmatische und unkomplizierte Lösungsmöglichkeiten, die Ihren Datenschutz wesentlich erleichtern und definitiv Aufwand und Kosten sparen.