Datenschutz gehört zu den Themen, die im Alltag gerne nach hinten rutschen und oft erst dann Aufmerksamkeit bekommen, wenn er konkret eingefordert wird. Gerade bei Betroffenenanfragen, Nachweisanforderungen von Geschäftspartnern oder bei Rückfragen der Aufsichtsbehörde zeigt sich, ob Zuständigkeiten klar sind, Entscheidungen sauber vorbereitet werden und die Dokumentation auffindbar ist. Damit Datenschutz in solchen Momenten nicht zur Improvisationsaufgabe wird, braucht es einen organisatorischen Rahmen, der Zuständigkeiten, Abläufe und Nachweise dauerhaft zusammenführt, ein Datenschutz-Management-System (DSMS).
In diesem Blog-Beitrag erläutern wir, welche rechtlichen Anforderungen ein DSMS adressiert, wie ein DSMS typischerweise aufgebaut ist und welche praktischen Vorteile sich daraus ergeben.
Das Datenschutz-Management-System im Überblick
Die Einführung eines DSMS ist nicht nur eine Frage guter Organisation, sondern eine praktische Antwort auf die Anforderungen der DSGVO.
Gesetzliche Grundlage des DSMS
Zentraler rechtlicher Ausgangspunkt ist die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Danach muss der Verantwortliche die Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 1 DSGVO) nicht nur gewährleisten, sondern auch nachweisen können. Es genügt also nicht, personenbezogene Daten rechtmäßig, zweckgebunden und sicher zu verarbeiten. Vielmehr muss die Einhaltung dieser Grundsätze zugleich dokumentiert und belegbar sein.
Diese Pflicht wird durch weitere Vorgaben der DSGVO konkretisiert. Insbesondere hat der Verantwortliche unter Berücksichtigung des Einzelfalls geeignete technische und organisatorische Maßnahmen zu treffen, um die Einhaltung der Verordnung sicherzustellen (Art. 24 Abs. 1 DSGVO). Dazu zählen unter anderem die Einrichtung interner Datenschutzstrategien sowie Maßnahmen der datenschutzfreundlichen Technikgestaltung und datenschutzfreundlicher Voreinstellungen nach Art. 25 DSGVO. Es reicht dabei nicht, entsprechende Maßnahmen einmalig festzulegen. Sie müssen erforderlichenfalls überprüft und aktualisiert werden (Art. 24 Abs. 2 DSGVO).
Im Ergebnis verlangt das Pflichtengefüge der DSGVO somit einen organisatorischen Rahmen, in dem Strategie, Umsetzung, Nachweis und fortlaufende Überprüfung strukturiert ineinandergreifen. Genau diesen Rahmen bildet ein DSMS.
Dass ein DSMS keine bloße Theorie ist, zeigt auch der Blick auf die Aufsichtsbehörden. Schon kurz nach Inkrafttreten der DSGVO haben sie deutlich gemacht, dass sie ein DSMS für geboten halten, etwa im Fragebogen der bayerischen Aufsichtsbehörde zur Umsetzung der DSGVO oder regelmäßig in Tätigkeitsberichten der Aufsichtsbehörden.
Die Bausteine des DSMS
Weder die DSGVO noch die Aufsichtsbehörden geben abschließend vor, wie ein DSMS aufgebaut sein muss. Aus den datenschutzrechtlichen Anforderungen lässt sich jedoch ableiten, was ein DSMS typischerweise enthalten muss.
Im Kern soll ein DSMS sicherstellen, dass Datenschutz im Unternehmen nicht punktuell, sondern systematisch und dauerhaft gelebt wird. Es ist daher weder eine einzelne Richtlinie noch eine Softwarelösung, sondern ein Zusammenspiel aus Zuständigkeiten, Abläufen und Dokumentation. Wie dieses Zusammenspiel im Einzelnen ausgestaltet wird, hängt von Größe, Struktur und Risikoprofil des Unternehmens ab. Bestimmte Bausteine sollten jedoch in jedem DSMS zu finden sein:
Wer ist wofür verantwortlich?
Ein DSMS definiert Rollen, Zuständigkeiten und Entscheidungswege, insbesondere das Zusammenspiel von Geschäftsführung, Datenschutzbeauftragtem, Datenschutzmanagement und den Fachbereichen.
Plant der Personalbereich die Einführung eines IT-Systems, in dem personenbezogene Daten verarbeitet werden, z.B. ein Bewerbermanagement-Tool, gibt das DSMS dafür einen definierten Prozess vor. Ein Fachbereich soll etwa den Datenschutzbeauftragten einbinden, welcher wiederum die erforderlichen Schritte koordiniert. So sind Zuständigkeiten und Entscheidungswege klar geregelt und die Verantwortung bleibt nachvollziehbar verteilt.
Was wird dokumentiert und wie bleibt es aktuell?
Ein DSMS schafft Strukturen, damit wesentliche Elemente der Datenschutzdokumentation vollständig, aktuell und an der richtigen Stelle verfügbar sind. Hierunter fallen insbesondere das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), Datenschutz-Folgenabschätzungen (Art. 35 DSGVO), technische und organisatorische Maßnahmen (Art. 32 DSGVO) und datenschutzrelevante Verträge (Art. 26, 28 DSGVO). Essenziell sind zudem regelmäßige Revisionszyklen, damit die Datenschutzdokumentation überprüft und bei Bedarf aktualisiert wird.
Das Bewerbermanagement-Tool würde somit systematisch als Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten ergänzt und die zugehörigen Unterlagen zentral abgelegt werden. Zugleich wäre festgelegt, dass diese Unterlagen regelmäßig überprüft und bei Änderungen aktualisiert werden.
Wie wird mit personenbezogenen Daten umgegangen?
Ein DSMS schafft verbindliche Vorgaben, damit der Umgang mit Daten im Arbeitsalltag einheitlich und nachvollziehbar im Einklang mit den Datenschutzgrundsätzen erfolgt.
Schon vor Einsatz eines neuen Bewerbermanagement-Tools würde feststehen, wer unter welchen Bedingungen Zugriff auf die Daten erhält und welche Speicher- und Löschfristen gelten.
Wie laufen „kritische“ Prozesse ab?
Gerade in sensiblen Situationen zeigt sich, ob der Datenschutz im Unternehmen funktioniert. Ein DSMS regelt daher grundlegende Prozesse für relevante Ablaufstrukturen, etwa den Umgang mit Betroffenenanfragen oder mit Datenschutzvorfällen.
Verlangt eine Person beispielsweise Auskunft darüber, welche Daten im Bewerbermanagement-Tool über sie gespeichert sind, und fordert anschließend deren Löschung, gibt das DSMS der Personalabteilung einen klaren Ablauf an die Hand. Festgelegt ist, an welche internen Stellen die Anfrage weitergeleitet wird, wie die Identität der Person geprüft wird und in welcher Form die Auskunft erteilt sowie die Löschung umgesetzt und dokumentiert wird.
Wie wird ein rechtsicherer Umgang mit personenbezogenen Daten gewährleistet?
Datenschutz kann nur funktionieren, wenn Beschäftigte die für sie relevanten Vorgaben kennen und im Alltag anwenden können. Wichtiger Bestandteil eines jeden DSMS ist daher die Festlegung, wie Beschäftigte zum Umgang mit personenbezogenen Daten sensibilisiert und geschult werden.
Für die Personalabteilung sieht das DSMS etwa eine verpflichtende Datenschutz-Basisschulung beim Onboarding sowie regelmäßige Auffrischungen vor, ergänzt um bereichsspezifische Schulungen für den Personalbereich. So wissen die Mitarbeitenden im Tagesgeschäft, worauf es beim Umgang mit Bewerbungsdaten und mit entsprechenden Tools ankommt.
Wie werden externe Dienstleister und sonstige Empfänger eingebunden?
Viele Unternehmen arbeiten mit IT-Dienstleistern, Cloud-Anbietern oder anderen externen Stellen zusammen. Ein DSMS muss deshalb auch berücksichtigen, wie solche Einbindungen geprüft, vertraglich abgesichert, dokumentiert und laufend überwacht werden.
Beim Bewerbermanagement-Tool eines externen Cloud-Anbieters würde das DSMS entsprechend vorgeben, welche Prüfungen und Maßnahmen vor dem Einsatz erfolgen müssen und wie der Anbieter danach kontrolliert wird.
Nutzen für den Unternehmensalltag
Verlässlich implementiert, führen die obigen Bausteine zu konkreten Vorteilen im Unternehmensalltag.
Ein wesentlicher Vorteil liegt in der besseren Nachweisbarkeit des Datenschutzes. Wer mit einem DSMS insbesondere Dokumentation und Prozesse sinnvoll bündelt, kann im Bedarfsfall intern sowie extern schnell und nachvollziehbar darlegen, welche personenbezogenen Daten verarbeitet werden, auf welcher Grundlage dies geschieht, und welche Schutzmaßnahmen vorliegen.
Genauso hilft ein DSMS bei der Vorbereitung auf kritische datenschutzrechtliche Situationen. Wer frühzeitig festlegt, was bei Auskunftsersuchen oder Datenschutzvorfällen zu tun ist und wer dafür zuständig ist, spart im Ernstfall wertvolle Zeit. Denn die DSGVO gibt zum Teil kurze Fristen vor. Betroffenenanfragen sind grundsätzlich unverzüglich, spätestens aber innerhalb eines Monats zu beantworten (Art. 12 Abs. 3 DSGVO), während relevante Datenschutzverletzungen gegenüber der Aufsichtsbehörde sogar schon binnen 72 Stunden gemeldet werden müssen (Art. 33 Abs. 1 DSGVO). Die Hessische Aufsichtsbehörde stellt mit Blick auf Cyberangriffe regelmäßig fest, dass bei weitem nicht alle meldepflichtigen Vorgänge gemeldet werden. Sie empfiehlt Verantwortlichen und Auftragsverarbeitern daher ausdrücklich, ein funktionierendes und dynamisches DSMS zu etablieren (HBDI, 2023/2024, S. 224). Denn nur durch entsprechende technische und organisatorische Maßnahmen einschließlich intensiver Schulungen von Beschäftigten in Fragen der IT-Sicherheit und des Datenschutzes lassen sich Datenschutzverletzungen abwehren oder eindämmen und werden Meldepflichten eingehalten.
Auch gegenüber Kund:innen, Geschäftspartnern und sonstigen Dritten kann ein DSMS spürbare Vorteile bringen. Viele Unternehmen sehen sich heute mit Datenschutzfragebögen, Audit-Anforderungen oder vertraglichen Nachweispflichten konfrontiert. Wer seine Datenschutzorganisation hierfür strukturiert aufgestellt hat, kann solche Anforderungen rechtssicher erfüllen und nach außen souverän darstellen. Dies schafft Vertrauen und erleichtert die Zusammenarbeit.
Schließlich kann ein DSMS auch im Sanktionsfall von Bedeutung sein. Zwar schützt ein DSMS nicht vor Verstößen. Es kann aber bei der Bußgeldbemessung (Art. 83 Abs. 2 DSGVO) zugunsten des Unternehmens berücksichtigt werden, wenn sich daraus ergibt, dass datenschutzrechtliche Anforderungen ernst genommen, Prozesse eingerichtet und Maßnahmen umgesetzt wurden.
Sie möchten Ihr Datenschutzmanagement aufbauen oder weiterentwickeln? Melden Sie sich gerne hier.
Fazit
Ein DSMS ist kein bloßes Extra, sondern eine rechtlich notwendige Organisationsform, mit der die Anforderungen der DSGVO im Unternehmen dauerhaft umsetzbar werden.
Über die rechtliche Pflicht hinaus zahlt sich ein DSMS im Alltag aus. Es schafft Klarheit bei Zuständigkeiten, Tempo bei Betroffenenanfragen und Datenschutzvorfällen sowie Souveränität gegenüber Kund:innen und Aufsichtsbehörden. Damit wird Datenschutz von einer wiederkehrenden Belastung zu einem festen Bestandteil einer gut organisierten Unternehmensführung.
Wie ein DSMS konkret aussieht, entscheidet sich am Einzelfall. Sprechen Sie uns an, wenn Sie Ihr Datenschutzmanagement aufbauen oder weiterentwickeln möchten.
Antonia Preuß ist Wirtschaftsjuristin und Legal Consultant bei der Datenschutzkanzlei.
Holen Sie die Datenschutzkanzlei an Bord
Rechtsberatung für Daten, Tech und Marketing
Unterstützung von Unternehmen, Rechtsabteilungen und internen Datenschutzbeauftragten
Benennung zum externen Datenschutzbeauftragten
Echte Lösungen statt nerviger Hindernisse