Datenschutz DIN SPEC 32789

Datenschutzbeauftragtenfinden.de Wissensartikel

DIN SPEC 32789: So setzen Sie Mindeststandards im Datenschutz

Hier erhalten Sie Informationen über die neue DIN SPEC 32789.

Folgende Fragen stellen Sie sich sicherlich beim Erstkontakt mit der Datenschutz DIN SPEC 32789. Wie gut und nachhaltig ist Ihr Basis Datenschutz Konzept (BDK)? Was sind Standards und Anforderungen für eine Zertifizierung? Was bringt so eine „DIN SPEC 32789“-Zertifizierung für Ihren Betrieb? Viele Fragen tauchen bei dem Thema Datenschutz DIN auf, hier erhalten Sie die Antworten.

Inhaltsverzeichnis

Viele Unternehmen geben heute an, über ein Basis Datenschutz Konzept (BDK) zu verfügen. Das stimmt sicherlich, auch wenn dies noch nichts darüber aussagt, wie das BDK umgesetzt und gelebt wird. Die Spannbreite ist dennoch sehr unterschiedlich. BDK bedeutet in einem Betrieb, Datenschutz und Informationssicherheit trotz allen anderen Compliance-Anforderungen zu gewährleisten. Der andere Betrieb versteht darunter ein ganzheitliches BDK, das Verhältnisse (Strukturen und Prozesse) und das Verhalten des Einzelnen im Blick hat. Diesen unterschiedlichen Interpretation wirkt die DIN SPEC 32789 mit Standards für das Basis Datenschutz Konzept entgegen.

Entstehung der DIN SPEC 32789

Um das eigene BDK hervorzuheben, gibt es verschiedene Awards und Zertifikate, die alle sehr unterschiedliche Kriterien heranziehen. 2020 wird durch anerkannte Experten aus Wirtschaft, Wissenschaft und Forschung ein normatives Dokument entwickelt, in dem Mindeststandards für Datenschutz definiert wurden. Mit diesen allgemein akzeptierten Standards wird das vor allem DSM in Ihrem Betrieb qualitativ messbar. Solche Standards gibt es beispielsweise im Arbeitsschutz mit der ISO 27001 schon lange. Die DIN SPEC 32789 wurde bewusst am „Standard Datenschutz Konzept“ ausgerichtet, sodass sich die DIN SPEC 32789 in bestehende Managementsysteme integrieren lässt.

Dies klingt nun alles sehr komplex und abstrakt, besonders wenn Sie als BDK-Verantwortlicher bisher noch keine Berührung mit beispielsweise Normen und Managementsystemen hatten. Lassen Sie sich von den Begrifflichkeiten jedoch nicht abschrecken.

Was ist die DIN SPEC 32789?

Die DIN SPEC 32789 beschreibt Anforderungen an ein DSM und wurde vom Deutschen Institut für Normung herausgegeben. Sie ist eine Spezifikation und (noch) keine Norm. Eine Norm legt genau fest, was Sie von einem Produkt erwarten können, z. B., dass ein DIN-A4-Blatt exakt 21 cm x 29,7 cm groß ist und damit in jeden Drucker passt. Eine DIN SPEC ist sozusagen die Vorstufe einer Norm. Sie ist noch nicht verbindlich für alle. Ihr Unternehmen kann das DSM freiwillig danach ausrichten und sich zertifizieren lassen.

Welches Ziel verfolgt die DIN SPEC 32789?

Die DIN SPEC 32789 schafft inhaltliche, prozessbezogene und qualitative Mindeststandards für ein Datenschutzmanagement-System, und dies unabhängig von der Branche und Betriebsgröße. Sie beschreibt Anforderungen und gibt damit einen wesentlichen Orientierungsrahmen bei der Konzeption, Implementierung und Weiterentwicklung Ihres BDK. Verglichen mit einem Brettspiel ist die DIN SPEC sozusagen die Spielanleitung für ein BDK. Sie erfahren, wer mitspielt, um was gespielt wird und wie Sie das Spiel umsetzen. Um das Spiel richtig gut zu spielen, müssen Sie Mindeststandards erfüllen.

Obwohl die EU-DSGVO bereits im Mai 2018 in Kraft getreten ist und trotz drohender Bußgelder bei Datenpannen durch die Regulierungsbehörden, besteht in vielen Unternehmen in Deutschland immer noch eine mangelnde DSGVO-Konformität. Grund dafür dafür ist zum einen fehlende Transparenz in der Datenschutz(management)beratung und zum anderen mangelndes Wissen in der Umsetzung von Datenschutz gemäß EU DSGVO. Zusätzlich besteht ein Nachfrageüberhang nach Expertenwissen im Bereich der Datensicherheit, der mit einer überteuerten Datenschutzberatung einhergeht. Auch wenn (interne) Datenschutzbeauftragte bestellt wurden, dennoch herrscht aus Kundensicht das Gefühl von Überforderung und „Alleingelassen sein“ vor.

Ziel ist es, geeignete informationstechnische und organisatorische Mechanismen bereitzustellen, um Risiken, die mit der Verarbeitung personenbezogener Daten zwangsläufig einhergehen, beseitigen oder wenigstens auf ein tragbares Maß minimieren zu können.

Was bringt die Zertifizierung für Ihr Unternehmen?

Als Betriebsrat oder BDK-Verantwortlicher können Sie sich die DIN SPEC 32789 zunutze machen, vor allem wenn Sie Ihre Geschäftsführung von einem ganzheitlichen BDK überzeugen möchten. Erfüllen Sie die Anforderungen, können Sie sich durch eine Zertifizierungsstelle bewerten lassen. Das bedeutet ein gutes BDK, das nach innen und außen wirklich glänzen kann.

Vor- und Nachteile der DIN SPEC 32789

Die DIN SPEC 32789 bringt viele Vorteile mit sich: Durch die Standards entwickeln Sie nach und nach ein qualitativ hochwertiges und ganzheitliches DSM, welches nicht nur Kosten einspart, sondern auch die Kundenzufriedenheit erhöht.

Sie erwirken folglich eine positive Außenwirkung für Ihr Unternehmen – schließlich ist eine DIN SPEC eine anerkannte Größe.

Nachteil an der Ausrichtung des BDK an der DIN SPEC 32789 ist sicherlich zunächst der hohe Aufwand, bis man alle Bereiche auf den Stand der Anforderungen gebracht hat und sich durch eine Akkreditierungsgesellschaft beraten lassen kann. Zwar gibt die DIN SPEC 32789 viel Orientierung, sie macht allerdings keine Aussagen über spezifische Maßnahmen im BDK. Sie regelt nur, wie diese bedarfsgerecht ermittelt werden können. Ideenreichtum bleibt weiterhin gefragt.

Datenschutzmanagent System: Diese Aufgaben hat ein Datenschutzbeauftragter!

Was sind die wesentlichen Inhalte der DIN SPEC 32789?

Vorweg: Den vollständigen Wortlaut der DIN SPEC 32789 können Sie sich bald im Internet herunterladen. Die Spezifikation umfasst doch einige Seiten und teilt sich in mehrere Kapitel auf. Es ist absolut sinnvoll, sich zu der Spezifikation einen Leitfaden zur systematischen Umsetzung der DIN SPEC 32789 zu kaufen, wenn man sich auf eine DIN-SPEC-Zertifizierung vorbereitet.

Die DIN SPEC 32789 hat folgende wesentliche Inhalte und Nutzen, die für die Umsetzung wichtig sind:

  1. Erhöhung der Effizienz
  2. Mehr Transparenz durch klare Anforderungen
  3. Standardisierung von Datenschutzprozessen
  4. Förderung der „Datenschutzreife“
  5. Steigerung der Dokumentenqualität
  6. Einsparung von Ressourcen
  7. Standardisierter Datenschutzprozess
  8. Skalierung und Anerkennung von Expertenwissen
  9. Bildung von Interessensgruppen
  10. Abbau von Wissensgefällen
  11. Bereitstellung einer Anwendersicherheit

In der nachstehenden Übersicht erläutere ich Ihnen genauer, wie Sie die Ziele verstehen können.

 
Übersicht: Das sind die Ziele der DIN SPEC 32789 

Das Optimierungspotenzial liegt in der Vereinfachung des IT-Alltags durch vorgefertigte Prozesse zum Datenschutz

Einer nicht überschaubaren Anzahl an Beratungsleistungen zum Fachbereich Datenschutz können Sie mit unterschiedlichen Inhalten, Schwerpunkten, Vollständigkeit und Qualität durch klare Anforderungen an diese Dienstleistungen in Form eines Standards entgegen wirken.

 Es bestünde die Möglichkeit zur Vorgabe und Standardisierung von Datenschutzprozessen zur Erreichung der Zertifizierungsreife gemäß EUDSGVO. Es wäre eine “DAkkS (Deutsche Akkreditierungsstellen) – Zertifizierung” durch Stellen wie TÜV, DEKRA und andere akkreditierte Stellen möglich.

 Das Implementieren passender und relevanter Maßnahmen zur Datenschutzreife kann man fördern. Je nach Art der Organisation wirken Maßnahmen unterschiedlich in der Effektivität und Effizienz.

Zur Steigerung der Qualität von Dokumenten können Sie vorgefertigte Muster mit abgestimmten Regelungsinhalt zum Datenschutz übernehmen.

Es wäre eine Senkung der Kosten durch die Standardisierung der Datenschutzprozesse möglich. Positive Nebeneffekte könnten geringere Kosten bei den Versicherungspolicen sein.

Es findet eine Ressourceneffizienzsteigerung statt, da interne Mitarbeiter keine wissensbasierte Vorbereitung für Datenschutz benötigen, sondern ohne Expertenwissen durch den softwaregestützten Prozess geführt werden können.

Jede Organisation erhält die Möglichkeit, etablierte bzw. standardisierte Datenschutzprozesse anzuwenden.

Das Skalieren von Expertenwissen durch softwareseitiges Fortschreiben der Prozesse hilft allen teilnehmenden Organisationen, Datenschutz besser umzusetzen. Zusätzlich kann mit einer Zertifizierung die fachliche Akzeptanz von Experten im Bereich Datenschutz gewürdigt und offiziell anerkannt werden.

Kooperationen mit Verbänden und Interessensgruppen, beispielsweise dem Bundesverband Deutscher Startups, Bitkom, S.I.B.B. oder eco sind denkbar, um branchenspezifische Regelungen im Datenschutz fortzuschreiben.

Durch das Auswählen und Definieren von Prozessen sowie Maßnahmen kann man unterschiedliche Wissensstände angleichen und Datenschutz effektiver umsetzen.

Es kann eine Anwendungssicherheit im Umgang mit Datenschutzvorgaben auch für Nicht-Experten gewährleistet werden.

Geplanter Anwendungsbereich

Der geplante Standard definiert einen Prozess und Anforderungskatalog, um die rechtlichen Anforderungen der EU-DSGVO zum Schutz personenbezogener Daten umzusetzen und in einem iterativen Prozess zu überprüfen und zu aktualisieren.

Welche themenverwandten Standards, technische Regeln, Normenausschüsse, Gremien, Foren und Konsortien existieren bereits?

  • NA 043-01-27-05 AK – Identitätsmanagement und Datenschutz-Technologien
  • DIN ISO/IEC 250xx Familie – Software Engineering – Qualitätskriterien und Bewertung von Softwareprodukten
  • ISO 9126 – Qualitätsmerkmale für Software (Nachfolge-Norm ISO 25010)
  • ISO 25010 – Qualitätsmerkmale für Software, zusätzlich mit Kategorie IT-Sicherheit und Kompatibilität
  • ISO/IEC 270xx Familie – Informationssicherheit
  • EN ISO 27799 Informationsicherheitsmanagement im Gesundheitswesen gemäß ISO/IEC 27002 IT-Sicherheitsverfahren
  • ISO 9241 – Ergonomie der Mensch-System-Interaktion
  • ISO/IEC/IEEE 29119 – Software Testing
  • SDM – Standard-Datenschutzmodell der unabhängigen Datenschutzbehörden des Bundes und der Länder
  • European Data Protection Board (edpb) – DSGVO: Leitlinien, Empfehlungen, bewährte Verfahren
 

Fazit: DIN SPEC 32789 Datenschutz lohnt sich

Lassen Sie sich also bestenfalls von den Zielen nicht abschrecken. Die Zertifizierung mag trotz dem mit einigem Zeit- und Kostenaufwand verbunden sein. Dennoch bringen die neuen Standards auch Effizienz- und Kostenvorteile mit sich. Sodass die Zertifizierung nach DIN SPEC 32789 somit eine Überlegung wert ist.

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Datenschutz DIN SPEC 32789
Allgemein
Tarek Mandelartz

Datenschutz DIN SPEC 32789

DIN SPEC 32789: So setzen Sie Mindeststandards im Datenschutz Hier erhalten Sie Informationen über die neue DIN SPEC 32789. Folgende Fragen stellen Sie sich sicherlich

Mehr lesen »

Schreibe einen Kommentar