Datenschutz-Management-System
Auch: DSMS · Datenschutzmanagementsystem
Ein Datenschutz-Management-System (DSMS) ist die Gesamtheit aller organisatorischen Regelungen, Prozesse, Zuständigkeiten und Dokumente, mit denen ein Maklerunternehmen den dauerhaften und nachweisbaren Schutz personenbezogener Daten sicherstellt. Es bündelt einzelne Datenschutzmaßnahmen zu einem strukturierten, wiederholbaren System statt Einzelaktionen.
Ausführliche Erklärung
Während Einzelmaßnahmen wie eine Datenschutzerklärung oder ein Löschkonzept punktuelle Pflichten erfüllen, sorgt ein DSMS dafür, dass Datenschutz im Maklerbüro strukturell verankert und dauerhaft aktuell gehalten wird. Für ein Maklerunternehmen umfasst ein funktionierendes DSMS typischerweise folgende Bausteine:
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) als zentrales, laufend gepflegtes Dokument aller Datenverarbeitungen (Interessenten, Eigentümer, Mitarbeiter, Bewerber, Lieferanten).
- Klare Verantwortlichkeiten, insbesondere Benennung und Einbindung eines Datenschutzbeauftragten (sofern erforderlich) sowie eines internen Datenschutzkoordinators.
- Dokumentierte Richtlinien für die häufigsten Prozesse: Umgang mit Interessentendaten, Bonitätsprüfungen, Aktenvernichtung, CRM-Nutzung, mobile Endgeräte, Home-Office.
- Schulungskonzept für Mitarbeitende, insbesondere neue Kollegen, mit regelmäßiger Auffrischung.
- Prozess für Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Widerspruch) mit klaren Fristen und Zuständigkeiten.
- Meldeprozess für Datenschutzverletzungen ("Data Breach"), inklusive der 72-Stunden-Meldefrist an die Aufsichtsbehörde (Art. 33 DSGVO).
- Regelmäßige Audits zur Überprüfung, ob die dokumentierten Prozesse tatsächlich gelebt werden.
- Verträge zur Auftragsverarbeitung mit allen relevanten Dienstleistern (CRM, Cloud, Portale, Fotografen).
Ein DSMS muss nicht zwingend ein zertifiziertes System (etwa nach ISO 27701 oder einem Prüfstandard) sein – für die meisten Maklerbüros genügt ein pragmatisches, gut dokumentiertes internes Regelwerk, das im Zweifel gegenüber der Aufsichtsbehörde die Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) belegt. Größere Maklerhäuser oder Franchise-Organisationen setzen zunehmend auf standardisierte, softwaregestützte DSMS-Lösungen, die Fristen, Verarbeitungsverzeichnis und Schulungsnachweise zentral verwalten.
Beispiel aus der Praxis
Eine Maklerkette mit mehreren Standorten führt ein zentrales DSMS ein: Eine Software verwaltet das Verarbeitungsverzeichnis aller Standorte, erinnert automatisch an Löschfristen für Interessentendaten, dokumentiert abgeschlossene Mitarbeiterschulungen und hält alle Auftragsverarbeitungsverträge revisionssicher vor. Bei einer Anfrage der Landesdatenschutzbehörde kann die Geschäftsführung binnen Stunden alle relevanten Nachweise vorlegen.
Rechtsgrundlage
- Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht, die den Nachweis der Einhaltung der Grundsätze verlangt.
- Art. 24 DSGVO – Pflicht des Verantwortlichen, geeignete technische und organisatorische Maßnahmen umzusetzen und nachzuweisen.
- Art. 30 DSGVO – Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten als Kernbestandteil des DSMS.