Klassische #Datenschutzmanagementsysteme (DSMS) verfolgen erstrangig die Dokumentationspflicht und das Vorfallmanagement gemäß #DSGVO. Sie zielen darauf, spätesten jährlich einen PDF-Bericht zu erzeugen, um sich vor dem Zugriff der Datenschutzbehörden abzusichern. Hauptsache DSGVO-konform und billig.

Als ob damit alles getan wäre.

Den Behörden ggf. mag so der Nachweis einer vermeintlichen Datenschutzkonformität genügen. Aber einer echten Datenschutzverletzung mit Datenschutzmanagementsystemen oder Datenschutzabonnements vorzubeugen, scheint eher illusorisch, als man fälschlich annimmt, dass ein alljährlich aktualisierter Zeitstempel ein aktives Datenschutzmanagement rechtfertigen könnte. 

Meistens vertritt in Unternehmen oder Vereinen lediglich eine einzige Person den Job als interne/r oder externe/r #Datenschutzbeauftragte/r, allenfalls als #Datenschutzmanager/in. Bei Freelancern, kleinen Vereinen und Kleinunternehmen ist das nachvollziehbar, aber nicht in Unternehmen und großen Vereinen oder Verbänden, welche standort-, bereichs-, oder abteilungsübergreifend mit einer Vielzahl von Verantwortlichen Mitarbeitern oder Mitgliedern echten Datenschutz mit Vereinbarungen, Grundsätzen und Prinzipien (Compliance) praktizieren müssten. Sie dokumentieren lediglich einen vergeblichen Idealzustand, aber nicht den wahren und dynamischen Ist-Zustand der realen Arbeitsumgebung bzw. der Systemlandschaft. Wer sich spätestens jetzt keine Gedanken dazu macht und meint, er habe seiner Datenschutz-verantwortung per Abonnement oder Delegierung gereicht, befindet sich auf dem #Holzweg.

Systemtechnische Unterstützung sowie personeller und informeller Einsatz mag auf der Ebene der Datenschutzverantwortlichen ausreichen, wenn nicht mehr als nur eine Alibifunktion ausgefüllt werden soll. Wer nicht konsequent alle Verantwortlichen, Zuständigen, Mitarbeiter, Mitwirkende und Betroffene aktiv einbindet, hat den Datenschutz nicht verstanden und setzt früher oder später seine Organisation in das Sichtfeld der zuständigen Datenschutzbehörden. 

Ausweg und Lösung zugleich ist ein strukturiertes Datenschutz-Management-System (DSMS). Hier erreichen Verantwortliche mit einem entsprechenden Berechtigungskonzept ausnahmslos und unmittelbar alle Mitarbeiter, Mitwirkende und Betroffene. Nur so kann man den Fortschritt und die Hindernisse des Datenschutzes erfahren, die Ergebnisse und Funktionalitäten bewerten und Anforderungen kontinuierlich strukturieren und anpassen. Erst wenn sich der Grad der Durchdringung einer Datenschutzkonformität in allen Bereichen einer Organisation messbar steigert, befindet man sich auf dem richtigen Weg. 

Insofern bedeutet Datenschutz ein

Management von Verarbeitungstätigkeiten mit personenbezogenen Daten

mit konkreter Beschreibung, Orts und Zeitbestimmung,

mit Zuständigkeiten, Anwendungen und Rechtsgrundlagen,

mit technischen und organisatorischen Maßnahmen (TOMs),

mit Korrelationen zwischen Geschäftsprozessen und Fristen,

mit Abbildung der Systemlandschaft und Standorte

Zuordnung der Verarbeitungen zu eingesetzter Applikation,

mit Bedrohungslagen und Datenschutzfolgeabschätzungen (DSFA),

mit Grundsätzen, Prinzipien, Berechtigungskonzepten und IT-Grundschutz

in Zusammenarbeit mit allen Mitwirkenden und Betroffenen

Datenschutz bedeutet kein automatisiertes Herstellen und Verteilen von Berichten, Exports sowie An- und Einweisungen.

Wir warnen ausdrücklich davor, zu glauben, ein #Datenschutzabonnement würde #Datenschutzkonformität ersetzen.