Datenschutz-Managementsystem
Datenschutz, der täglich funktioniert
Die DSGVO ist seit 2018 in Kraft und hat aus „einmal implementiert" längst „dauerhaft betrieben" gemacht. MGMSYS bündelt die laufende Arbeit: VVT, TOM, DSFA, Betroffenenrechte, Meldung, Löschkonzept, Schulungen und Auftragsverarbeitung.
Pflichten
Die DSGVO-Pflichten auf einen Blick
Art. 30 – VVT
Verzeichnis aller Verarbeitungen mit Zweck, Kategorien, Empfängern, Fristen.
Art. 32 – TOM
Technische und organisatorische Maßnahmen, die den Schutz gewährleisten.
Art. 35 – DSFA
Datenschutz-Folgenabschätzung bei voraussichtlich hohem Risiko.
Art. 15–22 – Betroffenenrechte
Auskunft, Berichtigung, Löschung, Einschränkung – mit Monatsfrist.
Art. 33/34 – Meldung
72 Stunden an die Aufsichtsbehörde; bei hohem Risiko an Betroffene.
Art. 28 – AV
Auftragsverarbeitung mit jedem Dienstleister schriftlich geregelt.
Abbildung
Wie MGMSYS jede DSGVO-Pflicht führt
| Pflicht | Abbildung |
|---|---|
| Art. 30 VVT | DSMS mit strukturiertem VVT, Vererbungslogik, PDF-Export |
| Art. 32 TOM | TOM-Katalog mit Zuordnung zu Verarbeitungen |
| Art. 35 DSFA | Geführter DSFA-Assistent mit Schwellenanalyse und Risikomatrix |
| Art. 33/34 Meldung | Vorfallmodul: 72-h-Fristenwächter, Meldetext für Aufsichtsbehörde |
| Art. 15-22 Betroffenenrechte | DSR-Modul: Posteingang, Prüflogik, Fristenüberwachung |
| Art. 28 Auftragsverarbeitung | Vendor Risk / Dienstleisterregister, AV-Vertragsverwaltung |
| Löschkonzept | Löschfristen je Zweck, Umsetzungsnachweis |
| Schulung | Pflichtkurse, Wiederholungen, Teilnahmenachweis |
| Drittlandübermittlung | Register mit Rechtsgrundlage, SCCs, TIA |
DSB-Arbeitsplatz
Für externe und interne Datenschutzbeauftragte
Der DSB ist im deutschen Recht nicht Beiwerk, sondern benanntes Organ mit Aufgabenkatalog nach Art. 39 DSGVO und § 7 BDSG. Drei zentrale Elemente unterstützen seinen Alltag in MGMSYS:
Cockpit
Offene Betroffenenanfragen, fällige DSFA-Reviews, ablaufende AV-Verträge, offene Vorfälle, Schulungsquote, Löschtermin-Kandidaten.
Fristenübersicht
Jede DSGVO-Frist wird als Task geführt – mit Wiedervorlage, Eskalation und Historie.
Berichtswesen
Managementbewertung, Jahresbericht, Status-Export zur Vorlage bei der Aufsichtsbehörde.
Externe DSB betreuen in MGMSYS mandantenübergreifend: eine Anmeldung, alle Mandanten, jede Organisation sauber getrennt.
Häufige Fragen
- Brauchen wir einen Datenschutzbeauftragten?
In Deutschland nach § 38 BDSG, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nach Art. 37 DSGVO zusätzlich bei systematischer Beobachtung oder umfangreicher Verarbeitung besonderer Kategorien.
- Wie reagieren wir auf einen Datenschutzvorfall?
Innerhalb von 72 Stunden nach Kenntnis muss die zuständige Aufsichtsbehörde informiert werden, wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. MGMSYS führt den Prozess mit Fristenwächter und vorbereiteten Meldetexten.
- Wie verträgt sich DSGVO mit US-Cloud-Diensten?
Nach Schrems II und den EDPB-Empfehlungen ist für jede Drittlandübermittlung eine Transferfolgenabschätzung erforderlich. MGMSYS ist in Deutschland entwickelt und gehostet – Details auf der Hosting-Seite.
- Können externe DSB mit MGMSYS mehrere Mandate betreuen?
Ja. Das Mandantenmodell erlaubt saubere Trennung; die Oberfläche ermöglicht den schnellen Wechsel zwischen Mandanten.