EU-DSGVO. Konzeption eines Datenschutzmanagementsystems

Inhaltsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Ziel und Aufbau der Arbeit

2 Grundlagen
2.1 Datenschutz
2.2 EU-Datenschutzgrundverordnung
2.3 Managementsysteme

3 Überblick und Auswahl eines Standards für Managementsystem
3.1 Einführung in die Nutzwertanalyse
3.2 Identifizierung eines vorhandenen Standards
3.3 Sammlung von Entscheidungskriterien
3.4 Gewichtung der Kriterien
3.5 Bewertung der Kriterien
3.6 Nutzwertberechnung
3.7 ISO 27001

4 Datenschutzmanagementsystem
4.1 Datenschutzmanagementsystem in Anlehnung an die ISO 27001
4.2 Datenschutzorganisation
4.2.1 Überblick
4.2.2 Rollen und Verantwortlichkeiten
4.2.3 Geschäftssteuerung
4.3 Datenschutzschulungen
4.3.1 Training und Bewusstsein
4.3.2 Schulungsunterlagen
4.4 Betrieb des Verfahrensverzeichnisses
4.4.1 Verfahrensverzeichnis
4.4.2 Datenschutz-Folgenabschätzung
4.5 Interne und externe Kommunikation
4.5.1 Datenschutzberatung
4.5.2 Meldungen bei Sicherheitsverstößen
4.5.3 Betroffenenanfragen
4.6 Kontinuierliche Verbesserung
4.6.1 Audit des Datenschutzmanagementsystems
4.6.2 Managementbewertung (Management-Review)
4.6.3 Überprüfung des Auftragsdatenverarbeiters
4.6.4 Kontinuierliche Verbesserung des Datenschutzmanagentsystems

5 Zusammenfassung und Ausblick

Anhang A

Anhang B

Anhang C

Anhang D

Anhang E

Anhang F

Anhang G

Anhang H

Literaturverzeichnis

Management Summary

Das Recht jedes einzelnen auf informelle Selbstbestimmung und das damit verbundene Recht persönliche Daten, im Zeitalter von rasch wachsender Digitalisierung in Unternehmen, zu schützen, gewinnt, durch den Erlass der Europäischen-Datenschutzgrundverordnung, zunehmend an Bedeutung.

Diese Arbeit zeigt die effiziente Umsetzung der Aufgaben aus der Europaweit einheitlichen Datenschutzgrundverordnung, unter der Anwendung von bereits etablierten Managementsystemen, in einem Unternehmenseigenen Datenschutzmanagementsystem.

Dabei wird in systematischer Reihenfolge aufgezeigt, in welcher Rechenschaftspflicht sich die Geschäftsleitung eines Unternehmens, mit in Krafttreten der Datenschutzgrundverordnung, befindet und welche umfassenden Aufgaben dadurch zusätzlich wahrgenommen werden müssen, um Sanktionen in Millionenhöhe, für Verstöße gegen die Einhaltung der Verordnung, umgehen zu können.

Abbildungsverzeichnis

Abbildung 1 Grundsätze der Verarbeitung personenbezogener Daten

Abbildung 2 Handlungspflicht der Verantwortlichen Stelle

Abbildung 3 Modell der drei Verteidigungslinien

Abbildung 4 Organisationsbezogene Dokumente

Abbildung 5 Meldeprozess

Abbildung 6 PDCA-Zyklus

Tabellenverzeichnis

Tabelle 1 Geeignete Standards

Tabelle 2 Inhaltliche Kriterien

Tabelle 3 Ausgeschlossene Standards

Tabelle 4 Entscheidungsalternativen

Tabelle 5 Entscheidungskriterien

Tabelle 6 Anpassungsfähigkeit

Tabelle 7 Verfügbarkeit

Tabelle 8 Anwendungskosten

Tabelle 9 Gültigkeit

Tabelle 10 Integrierbarkeit

Tabelle 11 Geltungsbereich

Tabelle 12 Qualität

Tabelle 13 Ergebnis zur Nutzwertanalyse

Tabelle 14 Anforderung ISO 27001 Struktur

Tabelle 15 Anforderung ISO 27001 Prozesse

Tabelle 16 Übersicht nationale Rechtsvorschriften mit Datenschutzinhalt

Tabelle 17 Übersicht Datenschutzgrundverordnung

Tabelle 18 ISO2001 Mapping

Tabelle 19 Datenschutzschulungskonzept

Tabelle 20 Betroffenenrechte

Tabelle 21 Vorgehensweise Audit

Tabelle 22 Einflussfaktoren Managementbewertung

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problemstellung

Digitalisierung ist derzeit das alles beherrschende Thema in der Wirtschaft. Die Studie IT-Trends 2016 der Firma Capgemini Consulting Deutschland, zeigt eine branchenübergreifende Entwicklung der Digitalisierung im deutschsprachigen Raum. Dabei ist nicht die Überführung von Papier zu elektronischer Form gemeint, sondern vielmehr wird unter Digitalisierung, die Erfassung und Abbildung der Welt in digitaler Form verstanden, um in Zukunft Informationen und Prozesse miteinander zu vernetzen. In der Studie wurden 153 Entscheidungsträgern aus Mittelständischen und Dax 30 Unternehmen befragt. Die diesjährige Studie stellt sich dabei selbst mit der gleichen Studie aus 2015 im Vergleich und ermittelt hierbei einen prozentualen Anstieg beim Ausbau der Digitalisierung. Der Ausbau von Digitalisierung beträgt in einem Jahr 17,9% und befindet sich, laut der Studie, noch am Anfang. Ein Anstieg ist auch im IT- Budget zu vermerken. Hierbei steigen die Budgets um 37% zum vergangenen Jahr. Eine Prognose der Studie zeigt einen progressiven Verlauf der Budgetsteigerung in den nächsten Jahren. Bei der Frage des Stellenwerts der Digitalisierung im Unternehmen kam die Studie, bei einer Skala von 0 bis 10, wobei 10 die höchste Bedeutung hat, auf einem Durchschnittswert von 7,2. Der Vergleich zeigt den rasanten Anstieg an Digitalisierung in allen Branchen.^[1]

Geschäftsmodelle werden der Digitalisierung angepasst. Daten werden zu einem profitablen Gut auf dem Digitalen Markt. Sie werden verstärkt gesammelt, gespeichert, analysiert, ausgewertet und veräußert. Doch mit zunehmender Digitalisierung, folgt ebenso eine zunehmende Bedrohung für den Verbraucher. Die Daten des Verbrauchers stehen hierbei im Mittelpunkt. Aus der Konsequenz der Digitalisierung verabschiedete das Europäische Parlament und der Europäische Rat am 14. Mai 2016 die sogenannte Europäische Datenschutzverordnung (DSGVO), um europaweit einen einheitlichen Schutz von personenbezogenen Daten zu gewährleisten. Durch etliche Auflagen für Unternehmen soll der Schutz der Verbraucherdaten sichergestellt werden. Die Datenschutzverordnung gibt den Mitgliedsstaaten eine zwei jährige Umsetzungsfrist für ein einheitliches Datenschutzrecht in der Europäischen Union. Die Datenschutzgrundverordnung ersetzt am 25. Mail 2018, nach der Umsetzungsfrist, nationale Datenschutzgesetze und führt zur Unanwendbarkeit noch geltender nationaler Reglungen.

Die Einführung der neuen Verordnung hat nicht nur Konsequenzen im öffentlichen Sektor, sondern auch für jedes Unternehmen, welches personenbezogene Daten eines EU-Staatsangehörigen verarbeitet, unabhängig vom Standort des Unternehmens. Möglich ist dies durch den in Artikel 3 Absatz 2 Datenschutzgrundverordnung beschriebenen Anwendungsbereich. Im Zuge der Digitalisierung werden Tag für Tag personenbezogene Daten gesammelt, gespeichert und verarbeitet. Meist erfolgte die Verarbeitung auf Servern, die sich nicht im EU-Ausland befinden. Trotz einer einheitlichen europäischen Datenschutzrichtlinie, weisen die nationalen Datenschutzgesetzte erhebliche Unterschiede zwischen den Mitgliedsstaaten auf, obwohl die Zentrale Aufgabe des Datenschutzrechts, nämlich die Aufgabe personenbezogenen Daten zu schützen, im Zeitalter der Digitalisierung zunehmend bedeutsamer wird. Es geht hierbei um ein Grundrecht. Das Recht auf Informelle Selbstbestimmung jedes Einzelnen. Resultierend aus den Aufgaben der Verordnung, gewinnt der betriebliche Datenschutz zukünftig enorm an Gewicht. Folglich kommt es zu einer betriebsinterne Neudefinierung des Datenschutzes. Die Datenschutzverordnung bringt eine Reihe von komplexen Aufgaben mit sich. Diese Aufgaben stellen Handlungsanforderungen, die über die Organisationsgrenzen hinausgehen und das Ziel der Nachweisfähigkeit einer rechtmäßigen Verarbeitung von personenbezogenen Daten verfolgen. Die Geschäftsleitung eines Unternehmens, welche, im Sinne der Verordnung, als Verantwortlicher benannt wird, haftet für den Datenschutz im eigenen Unternehmen sowie für alle anderen Unternehmen, die im Auftrag personenbezogene Daten verarbeiten. Die Umsetzung der gegebenen Maßnahmen erfordert ein direktes und unverzügliches Handeln. Die Verordnung definiert beispielsweise die Verantwortung des Verantwortlichen neu. Die Verantwortung der Geschäftsleitung erstreckt sich von der Planung über die Umsetzung bis hin zur Kontrolle und Optimierung. Des Weiteren wird auf Elemente etablierter Managementsysteme, mit dem Ziel der Einhaltung der Verordnung, zurückgegriffen. Eine systematische Herangehensweise ist nur durch die Einführung eines Datenschutzmanagementsystems gewährleistet. In einem solchen Datenschutzmanagementsystem könnten alle Kernprozesse Zielorientiert abgearbeitet werden.

Es gibt eine Vielzahl an etablierten Managementsystemen in Unternehmen, die von verschiedenen Organisationen und Verbänden standardisiert und zertifiziert werden. Welcher der bestehenden Standards für ein Managementsystem am geeignetsten wäre, um die Aufgaben der Datenschutzgrundverordnung umzusetzen und daraus ein Datenschutzmanagementsystem für ein Unternehmen zu entwickeln wird in dieser Arbeit untersucht.

1.2 Ziel und Aufbau der Arbeit

Bei der Erarbeitung einer Lösung für die im vorigen Abschnitt 1.1 formulierte Problemstellung, wird folgende Zielsetzung verfolgt, Kostenminimale Erfüllung der Anforderungen aus der Datenschutzgrundverordnung. Das heißt, bei allen in den folgenden erarbeiteten Lösungen werden immer Kostenminimale Ansätze bevorzugt.

Bevor die konzeptionelle Erstellung des Datenschutzmanagementsystems erfolgt, werden in Kapitel 2 zunächst für die anstehende Entwicklung notwendige Grundlagen einleitend erklärt. Des Weiteren wird in Kapitel 2 das Verständnis über den Datenschutz dargelegt um anschließend die Entwicklung des Datenschutzrechts und die Anwendungsgebiete der Datenschutzgrundverordnung aufzuzeigen.

In Kapitel 3 wird Anwendung der Nutzwertanalyse erläutert und anschließend in die Methodik der Arbeit eingeführt. Vorhandene Standards werden daraufhin recherchiert, um durch die Durchführung der dargelegten Nutzwertanalyse, ein geeigneten Standard für Managementsysteme zu ermitteln.

Nachdem in Kapitel 2 und 3 die notwendigen Arbeiten geleistet wurden, um die Wichtigkeit eines Managementsystems für die Umsetzung der Aufgaben aus der Datenschutzgrundverordnung zu verdeutlichen und ein geeignetes Managementsystem durch die Anwendung der Nutzwertanalyse zu ermitteln, werden in Kapitel 4 die notwenigen Schritte getätigt, um die Aufgaben der Datenschutzgrundverordnung in das ermittelte Managementsystem zu Überführen und daraus ein Datenschutzmanagementsystem zu konzipieren. Dazu wird das Datenschutzmanagementsystem in die Elemente Datenschutzorganisation und Datenschutzprozesse unterteilt um strukturelle und prozessuale Aufgaben zu identifizieren und umzusetzen.

2 Grundlagen

2.1 Datenschutz

In diesem Kapitel werden die für die weitere Diskussion notwendigen Grundlagen einleitend beschrieben, das heißt wesentliche Begriffe werden definiert und diskutiert. In diesem Abschnitt wird zunächst die Bedeutung und Entwicklung des Datenschutzrechts geklärt, um aufzuzeigen welche Werte diese befolgen.

Beim Datenschutz geht es um das Recht auf Informelle Selbstbestimmung jedes Einzelnen Menschen in der Bundesrepublik Deutschland, welches durch das Bundesverfassungsgericht (BVerG) im Rahmen des Volkszählungsurteils vom 15. Dezember 1983 zum Grundrecht erklärt wurde. Das Urteil wurde nötig, da bis zu diesem Zeitpunkt der Schutz der Privatsphäre abhängig von dem Charakter der Information war. Grundsätzlich war der Zugriff auf persönlichen Daten durch Dritte erlaubt. Bei der Volkszählung kam die Erkenntnis, dass im Rahmen der technischen Möglichkeiten, Daten zu Personen zugeordnet werden können.^[2]

Das Recht auf informelle Selbstbestimmung folgt aus dem Recht jedes Einzelnen auf die freie Entfaltung seiner Persönlichkeit und der Unantastbarkeit der Würde eines Menschen, die im Grundgesetzt in Art. 2 Abs. 1 in Verbindung des Art.1 Abs1 verankert sind.^[3] Durch das Recht auf Informelle Selbstbestimmung hat jede Person die Möglichkeit grundsätzlich selbst zu entscheiden welche Unternehmen, in welchen Zeitraum und in welchem Umfang, Daten die eigene Person betreffen erheben, verarbeiten oder nutzen darf. Das heißt im Zentrum steht die Erhebung, Verarbeitung und Nutzung von sogenannten personenbezogenen Daten. Personenbezogene Daten, im Sinne des § 3 Abs. 1 BDSG, wären beispielsweise Einzelangaben wie Name, Anschrift oder religiöse Zugehörigkeit. Die Macht über eigene Daten zu entscheiden, obliegt den Einzelnen und darf nicht von einem Dritten unterbunden oder missbraucht werden.

Gemäß §3 Abs. 4 BDSG umfasst die Verarbeitung, das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Des Weiteren unterscheidet der Gesetzgeber nicht zwischen den Begriffen Verarbeitung und Nutzung. Folglich bildet der Datenschutz, das Grundrecht auf Informelle Selbstbestimmung. Das heißt, dass jeder einzelne Bürger über die Freiheit seiner eigenen Daten verfügt.

Der Schutz des Grundrechts auf informelle Selbstbestimmung wird durch das Bundesdatenschutzgesetz (BDSG) und den 16 Landesdatenschutzgesetzen (LDSG) in Deutschland geregelt. Daneben existieren in Deutschland 18 weitere Gesetze und Regelungen^[4], wie beispielsweise das Strafgesetzbuch oder das Telekommunikationsgesetz, die den Schutz personenbezogenen Daten betreffen.^[5] Dabei gilt das sogenannte „Lex specialis“ Prinzip, wonach die spezifischen Regelungen Vorrang gegenüber den allgemeinen Vorgaben der Landes- und Bundesdatenschutzgesetze hat. Grundsätzlich gelten die Datenschutzgesetzte sowohl für Behörden als auch für Unternehmen. Selbst Privatpersonen unterliegen gemäß § 2 Abs.4 BDSG dem Datenschutz.

Datenschutz ist eng mit dem Thema Informationssicherheit verbunden, daher erscheint es an dieser Stelle zielführend, diese Begriffe klar voneinander abzugrenzen. Unter Informationssicherheit versteht man den adäquaten Schutz von allen Informationen. Informationen sind in diesem Sinne, wichtige, sensible Werte für Unternehmen, die demzufolge durch technischen und organisatorischen Maßnahmen zu schützen sind.^[6] Technische Maßnahmen sind zum Beispiel Mittel, die zum physischen Schutz von IT- Systems dienen. Organisatorische Maßnahmen dagegen umfassen beispielsweise Handlungsanweisungen innerhalb von Unternehmen.^[7] Der Schutz von Informationen wird in Deutschland durch das Informationstechnik-Sicherheitsgesetz geregelt.

2.2 EU-Datenschutzgrundverordnung

Nachdem im vorigen Abschnitt 2.1, Datenschutz, der „Datenschutz“ erklärt wurde, nämlich das Grundrecht des Einzelnen selbst über die Verarbeitung seiner persönlichen Daten zu entscheiden, sowie die daraus entstehenden rechtlichen Reglungen des Datenschutzrecht in Deutschland, erläutert wurden, wird im folgenden Abschnitt auf die wesentlichen Meilensteine in der Entwicklung des Datenschutzrechts in Europa eingegangen. Zusätzlich wird der Anwendungsbereich der Datenschutzgrundverordnung erläutert und die Wichtigkeit der Grundsätze, mit der Pflicht der Einhaltung, erklärt.

Der bedeutsamste Meilenstein, auf europäischer Ebene, stellte die sogenannte EU- Datenschutzrichtlinie des Europäischen Parlaments und des Rates vom 25. Oktober 1995 dar. Eine Richtlinie fordert von den Mitgliedsstaaten der EU, gemäß Art. 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV), die Umsetzung eines Ziels, jedoch überlässt Sie freie Gestaltungsmöglichkeit bei der Wahl der Form und der Mittel. Die Datenschutzrichtlinie verfolgte das Ziel einen einheitlichen Rechtsrahmen im europäischen Datenschutzrecht zu schaffen. Allerdings fand die Richtlinie in der Umsetzung, bedingt durch die Gestaltungsmöglichkeit der entsprechenden Gesetze und Vorschriften in den jeweiligen Mitgliedsstaaten, keine einheitliche Harmonisierung des Datenschutzrechts in Europa. Die nicht Erreichung des Ziels aus der Datenschutzrichtlinie, führte infolgedessen zum Erlass einer Verordnung für den Datenschutz seitens der Europäischen Gemeinschaft. Eine Verordnung wiederum hat, gemäß Art. 288 AEUV, „Durchgriffswirkung“ in den Mitgliedsstaaten. Sie gilt in Ihrer Gänze und ohne bedarf keine Transformation in nationale Gesetze. Des Weiteren gehen grundsätzlich EU-Verordnungen, Rechtsvorschriften einzelner Mitgliedstaaten, vor. Sofern die Datenschutzgrundverordnung nicht ausdrücklich durch eine Öffnungsklausel nationales Recht ermöglicht, wird nationales Recht verdrängt.

Die aus der Datenschutzgrundverordnung resultierenden Aufgaben werden detailliert in Kapitel 4 dieser Arbeit behandelt. An dieser Stelle wird zunächst auf den Anwendungsbereich im nicht öffentlichen Sektor Bezug genommen. Zusätzlich werden die Stützpfeiler der Verordnung aufgezeigt.

Die Datenschutzgrundverordnung ist, im Sinne des Art. 3 DSGVO, von Unternehmen einzuhalten, die Ihren Sitz in der EU haben, unabhängig davon, wo die Daten letztendlich auf der Welt verarbeitet werden. Unternehmen werden in der Datenschutzgrundverordnung, abhängig Ihrer Rolle bei der Verarbeitung, in Verantwortliche und Auftragsdatenverarbeiter unterteilt. Definiert werden die beiden Begriffe in Art. 4 Nr.7 und Nr.8 DSGVO. Demnach ist die Geschäftsleitung eines Unternehmens bei direkter Verarbeitung von personenbezogenen Daten als „Verantwortlicher“ definiert. „Auftragsdatenverarbeiter“ hingegen sind Unternehmen, die Daten im Auftrag des Verantwortlichen verarbeiten. Die wichtigste Änderung beim Anwendungsbereich der Verordnung ist die Ausdehnung auf Personen, die sich in der EU befinden. Das heißt, im Mittelpunkt stehen nicht nur Unternehmen, sondern erstmalig Personen, deren Daten zu schützen gilt. Pauschal betrachtet gilt das europäische Gesetz für jedes Unternehmen, welches Daten von Personen verarbeitet, die sich in der EU befinden. Ganz egal zu welchem Zweck, in welchen Maß und/oder aus welchem Land, personenbezogene Daten verarbeitet werden. Mit dieser Reglung werden alle bisherigen Rechtfertigungsgründe der Verarbeitung, aus dem nicht EU Ländern, ausgehebelt.

Nach der Bestimmung des Anwendungsbereichs der Grundverordnung, nämlich alle Unternehmen, die personenbezogene Daten von Personen in der EU verarbeiten, folgt eine Verdeutlichung der Grundsätze, auf denen sich die Datenschutzgrundverordnung, stützt. Benannt werden diese in Art. 5 Abs. 1 DSGVO und können aus Abbildung 1, Grundsätze der Verarbeitung personenbezogener Daten, entnommen werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 Grundsätze der Verarbeitung personenbezogener Daten

Die Datenschutzgrundverordnung verlangt eine rechtmäßige Verarbeitung der Daten nach Treu und Glauben. Eine Rechtmäßigkeit liegt nur dann vor, wenn der Betroffene beispielsweise seine ausdrückliche Einwilligung erteilt oder die Verarbeitung zum Erfüllen von einem Vertrag notwendig ist. Der Appell, die Daten nach „Treu und Glauben" zu verarbeiten, soll das gegenseitige Vertrauensverhältnis zwischen den Verantwortlichen und den Betroffenen schützen. Gestärkt wird das Verhältnis durch die geforderte Transparenz in der Verarbeitung. Diese ermöglicht, dass alle Informationen leicht zugänglich und verständlich zugänglich sind. Des Weiteren sollen zukünftig personenbezogene Daten lediglich zweckgebunden verarbeitet werden. Zusätzlich regelt der Grundsatz der Datenminimierung, eine Beschränkung auf das für den Zweck der Verarbeitung notwendige Maß. Daten bedürfen der sachlich richtigen Führung und müssen auf Wunsch des Betroffenen unverzüglich gelöscht oder berichtigt werden. Auch die Speicherbegrenzung darf höchstens so lange gewährleistet sein, wie es für die Verarbeitungszwecke erforderlich ist. Abschließend fordert der Grundsatz der Integrität und Vertraulichkeit geeignete technische und organisatorische Maßnahmen (TOM), die zum angemessenen Schutz der Daten, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung, beitragen.^[8]

Die Einhaltung der Grundsätze ist als Grundvoraussetzung für Unternehmen anzusehen und wird mittels „Accountability”, im deutschen Rechenschaftspflicht, sichergestellt. Hinter dieser Funktion befindet sich, die Überprüfbarkeit der Verantwortung seitens der Geschäftsleitung.^[9] Die Überprüfbarkeit der Verantwortung soll, gemäß Art. 24 Abs. 1 DSGVO, durch geeignete Maßnahmen nachweisbar sichergestellt werden. Alle getroffenen Maßnahmen müssen durch die Geschäftsleitung regelmäßig überprüft und aktualisiert werden.

Die Geschäftsleitung eines Unternehmens hat zusätzlich dafür Sorge zu tragen, dass die Grundsätze der Verordnung sowohl im eigenen Unternehmen als auch bei allen Auftragsdatenverarbeitern, die im Auftrag der Geschäftsleitung personenbezogene Daten verarbeiten, zwingend eingehalten werden. Diese Verantwortung muss zudem mittels Dokumentation nachgewiesen werden. Falls dies nicht erfolgt, drohen, gemäß Art. 82 DSGVO, den Verantwortlichen wie auch den Auftragsdatenverarbeiter erhebliche Strafen, die sich bis zu 4% des Weltweiten Gesamtumsatzes, jedoch mindestens in Höhe von 20 Millionen Euro betragen In Bezug auf die Datenschutzgrundverordnung ist festzuhalten, dass die Verordnung, komplexe Handlungsanforderungen über Organisationsgrenzen hinweg, mit dem Ziel der Nachweisfähigkeit, im Hinblick auf eine rechtmäßige Verarbeitung personenbezogener Daten, definiert. Sie verpflichtet die Geschäftsleitung zum Einhalten der Grundsätze im eigenen sowie in beauftragten Unternehmen. Bei Nichteinhaltung drohen hohe Sanktionen. Die Vorgehensweise der Rechenschaftspflicht ist in der Datenschutzgrundverordnung klar definiert und muss systematisch und kontinuierlich befolgt werden. Unternehmen müssen geeignete Maßnahmen einrichten, die Ihre Verantwortung Überprüfbar macht. Zusätzlich sollen diese Maßnahmen immerzu geprüft und aktualisiert werden.^[10] Die Tabelle 17 Übersicht Datenschutzgrundverordnung, zeigt im Anhang B eine Übersicht der Artikel der Datenschutzgrundverordnung mit entsprechender Kennzeichnung, ob der Artikel der Datenschutzverordnung Auswirkung auf Unternehmen hat.

Die Datenschutzgrundverordnung greift auf Elemente und Instrumente eingerichteter Managementsysteme zurück, wie zum Beispiel, in Form der „Accountability“ des Verantwortlichen oder einen kontinuierlichen Verbesserungsprozess bei eingerichteten Maßnahmen, die die Einhaltung der Grundsätze nachweisen soll. Folglich ist daraus zu schließen, dass die Datenschutzgrundverordnung die Implementierung eines Managementsystems in Unternehmen zwingend fordert.

2.3 Managementsysteme

Im vorigen Abschnitt 2.2, Datenschutzgrundverordnung, wurde auf den Anwendungsbereich der Verordnung Bezug genommen, um die Verantwortung der Geschäftsleitung klar zu verdeutlichen. Zusätzlich wurden bestehende Verpflichtungen, mit dem Ziel der Einhaltung der Verordnung und ihrer Grundsätze, erläutert. Die Geschäftsleitung ist zum Einhalten der Verordnung im eigenen und beauftragten Bereich verantwortlich und muss diese aufgetragene Verantwortung, mittels Dokumentation, nachweisen. Um die eigene Verantwortung Überprüfbar zu machen, fordert die Datenschutzgrundverordnung die Nutzung eines Managementsystems im Unternehmen, Im folgenden Abschnitt wird die Funktion eines Managementsystems erläutert, um ein einheitliches Verständnis über die Funktion des Managementsystems für die weitere Diskussion, zu führen.

Um den Begriff „Managementsystem“ besser verstehen zu können muss zunächst das Wort „Managementsystem“ in seinen einzelnen Wortelementen „Management“ und „System“ zerlegt werden.

Unter Management versteht man, das Erreichen gesetzter Ziele mittels Hebel, unter Berücksichtigung externer Einflüsse. Der Hebel stellt hierbei ein synonym für Lenkung und Steuerung dar. Unter System hingegen versteht man, ein Gebilde aus mehreren miteinander verknüpften Elementen, welches sich auf der einen Seite von der Umwelt abgrenzt jedoch auf der anderen Seite den Austausch pflegt. Koordiniert wird das Zusammenspiel intern zwischen den Elementen der Einheit und extern zwischen Element und Umwelt durch entsprechende Steuerungsfunktionen.^[11]

Diese sperrige Definition aus der Literatur lässt nur Platz für wage Vermutungen über die Aufgabe und die Funktion eines Managementsystems im Unternehmen. Pragmatisch definiert beinhaltet ein Managementsystem im Unternehmen, eine Gruppe von Personen, die gemeinsam Arbeitsprozesse abarbeitet. Folglich versteht man unter Management eine Gruppe von Personen und unter System, Arbeitsprozesse.

3 Überblick und Auswahl eines Standards für Managementsystem

3.1 Einführung in die Nutzwertanalyse

Nachdem in Kapitel 2, Grundlagen, die für die weitere Diskussion notwendigen Grundlagen dargelegt wurden, wird in Kapitel 3 unter Anwendung der Nutzwertmethode ein Standard für ein Managementsystem ausgewählt. In diesem Abschnitt wird zunächst in die Methodik eingeführt. Bestandteile der Nutzwertmethode werden erklärt, um anschließend eine Nutzwertanalyse durchzuführen.

Ziel der Nutzwertanalyse ist die Bestimmung des am besten geeigneten Standards für ein Managementsystem. Bei der Nutzwertwertmethode handelt es sich um ein nicht monetäres Bewertungsverfahrung aus dem Bereich der Entscheidungstheorie und dient als Hilfestellung für die Entscheidungsfindung.^[12] Bei der Nutzwertanalyse werden Alternativen der Lösung gegenübergestellt und durch Erfüllung bestimmter Kriterien benotet. Zusätzlich werden die einzelnen Kriterien nach ihrer Bedeutung gewichtet. Damit erreicht man ein differenziertes Bewertungsbild.^[13]

Die Vorgehensweise der Nutzwertanalyse unterteilt sich in mehreren teilschritten. Begonnen wird mit der Organisation des Arbeitsumfelds. In dieser Phase geht es um die reine Organisation. Der Moderator und die Teilnehmer werden bestimmt und eine entsprechende Zeit wird festgelegt. An die Organisation schließt die Benennung des Entscheidungsproblems an. Hier wird das Problem konkret angesprochen. Alle aus dem Problem stammenden Vor- und Nachteile werden aufgedeckt, um die Teilnehmer auf einen Stand zu bringen. Anschließend werden die Alternativen, die zur Entscheidung stehen erläutert. Es wird auf die Alternativen eingegangen und in einer Vorauswahl werden mögliche Alternativen bereits gestrichen oder gar ergänzt. Danach erfolgt eine Sammlung von Kriterien, die für das Entscheidungsproblem von Bedeutung sind. Die Kriterien sollten in Ihrer Gänze die Zielsetzung des Problems und dessen Handlungsrahmen beschreiben. Im Anschluss werden die Kriterien Gewichtet. Die Gesamtsumme des Gewichts beträgt 100%. Somit wird müssen alle Kriterien ihr Gewicht in diesen Rahmen finden. Bei zu vielen Kriterien besteht die Möglichkeit die Kriterien in Gruppen aufzuteilen und diese dann zu gewichten. Alternativ kann man auch mit Hilfe einer Paarvergleichsmethode die Kriterien zu Beginn miteinander vergleichen und die wichtigsten Kriterien filtern. Unabhängig von dem Gewicht erfolgt die Bewertung der Kriterien, mittels einer vorgegebenen Skala. Nach dem die Punkte aus der Bewertung feststehen, folgt die Nutzwertberechnung. In diesem Schritt wird das Gewicht mit der Bewertung multipliziert. Die Summe ergibt das Ergebnis der Nutzwertanalyse. Um Wahrnehmungsverzerrungen bei der Bewertung oder Gewichtung der Kriterien auszuschließen, kann das Ergebnis einer Sensibilitätsprüfung unterzogen werden. Hierbei werden die beiden Größen variiert, um herauszufinden, ob sich die Nutzwerte der Handlungsalternativen verändern. Abschließend sollten alle Schritte der Nutzwertanalyse dokumentiert werden.^[14]

Bei der folgenden Durchführung der methodischen Nutzwertanalyse, zur Identifizierung eines geeigneten Standards für Managementsysteme, werden nicht alle Schritte durchgeführt. Das Arbeitsumfeld muss in dieser Arbeit nicht organisiert werden, da es im Folgenden keine Moderation und keine Teilnehmer geben wird. Des Weiteren entfällt die Benennung des Problems. Das Problem ergibt sich aus den vorigen Kapiteln, nämlich die Ermittlung eines Standards für Managementsysteme. Da die Analyse ohne Teilnehmer durchgeführt wird, entfällt somit auch die Sensibilitätsprüfung. Die Dokumentation ist durch die schriftliche Ausführung dieser Arbeit sichergestellt.

3.2 Identifizierung eines vorhandenen Standards

Nachdem im vorigen Abschnitt 3.1, Einführung in die Nutzwertanalyse, die Methodik der Nutzwertanalyse aufgezeigt wurde, um eine Voraussetzung für die weitere Anwendung zu schaffen, folgt in diesem Abschnitt die Identifizierung eines Standards für Managementsysteme.

Standards werden von unabhängigen aber anerkannten Normungsorganisationen festgelegt. Normungsorganisationen legen Standards auf nationaler-, europäischen-, und internationaler Ebene fest. Beispielsweise befinden sich auf internationaler Ebene Mitglieder aus über 150 Staaten. Diese legen gemeinsam Standards für einen bestimmten Bereich fest.^[15] Die bekannteste nationale Stelle für Standards ist die „Deutsches Institut für Normung", kurz „DIN". Eine bekannte Internationale Organisation hingegen ist die „International Organization for Standardization" kurz „ISO". Daneben existieren weitere branchenspezifische Standards.

Bei Standards geht es um ein Dokument, welches als Ziel die Errichtung von Kontrollpunkten im Unternehmen verfolgt. Kontrollpunkte dienen als Hilfestellung bei der Einhaltung von Gesetzen und Reglungen. Unter Kontrollpunkte versteht man einen bestimmten Punkt, an dem man festgelegte Kriterien überprüfen kann. Folglich bieten Standards dem Management, eine Hilfestellung für die Erfüllung von beispielsweise gesetzlichen Auflagen. Eingeordnet werden Standards in vier Kategorien. Regulatorische-, Industrie-, Organisatorisch- und Personal-Standards. Unter Regulatorischen Standards werden gesetzliche Vorgaben standardisiert. Industrie­Standards sind eher technische Standards und werden selbst von der Industrie vergeben. Organisatorische-Standards helfen bei der Zielerreichung von Unternehmen, wobei der Personal-Standards ein eigener lebenserleichternder Standard ist und als nicht offizieller Standard zu verstehen ist.^[16]

Sehr oft wird der englische Begriff „Best Practice“ mit Standards in Verbindung gebracht. „Best Practice“ beschreibt praxisorientiere Arbeitsabläufe zu bestimmten Problemstellungen im Unternehmen. Unter Arbeitsabläufe werden Prozesse verstanden, die einen lösungsorientierten Ablauf der Arbeit ermöglichen. Die Beschreibung von Arbeitsabläufen stellt jedoch kein Standard dar.^[17] Demzufolge sind „Best Practice” Lösungsansätze keine Standards.

Nachdem das Verständnis für Standards darlegt wurde, wird im weiteren Verlauf nach einem geeigneten Standard für Managementsysteme recherchiert. Dabei wurde in mehreren Datenbanken sowie in der Literatur recherchiert.

Konkret beginnt die Recherche in den Online Datenbanken der ISO. Die ISO bietet auf Ihrer Webseite^[18] einen Online Katalog. Dieser Katalog verfügt über 20186 Standards. Eine Eingrenzung kann durch die Suchfunktion, mittels Schlagwörter, erfolgen. Schlagwörter wie, Managementsystem, Datenschutz, Datensicherheit, Compliance, Informationssicherheit, Informationstechnik und Risikobasierter Ansatz sorgen für eine Eingrenzungen. Ergänzend zur ISO Datenbank wurde in der Datenbank des Berliner Beuth Verlags recherchiert. Der Beuth Verlag vertreibt, als Tochterunternehmen von der DIN, nationale und internationale Standards.^[19] Des Weiteren wurde in der Literatur nach Standards recherchiert.^{[20] [21] [22]}

In der Tabelle 1, Geeignete Standards, sind die Ergebnisse der Recherchen vollständig dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1 Geeignete Standards

Die in der obigen Tabelle 1 aufgelisteten Standards sind als Entscheidungsalternativen für die Nutzwertanalyse in Betracht zu ziehen.

3.3 Sammlung von Entscheidungskriterien

Nachdem im vorigen Abschnitt 3.2, Identifizierung eines vorhandene Standards, mittels unterschiedlicher Recherche sieben geeignete Standards, die in der Tabelle 1 aufgeführt sind, als Entscheidungsalternativen für die Nutzwertanalyse ermittelt wurden, erfolgt in diesem Abschnitt die Eliminierung von einigen Entscheidungsalternativen sowie die Sammlung von Entscheidungskriterien.

Bevor die Entscheidungskriterien gesammelt werden, besteht die Möglichkeit Entscheidungsalternativen, bereits im Rahmen einer Vorauswahl, zu eliminieren.^[23] Dieser Schritt dient als Hilfestellung, damit am Ende lediglich die wesentlichsten Entscheidungsalternativen betrachtet werden. Für die Vorauswahl sind zunächst inhaltliche Kriterien entscheidend. In der Tabelle 2, Inhaltliche Kriterien, werden Kriterien genannt. Des Weiteren erfolgt in der Tabelle 2 eine kurze inhaltliche Erklärung. Die ermittelten Kriterien dienen als Entscheidungskriterium für eine mögliche Eliminierung eines Standards im Rahmen der Vorauswahl.^[24]

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2 Inhaltliche Kriterien

Die inhaltlichen Kriterien helfen im Vorfeld bei der Eliminierung von Standards. In der Tabelle 3, Ausgeschlossene Standards, werden Standards aufgeführt, die unter Verwendung der inhaltlichen Kriterien ausgeschlossen wurden. Eine Begründung zur Entscheidung befindet sich ebenfalls in der Tabelle 3.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 3 Ausgeschlossene Standards^{[25] [26] [27]}

Durch die Anwendung der inhaltlichen Kriterien können bereits im Vorfeld einige Standards ausgeschlossen werden. Die Tabelle 4 Entscheidungsalternativen, Entscheidungsalternativen, werden die für die Nutzwertanalyse relevanten Standards aufgelistet. Des Weiteren werden die Standards in der Tabelle 4 kurz inhaltlich beschrieben.

[...]

---

^[1] Capgemini (2016), S. 6-11

^[2] Vgl. Schwenke (2006), S. 70

^[3] Vgl. Gola, et al. (2016), S. 8

^[4] Vgl. Anhang A, Tabelle 16, S. 42

^[5] Vgl. Schwartmann, Lamprecht-Weißenborn (2010), S. IX

^[6] Vgl. BSI-Standard 100-1 (2008), S. 5

^[7] Vgl. Klpker, Pfell (2016), S. 810

^[8] Vgl. Datenschutzgrundverordnung (2016), S. 22

^[9] Vgl. Datenschutzgruppe (2010), S. 8

^[10] Vgl. Anhang B, Tabelle 17, S. 43

^[11] Vgl. Honegger (2013), S. 32

^[12] Vgl. Hoffmeister (2008), S. 278

^[13] Vgl. Gomez, Probst (2007), S. 175

^[14] Vgl. Kühnapfel (2014), S. 5-21

^[15] Vgl. Mertens (2001), S. 435

^[16] Vgl. Cannon (2011), S. 10

^[17] Vgl. Cannon (2011), S. 10

^[18] Vgl. ISO (2016) [online] http://www.iso.org/iso/home/store/catalogue ics.htm [Zugriff: 21.11.2016]

^[19] Vgl. Beuth Verlag (2016) [online] http://www.beuth.de/de [Zugriff: 21.11.2016]

^[20] Vgl. Loomans, et al. (2014), S. 33

^[21] Vgl. Klipper (2015), S. 31-43

^[22] Vgl. Kersten, et al (2008), S. 27-44

^[23] Vgl. Kühnapfel (2014), S. 7

^[24] Vgl. Loomans, et al. (2014), S. 24, 25

^[25] Vgl. Loomans, et al (2010), S. 3

^[26] Vgl. COBIT 5 (2010), S. 15

^[27] Vgl. BSI-Standard 100-1, (2008), S. 7