Die Normenwelt, DSMS und GDPR

28 Nov

  • in Alle
  • von
  • 0

Ein Beitrag von Uwe Rühl

Viel wird derzeit diskutiert, viel geschrieben und mit dem Sargdeckel des Mai 2018 geklappert – GDPR, die einheitliche Europäische Datenschutzgesetzgebung steht vor der Tür!

Selbst auf Flughäfen findet man große Werbeaktionen, vor allem zu „GDPR-konformen“ Produkten und anderen Wunderpillen, die man einwerfen muss, um vor dem Mai 2018 keine Angst haben zu müssen. Diese Erfahrung habe ich letzte Woche bei einem Datenschutzmanagementsystemaudit in Singapur gemacht. GDPR beschäftigt die Unternehmen, nicht nur in der EU, sondern weltweit!

Ja, auch wir beschäftigen uns stark mit GDPR, arbeiten mit unseren Kunden an Lösungen und bereiten uns auf den Mai 2018 vor. Was aber immer wieder als Fragestellung auftaucht ist: was muss denn das Unternehmen jetzt eigentlich konkret tun, um „GDPR-konform“ zu sein? Wie muss etwas konkret umgesetzt werden? Was wäre, wenn ein Lösungsansatz durch eine Aufsichtsbehörde, einen Beschwerdeführer oder im Rahmen einer Verbraucherschutzklage als nicht ausreichend anerkannt werden könnte?

Hier liegt die Crux der ganzen GDPR-Sache. Es gibt zwar ein festes Datum der Überleitung in die nationalen Rechtsnormen der Mitgliedsländer, aber selbst die Arbeitsgruppen auf EU-Ebene arbeiten derzeit noch fleißig an der Ausgestaltung. Zum Beispiel die WP29 als eine der wesentlichen Arbeitsgruppen zur Ausgestaltung von GDPR. Hier ein Auszug aus dem Protokoll der WP29 Arbeitsgruppensitzung zum Oktober 2017: „

Finally, the WP29 worked on the organization and structure of the EDPB and of the cooperation system to be ready for May 2018.” Das EDPB wird das European Data Protection Board sein, also genau diese koordinierende Funktion innerhalb der EU, die für die Ausgestaltung zuständig ist.

Welche Auswirkung hat das für Unternehmen die sich jetzt vorbereiten wollen und müssen? Nun, es ist noch so viel im Fluss, es gibt an manchen Stellen derzeit noch keine Sicherheit, schon gar keine Rechtssicherheit, wie mit einzelnen Anforderungen der GDPR umzugehen ist. Geschweige denn, dass man absehen könnte, welche Ansätze und Lösungen denn einer gerichtlichen Bewertung standhalten würden.

Dies alles sind Gründe, weshalb wir unseren Kunden raten, sich bei der Vorbereitung auf GDPR ganz einfach auf das Normenwesen zu verlassen. Es gibt sowohl in der ISO-Welt, als auch im Rahmen nationaler Normen gute Ansätze, um ein Datenschutzmanagementsystem (DSMS) zu verankern, aufzubauen, zu betreiben und zu verbessern. Genau dieser Managementsystemgedanke ist es, der Unternehmen hilft, einen adaptiven und lernfähigen Ansatz zum Umgang mit Datenschutzforderungen zu implementieren. Vor allem hilft ein Datenschutzmanagementsystem dem Unternehmen einen Nachweis zu erbringen, dass es die Verantwortung („Accountability“) für den Schutz der personenbezogenen Daten der natürlichen Personen nachkommt. Diese Accountability, nämlich die Risiken für die natürlichen Personen und deren Freiheiten und Rechte zu ermitteln und im Rahmen der GDPR Datenschutzprinzipien zu handeln, stellen die wesentliche Grundvoraussetzung dar.

Für alle diese Themen bietet ein Datenschutzmanagementsystem einen nachvollziehbaren Ansatz. Nein, ein DSMS ist nicht die Wunderpille, die man schluckt, um „GDPR-konform“ zu sein. Was die Konformität zu GDPR bedeutet, kann uns derzeit keiner vollständig beantworten. Aber wir haben mit einem DSMS einen nachvollziehbaren, systematischen und den Grundsätzen der GDPR entsprechenden Ansatz die Accountability nachzuweisen. Und selbst im Fall einer jurisitischen Bewertung ist die Normenwelt ein wichtiger Faktor um sich gegen den Vorwurf des Organisationsverschuldens zur Wehr zu setzen.

Im Kurs RC 410 – Aufbau eines Datenschutz-Management-Systems nach EUDSGVO – Vorschriften erfüllen, systematisch umsetzen und überwachen bei unserem Partner qSkills lernen Sie mehr über die Integration der GDPR in ein Managementsystem.

Urheberrecht Bild: Fotolia.com – © schlierner

Teilen Sie diesen Eintrag.
Share on twitter
Share on google
Send contact request
Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.