Warum ein Datenschutzmanagementsystem?
Jeder Verantwortliche muss im Ergebnis einen „bunten Blumenstrauß“ an Maßnahmen (risikobasiert) definieren, umsetzen, dokumentieren und kontrollieren, um seinen Pflichten aus der Datenschutz-Grundverordnung (DSGVO) nachzukommen.
Angesichts der Fülle von Anforderungen einerseits und der Rechenschafts- und Nachweispflicht aus der DSGVO andererseits wird er dabei um ein geordnetes Vorgehen und damit um ein Datenschutzmanagementsystem (DMS oder DSMS) nicht herumkommen.
Was hat der PDCA-Zyklus mit dem Datenschutzmanagement zu tun?
Die Marschrichtung für ein solches System gibt die DSGVO selbst vor. Denn sie greift etablierte Prinzipien aus Management-Systemen anderer Disziplinen wie etwa der Informationssicherheit oder des Risikomanagements auf.
Das zeigt besonders deutlich Art. 24 DSGVO. Danach muss der Verantwortliche unter Berücksichtigung des Kontexts und des Risikos Maßnahmen planen, umsetzen, dokumentieren, prüfen und bei Bedarf verbessern. Nichts anderes besagt im Kern der P(lan)-D(o)-C(heck)-A(ct)-Zyklus als Prinzip eines jeden Management-Systems (PDCA-Zyklus).