DATENSCHUTZKONZEPT

DSGVO: So pflegen Sie Ihr Datenschutzkonzept.

Das Datenschutzkonzept gibt als umfassendes Dokument Auskunft über die Rechtmäßigkeit bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Unternehmen. Es umfasst Ziele, Verantwortlichkeiten und Dokumentationspflichten und gehört zu den wichtigsten Strategiepapieren eines Unternehmens.

Ein gutes Datenschutzkonzept hilft, den Rechenschaftspflichten der europäischen Datenschutz-Grundverordnung (DSGVO) gegenüber den Aufsichtsbehörden gerecht zu werden. Es dient außerdem als Grundlage für datenschutzrechtliche Prüfungen z. B. durch Auftraggeber. Es gibt keine Rechtsnorm zu Umfang und Inhalt eines Datenschutzkonzeptes. Manche Punkte müssen jedoch verbindlich beschrieben und geregelt werden.

Wer braucht ein Datenschutzkonzept?

Die DSGVO enthält in Art. 5 (2) das Prinzip der Rechenschaftspflicht. Demnach muss jede verantwortliche Stelle nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt. Dieses muss der Verantwortliche auch regelmäßig kontrollieren und ggf. weiterentwickeln.

Mit anderen Worten: Unternehmen, die personenbezogene Daten verarbeiten, müssen ein Verfahren einrichten, um die Wirksamkeit der Datenschutz- und Datensicherheits-Maßnahmen regelmäßig zu überprüfen, bewerten und evaluieren. Dafür ist ein Datenschutzkonzept die optimale Ausgangsbasis.

Was sind die Inhalte des Datenschutzkonzeptes?

Zweck des Datenschutzkonzeptes ist es, die Maßnahmen verständlich zu machen, die im Unternehmen zur Einhaltung und Sicherung des Datenschutzes getroffen werden. Dafür sollte das Datenschutzkonzept gut strukturiert sein, um für verschiedene Adressaten verständlich zu sein.
Folgende Punkte müssen zwingend in einem Datenschutzkonzept vorhanden sein:

  • Beschreibung der personenbezogenen Daten und Angabe der jeweiligen Zweckbindung (Nutzungszweck)
  • Angaben zur verantwortlichen Stelle
  • Beschreibung der Gewährleistung von Betroffenenrechten
  • Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz

Unter anderem sollten folgende Punkte in einem Datenschutzkonzept abgedeckt werden:

  • Rechtsgrundlage (Auf welcher Grundlage werden Daten erhoben und verarbeitet?)
  • Löschung von Daten (Wann werden welche Daten gelöscht und welche gesetzlichen Aufbewahrungspflichten bilden die Grundlage?)
  • Auftragsdatenverarbeitung (Wer ist außerhalb des Unternehmens an der Datenverarbeitung beteiligt? Welche Daten sind betroffen? Außerdem sollte das Vertragsverhältnis und die Kontrollmaßnahmen aufgeführt werden.)
  • Datenschutzbeauftragter (Wer ist der Datenschutzbeauftragte des Unternehmens?)
  • Zugriffe (Wer hat Zugriff auf die Daten?)
  • Betroffenenrechte (Wie wird mit den Rechten Betroffener im Unternehmen umgegangen?)
  • Verfahrensverzeichnisse (Verweis und Auflistung der existierenden Verfahren)
  • Technische und Organisatorische Maßnahmen (Auflistung der technischen und organisatorischen Maßnahmen, die entsprechend auch in den Verfahren beschrieben sein müssen)
  • Datenschutz in den einzelnen Bereichen (Wie wird mit dem Datenschutz in einzelnen Abteilungen umgegangen?)
  • Umgang mit Datenschutzverstößen (Wie wird auf Verstöße reagiert und wie wird damit umgegangen?)

Die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit regelmäßig überprüft, bewertet und evaluiert. Das heißt für Unternehmen und Datenschutzbeauftragte: Sie müssen das Datenschutzkonzept immer wieder überarbeiten.
Das Datenschutzkonzept bietet eine gute Übersicht bei der Überprüfung des internen Datenschutzes. Ein gut strukturiertes und übersichtlich dargestelltes Konzept ist bei Datenschutzaudits sehr hilfreich.

Dein Ansprechpartner

Jörg ter Beek Portraitfoto

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns