Zum Inhalt springen Zur Navigation springen
Datenschutz messbar machen – Reifegrade und Kennzahlen

Datenschutz messbar machen – Reifegrade und Kennzahlen

Artikel von Dr. Datenschutz·19. Februar 2024

Die Datenschutz-Grundverordnung stellt hohe Anforderungen an Verantwortliche und Auftragsverarbeiter bei der Verarbeitung von personenbezogenen Daten. Insbesondere für den Verantwortlichen sieht die DSGVO vor, dass dieser die Einhaltung der datenschutzrechtlichen Grundsätze nachweisen können muss. Ein Datenschutzmagagementsystem ist hierfür unverzichtbar. Durch qualitative und quantitative Messverfahren kann dessen Wirksamkeit bestimmt werden.

Messverfahren zur Bestimmung der Effektivität und des Reifegrades

In anderen Bereichen der Unternehmensorganisation sind Messverfahren bereits etabliert und gehören zum Standard, so beispielsweise im Bereich der Unternehmens-Compliance. Für den Bereich des Datenschutzes ist das Vorgehen in der Literatur noch vergleichsweise wenig beleuchtet worden und auch deutsche Aufsichtsbehörden haben das Thema bislang selten aufgegriffen.

Qualitativ oder quantitativ

Unterschieden werden muss zwischen qualitativen Messverfahren, wie der Bestimmung des (qualitativen) Reifegrades und quantitativen Messverfahren mithilfe von (Leistungs-)Kennzahlen. Beide Vorgehen dienen der Optimierung und Steuerung des Datenschutzmanagementsystems und können dabei helfen, Schwachstellen zu erkennen. Sie dienen damit dem Nachweis der sich aus Art. 24 Abs. 1 S. 2 i.V.m. Erwägungsgrund 74 DSGVO und Art. 32 Abs. 1 lit. d DSGVO ergebenden Pflicht zur kontinuierlichen Überprüfung und Verbesserung. Während es sich bei dem Reifegradmodell um ein Instrument der selbstgesetzten Bewertung und Verbesserung handelt, bei dem die „Prozessreife“ in der Regel anhand von mehreren, aufeinander aufbauenden Stufen definiert wird, besteht die quantitative Bewertung immer aus zwei Komponenten: einer Zielvorgabe und dem Grad der Erfüllung. Beide Verfahren ergänzen sich dabei. So wird bei Erreichen höherer Reifegrade zumeist gefordert, dass sich das Unternehmen auch mit (Leistungs-)Kennzahlen beschäftigt. Deutlich wird dies beispielsweise im Leitfaden zum Datenschutz-Reifegrad Modell des bitkom e.V., der für die Stufen D und E die Umsetzung von Aktivitäten fordert, die sich auf Leistungskennzahlen beziehen.

Bestimmung des Reifegrades

Reifegradmodelle ermöglichen einen umfassenden Blick auf die Qualität des Datenschutzmanagementsystems und helfen dabei, diese insgesamt oder im Hinblick auf Teilbereiche zu erhöhen.

Auf die Reife kommt es an

Reifegradmodelle sind aus anderen Managementsystemen (QMS, ISMS) oftmals bekannt und gegebenenfalls in den Unternehmen auch bereits im Einsatz. Sie geben Auskunft darüber, wie „ausgereift“ ein Prozess tatsächlich ist (zuverlässig, wiederholbar und formalisiert). Im Bereich des Datenschutzes hat sich dagegen noch kein Modell durchgesetzt, wenn gleich insbesondere in Deutschland und Frankreich erste Ansätze vorhanden sind:

Bei der qualitativen Bewertung anhand des Reifegrades werden an jede zu erfüllende Stufe Anforderungen geknüpft. Ist die Anforderung erfüllt, gilt die entsprechende Stufe als erreicht. Die bereits erfüllten Stufen bilden demnach den Ist-Zustand ab, während noch zu erfüllende Stufen den Soll-Zustand darstellen.

Stufen im Reifegradmodell

Regelmäßig werden, wie im Qualitätsmanagement und internationalen Normen üblich, fünf Stufen von Reifegraden unterschieden:

  1. Ausgangsstufe (initial):
    keine oder rudimentäre Prozessorganisation. Aufgaben werden, auch bei wiederholtem Auftreten, immer als neue Projekte bearbeitet.
  2. Reproduzierbar (managed):
    der Prozess ist auf der Ebene der kleinsten Organisationseinheit organisiert. Eingaben und Ergebnis sind definiert, Prozessschritte aber nicht dokumentiert.
  3. Standardisiert (standardized):
    Arbeitsschritte und Teilprozesse laufen wiederholbar ab. Prozesse sind in Teilabschnitten und Unterprozessen dokumentiert.
  4. Vorhersehbar (predictable):
    Qualitätskriterien existieren für alle Arbeitsschritte und Teilprozesse und werden zur Optimierung eingesetzt.
  5. Optimiert (optimized):
    gesamter Prozessablauf wird ständig optimiert.

Eine Stufe wird immer dann erreicht, wenn alle Aspekte der zugehörigen Stufe umgesetzt sind. Das Erreichen von Stufe 5 in allen Bereichen ist nicht unbedingt erstrebenswert. Ein Unternehmen, welches keine bis kaum Auskunftsanfragen erhält, wird diesen Prozess nicht bis ins Detail optimieren, soweit sichergestellt ist, dass die Anfragen gemäß den gesetzlichen Anforderungen bearbeitet werden.

Kennzahlen und DSMS

Kennzahlen können objektiv messbare Aussagen über die Wirksamkeit implementierter Maßnahmen liefern und helfen damit die Erfüllung datenschutzrechtlicher Pflichten sicherzustellen bzw. deren aktuelle Umsetzung zu bewerten.

Mehr ist mehr

Leistungskennzahlen ermöglichen die Bewertung der Datenschutzorganisation des Unternehmens in quantitativer Hinsicht. Wichtig ist jedoch, dass die Zahlen nie unmittelbar Grundlage für eingeleitete Maßnahmen sein sollten, sondern immer interpretiert werden müssen. Werden in einer Organisation beispielsweise viele Datenschutzvorfälle gemeldet, kann das grundsätzlich zwei Gründe haben. Entweder, die getroffenen Maßnahmen gewährleisten keinen ausreichenden Schutz personenbezogener Daten oder aber, die Belegschaft ist so weit sensibilisiert, dass sogar risikoarme Verdachtsfälle unmittelbar intern gemeldet werden, obwohl diese letztendlich gar keinen Datenschutzvorfall darstellen und erst recht keine Meldung an die Aufsichtsbehörde erfordern. Werden dagegen keine oder nur sehr wenige Datenschutzvorfälle bekannt, kann dies auf eine hohe Datensicherheit oder unzureichende Sensibilisierung der Mitarbeiter hinweisen.

Kennzahlen in Literatur und bei Behörden

Ähnliche wie das Thema der Reifegrade, findet die Verwendung von KPIs bei den Datenschutzaufsichtsbehörden noch wenig Aufmerksamkeit. So veröffentlichte der Europäische Datenschutzausschuss 2019 eine Guideline zum Thema Privacy by Design und Privacy by Default, in der er unter anderem auch auf die Verwendung von quantitativen Leistungsindikatoren für die Eignung und Wirksamkeit der getroffenen Maßnahmen verweist, wie beispielsweise der Reduzierung von Beschwerden oder der Verkürzung der Zeit für Antworten an betroffene Personen, die ihre Rechte wahrnehmen.

Auf dem Weg zum Standard?

Die Diskussion um Reifegradmodellen und Leistungskennzahlen im Zusammenhang mit der Bewertung des Datenschutzmanagementsystems im Unternehmen befindet sich noch im Anfangsstadium. Dennoch lohnt ein Blick in andere Unternehmensbereiche, in denen diese Art der Bewertung bereits zum Standardrepertoire gehört. Denn mit Hilfe dieser beiden Messverfahren ist eine umfassende Beurteilung der Wirksamkeit der innerhalb des Datenschutzmanagementsystems getroffenen Maßnahmen möglich.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Auch die ICO in UK hat ein entsprechendes Framework entwickelt, mit dem sich Unternehmen selbst prüfen können, ob sie die DSGVO-UK einhalten bzw. welche Reifegrad sie auf dem Weg dort hin erreicht haben. siehe accountability-framework-self-assessment auf der Webseite der ICO

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.