DSGVO: Aufgaben im PDCA-Zyklus organisieren
Wie bereits vorgestellt (Datenschutz PRAXIS 12/16, S. 6), treffen den Verantwortlichen, der personenbezogene Daten verarbeitet, zahlreiche Pflichten aus der Grundverordnung.
- Entscheidend ist dabei zum einen, dass die Grundverordnung die umzusetzenden Anforderungen durch Nachweispflichten (Accountability) und hohe Bußgelder flankiert.
- Zum anderen geht die DSGVO offensichtlich davon aus, dass es nicht damit getan ist, einmalig ein Datenschutz-Management-System im Unternehmen einzurichten. Vielmehr betont sie die Notwendigkeit, das System an die konkreten Umstände anzupassen.
Damit hängen die Maßnahmen, die Unternehmen ergreifen müssen, letztlich von dynamischen Faktoren ab. Das betrifft in erster Linie die konkrete Bedrohungslage im unternehmensindividuellen Kontext gemäß aktuellem Stand der Technik.
Veränderung ist normal
Nicht nur in der IT-Welt ist Veränderung mittlerweile der Normalzustand. In Zeiten der digitalen Transformation kann sich kaum ein Unternehmen der ständigen Anpassung entziehen.
Das bedeutet in der unternehmerischen Konsequenz: Bestimmte Aufgaben sind eigentlich nie erledigt, sondern als wiederkehrender Zyklus zu wiederholen. Nur so lässt sich feststellen, ob das Unternehmen den selbst gestellten bzw. vorgegebenen Anforderungen genügt (oder ob es zu viel investiert).
Statt sich über die Veränderung zu ärgern, wird sie zur Quelle der ständigen Optimierung.
Der PDCA-Zyklus
Die unternehmerische Wiederholungsschleife aus „Plan“ (Planung), „Do“ (Umsetzung), „Check“ (Kontrolle) und „Act“ (Optimierung), kurz PDCA-Zyklus, beschreibt einen kontinuierlichen Verbesserungsprozess.
Der PDCA-Zyklus ist die Antwort auf eine sich ändernde Umgebung (Markt, Wettbewerb, Bedrohungslage, rechtliche Rahmenbedingungen etc.).
Im Einzelnen zählen dazu die folgenden Phasen/Schritte:
- Plan – Planung und Konzeption
- Do – Umsetzung und Dokumentation
- Check – Kontrolle und Überwachung
- Act – Optimierung
Dieser Zyklus entspricht im Wesentlichen den Anforderungen an den Verantwortlichen nach Art. 24 DSGVO: Er muss risikobasiert unter Berücksichtigung des Kontexts geeignete Maßnahmen ergreifen, um die von der Verarbeitung betroffenen Daten zu schützen. Er muss diese Maßnahmen nachweisen und sie aktuell halten.
Im Idealfall ist das beim PDCA-Zyklus jederzeit der Fall. Denn der Zyklus sieht von vornherein die (wiederkehrende) Planung vor. Der Zyklus ist gerade darauf ausgelegt, auf Veränderungen zu reagieren.
DSGVO-Anforderungen im PDCA-Zyklus
Über den Lebenszyklus von personenbezogenen Daten im Unternehmen hinweg stellt die DSGVO hohe Anforderungen an die zulässige und ordnungsgemäße Verarbeitung.
Damit der Verantwortliche die an ihn gestellten Anforderungen nachweisbar und aktuell erfüllen kann, kommt im Idealfall ein Datenschutz-Management-System (DSMS) zum Einsatz. Es fördert datenschutzfreundliche Techniken und Voreinstellungen und muss stets weiterentwickelt werden.
Im Kern basiert jedes moderne Management-System auf einem kontinuierlichen Verbesserungsprozess. Es ist darauf ausgerichtet, ein Thema und in der Folge spezifische Anforderungen im Unternehmen zu etablieren.
Beispiel ISO 27001
So umschreibt etwa die ISO-Norm 27001, eine internationale Zertifizierungsnorm für Informationssicherheits-Management-Systeme, als Management-System unterschiedliche Aspekte bei der unternehmerischen Behandlung von Risiken in der Informationssicherheit. Grundlegend zählt dazu eine „Information Security Policy“, die die Sicherheitsgrundsätze und -ziele entsprechend den aktuellen Unternehmenswerten zusammenfasst.
Prozesse etablieren und Kontrollen durchführen
Der Datenschutzbeauftragte kennt das im Hinblick auf den Umgang mit personenbezogenen Daten unter dem Begriff „Datenschutzerklärung“. Um Sicherheits- respektive Datenschutzgrundsätze im Unternehmen indessen „leben“ zu können, bedarf es aber entsprechender Prozesse – und im Ergebnis einer Kontrolle, um festzustellen, ob die selbst gesteckten Ziele tatsächlich erreicht werden, d.h. ob das Management-System wirksam ist.
Die Grundlage dafür kann der PDCA-Zyklus sein. Die Aufgaben aus der Grundverordnung lassen sich exemplarisch wie in der folgenden Abbildung gezeigt eingruppieren:
In gleicher Weise lassen sich auch die Aufgaben des Datenschutzbeauftragten im Sinne der Beratung und Überwachung exemplarisch wie folgt dem PDCA-Zyklus zuordnen:
Fazit: Kontinuierliche Verbesserung mit PDCA organisieren
Die DSGVO ist vor dem Hintergrund deutlich gestiegener Bußgelder nicht nur angesichts der Fülle ihrer (gerade auch dokumentatorischen) Anforderungen eine Herausforderung für Unternehmen. Auch die Ausrichtung und Orientierung an Strukturelementen aus anderen Management-Disziplinen wie dem IT-Sicherheits- und Risikomanagement führt dazu, dass sich Unternehmen bei der Herangehensweise stärker an äußeren Gegebenheiten und Standards werden orientieren müssen.
Nicht nur auf wirtschaftlicher Ebene wird der Wettlauf um die kontinuierliche Verbesserung ausgetragen. Er steckt – angesichts stetig neuer IT-Bedrohungen – eben auch und gerade in der zulässigen und ordnungsgemäßen Verarbeitung von personenbezogenen Daten.
Um dieses Ziel zu erreichen, bietet sich ein Ansatz an, der sich bei Herangehensweise und Organisation am PDCA-Zyklus orientiert, um die immer wieder zu kontrollierenden DSGVO-Aufgaben in den Griff zu bekommen. Insofern stellt der PDCA-Zyklus sozusagen den Kern eines jeden Datenschutz-Management-Systems dar.