Zusammenfassung
Die Relevanz des Datenschutzes wird in Zukunft als notwendiges Element für innovative datengetriebene Geschäftsmodelle steigen. Zudem sind mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) die Erwartungen an den strukturierten Aufbau eines nachweisbaren Datenschutzmanagements gestiegen. Ein von allen Beteiligten akzeptierter Standard für die Ausgestaltung der Datenschutzorganisation ist jedoch bisher nicht etabliert. Als Rahmenkonzept kann deshalb auf den vom IDW veröffentlichten IDW PH 9.860.1 zurückgegriffen werden, welcher Grundsätze, Verfahren und Maßnahmen für eine Datenschutzorganisation definiert. Zusammen mit den Kernelementen eines Compliance-Managementsystems gem. IDW PS 980 kann sogar ein wirksames Datenschutzmanagementsystem (DSMS) für das Unternehmen aufgebaut werden. Der Charme dieser Lösung ist die spätere Prüf- und Zertifizierungsmöglichkeit und damit Nachweiserbringung und Erfüllung der Rechenschaft gegenüber internen und externen Stellen (z. B. Auftraggeber).
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Similar content being viewed by others
Notes
- 1.
Siehe Artikel 5 Abs. 2 DSGVO.
- 2.
Siehe Artikel 24 Abs. 1 DSGVO.
- 3.
Siehe Artikel 32 Abs. 1 d) DSGVO.
- 4.
Siehe Artikel 83 Abs. 2 DSGVO.
- 5.
Siehe Artikel 82 Abs. 3 DSGVO.
- 6.
Siehe auch eine entsprechende Aufarbeitung der sächsischen Aufsichtsbehörde. https://www.datenschutzrecht.sachsen.de/einfuehrung-eines-datenschutzmanagement-systems-4235.html
- 7.
Siehe Artikel 38 Abs. 3 und Abs. 6 DSGVO.
- 8.
Bei kleinen Unternehmen, die i. d. R. nur den DSB als zentrale Einheit mit umfassender Datenschutzexpertise vorhalten können, wird dieser Konflikt auch in Zukunft nicht vollständig aufgelöst werden können.
- 9.
In Deutschland gibt es u. a. das Standarddatenschutzmodell (SDM), dessen generelle Methodik zwar in Form der Erprobungsfassung von der 95. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 25./26. April 2018 in Düsseldorf einstimmig beschlossen wurde, jedoch die ergänzend benötigten Maßnahmenkataloge (sog. Bausteine) nur vereinzelt als unverbindlicher Entwurf verfügbar sind und noch nicht zwischen allen Aufsichtsbehörden abgestimmt wurden.
- 10.
Die Vorgaben für eine Zertifizierung im Sinne des Artikel 42 DSGVO sowie für die Zertifizierungsstellen gem. Art. 43 DSGVO wurden zwischenzeitlich durch den europäischen Datenschutzausschuss definiert. Hierbei ist als Zertifizierungsgegenstand jedoch nicht die Datenschutzmanagement-Organisation, sondern nur ein Produkt, ein Prozess oder eine Dienstleistung zulässig. Siehe hierzu die Verlautbarung der DSK vom 28.08.2018 „Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i. V. m. DIN EN ISO/IEC 17.065“.
- 11.
IDW Prüfungshinweis: Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (IDW PH 9.860.1).
- 12.
Siehe hierzu IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980).
- 13.
IDW Prüfungsstandard: IT-Prüfung außerhalb der Abschlussprüfung (IDW PS 860; Stand: 02.03.2018).
- 14.
IDW Prüfungshinweis: Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (IDW PH 9.860.1, Stand: 19.06.2018).
- 15.
Die nachfolgende Darstellung der Einzelmaßnahmen im Sinne der Anlage 1 des IDW PH 9.860.1 ist gekürzt und berücksichtigt eine Priorisierung des Autors. Eine vollumfängliche Übersicht der Grundsätze, Verfahren und Maßnahmen können der Anlage 1 des IDW PH 9.860.1 entnommen werden.
- 16.
Vgl. Nr. 1–11 der Anlage 1 des IDW PH 9.860.1.
- 17.
Vgl. Nr. 12–30 der Anlage 1 des IDW PH 9.860.1.
- 18.
Vgl. Nr. 31–35 der Anlage 1 des IDW PH 9.860.1.
- 19.
Vgl. Nr. 36–39 der Anlage 1 des IDW PH 9.860.1.
- 20.
Vgl. Nr. 40–46 der Anlage 1 des IDW PH 9.860.1.
- 21.
Vgl. Nr. 47–48 der Anlage 1 des IDW PH 9.860.1.
- 22.
Vgl. Nr. 49–57 der Anlage 1 des IDW PH 9.860.1.
- 23.
Vgl. Nr. 58–61 der Anlage 1 des IDW PH 9.860.1.
- 24.
Vgl. Nr. 62–70 der Anlage 1 des IDW PH 9.860.1.
- 25.
Vgl. Nr. 71–81 der Anlage 1 des IDW PH 9.860.1.
- 26.
Siehe auch bzgl. der entsprechenden Krisenreaktionsplanung Gola DS-GVO/Reif, 2. Aufl. 2018, DSGVO Art. 33 Rn. 41, 42.
- 27.
Vgl. Nr. 82–85 der Anlage 1 des IDW PH 9.860.1.
- 28.
Vgl. Nr. 86 der Anlage 1 des IDW PH 9.860.1.
- 29.
Siehe bspw. IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980).
- 30.
Siehe IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980), Rn. 6.
- 31.
Siehe zu generellem Inhalt und Ausgestaltung der Kernelemente auch: Das wirksame Compliance-Management-System: Ausgestaltung und Implementierung in Unternehmen, NWB Verlag 2014.
- 32.
So belegen bspw. die Themen „DSGVO-Compliance“ und „privacy by design“ die ersten beiden Plätze der IT- Trend-Themen in der „Studie IT-Trends 2019“ des Beratungs- und IT-Dienstleistungsunternehmen Capgemini.
Literatur
Pötters S (2018) „Artikel 1, 5, 85, 88, 89, 92, 93 DS-GVO“, Pötters (Kommentierung, Alleinautor), „Artikel 77, 78 DS-GVO“, Pötters/Werkmeister (Kommentierung), In: Gola (Hrsg), DS-GVO, Datenschutz-Grundverordnung VO (EU) 2016/679 Kommentar, CH Beck, 2. Aufl
Thiel B (2009) Querschnittsprüfung der LfD Niedersachsen zur Umsetzung der DS-GVO in Unternehmen. Hannover, RDV 2
BayLDA. „Prüfkatalog Rechenschaftspflicht“ des BayLDA, Bayerisches Landesamt für Datenschutzaufsicht. München
BayLDA (2018) Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 20018 des BayLDA
Schrulle J (2019) Aufbau und Prüfung der Datenschutzorganisation – der IDW PH 9.860.1 als geeignetes Rahmenwerk. IT-Governance 29, März 2019
Jung A (2018) Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DS-GVO. Praktikable Ansätze für die Erfüllung ordnungsgemäßer Datenverarbeitung. ZD 5:208 ff.
Wermelt A, Fechte T (2013) Datenschutz-Compliance — praktische Unterstützung bei der Umsetzung durch den IDW PS 980. Betriebs Berater BB 14.2013:811 ff.
Kranig T, Sachs A, Gierschmann M (2017) Datenschutz-Compliance nach der DS-GVO, Bundesanzeiger Verlag, Köln
Author information
Authors and Affiliations
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2020 Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature
About this chapter
Cite this chapter
Schrulle, J. (2020). Aufbau einer strukturierten Datenschutzorganisation bzw. eines Datenschutzmanagementsystems im Kontext der DSGVO auf Basis des IDW PH 9.860.1. In: Sowa, A. (eds) IT-Prüfung, Datenschutzaudit und Kennzahlen für die Sicherheit. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-30517-8_3
Download citation
DOI: https://doi.org/10.1007/978-3-658-30517-8_3
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-30516-1
Online ISBN: 978-3-658-30517-8
eBook Packages: Computer Science and Engineering (German Language)