Datenschutzkonzept - Umsetzung der DSGVO im Unternehmen

Datenschutzkonzept

Die Umsetzung des Datenschutzes – was Sie beachten müssen

Was ist ein Datenschutzkonzept?

Das Datenschutzkonzept gibt als umfassendes Dokument Auskunft über die Rechtmäßigkeit bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Unternehmen. Es umfasst Ziele, Verantwortlichkeiten und Dokumentationspflichten und gehört zu den wichtigsten Strategiepapieren eines Unternehmens.

Ein gutes Datenschutzkonzept hilft, den Rechenschaftspflichten der europäischen Datenschutz-Grundverordnung (DSGVO) gegenüber den Aufsichtsbehörden gerecht zu werden. Es dient außerdem als Grundlage für datenschutzrechtliche Prüfungen z. B. durch Auftraggeber. Es gibt keine Rechtsnorm zu Umfang und Inhalt eines Datenschutzkonzeptes. Manche Punkte müssen jedoch verbindlich beschrieben und geregelt werden.

Wer benötigt ein Datenschutzkonzept?

Die DSGVO enthält in Art. 5 (2) das Prinzip der Rechenschaftspflicht. Demnach muss jede verantwortliche Stelle nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt. Dieses muss der Verantwortliche auch regelmäßig kontrollieren und ggf. weiterentwickeln.

Mit anderen Worten: Unternehmen, die personenbezogene Daten verarbeiten, müssen ein Verfahren einrichten, um die Wirksamkeit der Datenschutz- und Datensicherheits-Maßnahmen regelmäßig zu überprüfen, bewerten und evaluieren. Dafür ist ein Datenschutzkonzept die optimale Ausgangsbasis.

Anforderungen an Ihr Datenschutzkonzept

Darestllung der Grundsätze für die Verarbeitung personenbezogener Daten
Aufführen von einem Verzeichnis der Verarbeitungstätigkeit
Umsetzung geeigneter technischer und organisatorischer Maßnahmen
Durchführung einer Datenschutz-Folgenabschätzung bei der Verarbeitung von sensiblen Daten
Erarbeitung einer aktuellen Datenschutzrichtlinie
Erstellung eines Datenschutzkonzepts
Aufrechterhaltung des Datenschutzes bei Änderungen
Verpflichtung der Mitarbeiter zum Datengeheimnis
Durchführung von Datenschutz-Schulungen
Einführung eines Prozesses zur Wahrnehmung von Betroffenenrechten (Informationsrecht, Auskunfts- & Widerspruchsrecht, Recht auf Berichtigung, Löschung und Einschränkung)
Meldung von Datenschutzverstößen
Nachweis der Datensicherheit

Was leistet Ihr Datenschutzkonzept?

Die Ergebnisse des „Realitätschecks“ sind vielfältig – so zumindest unsere Erfahrungen. Teils wird Datenschutz mit Datensicherheit in einen Topf geworfen (respektive: verwechselt); andere Deutungen und Auslegungen der Datenschutz-Grundverordnung (DSGVO) enden in einer wahren „Vorlagen-Schlacht“, die aus einer Vielzahl von Quellen aus dem Internet geladen, mehr oder weniger gut auf die eigenen Belange angepasst und abgeheftet werden – fertig.

Die Frage, ob das eigene Datenschutzkonzept den Stresstest (Prüfung eines Partners, Behördenanfrage, Auskunft an Betroffene) bestehen würde, kann niemand mit Gewissheit und dem Brustton der Überzeugung beantworten.

Unserer Erfahrung nach, gibt es einige typische Defizite in Datenschutzkonzepten, die wir regelmäßig in Unternehmen vorfinden:

Soll-Konzeption

Die Soll-Konzeption ist zwar aus Sicht der IT perfekt, die Abbildung geforderter relevanter Datenschutzprozesse wurden aber vernachlässigt.

Dokumentation/Nachweise

Wichtige Teilaspekte wie Dokumentation / Nachweise der getroffenen Vorkehrungen oder die organisatorischen Aspekte wurden nicht behandelt.

Maßnahmen

Tiefe und Umfang der umgesetzten Maßnahmen reichen bei weitem nicht aus, um als Grundlage des geforderten DSMS dienen zu können.

Datenschutzkonzept/DSMS

Das Datenschutzkonzept/DSMS erhielt anfangs nicht die erforderliche Aufmerksamkeit des Managements.

Datenschutzkonzept erstellen - Vorgehen

Bevor Sie sich mit dem Fehlen spezifischer Richtlinien für ein Datenschutzkonzept befassen, ist es wichtig, die Ziele zu klären, die es erreichen soll. Die folgenden Fragen können hilfreich sein, um den beabsichtigten Zweck eines Datenschutzkonzepts zu bestimmen:

An wen richtet sich das Datenschutzkonzept?
Soll es sich ausschließlich auf Themen konzentrieren, die einen Nachweis der Einhaltung erfordern?
Soll es Anweisungen und Richtlinien für die Umsetzung innerhalb der Organisation enthalten?
Sollen auch strategische Inhalte einbezogen werden?

Die Erstellung des Datenschutzkonzepts übernimmt in den meisten Fällen der Datenschutzbeauftragte Ihres Unternehmens. Wichtig ist jedoch, dass auch das Management in diesen Prozess eingebunden wird, da einige (v.a. strategische) Maßnahmen den Einsatz weiterer Ressourcen erfordern.

Mögliche Inhalte des Datenschutzkonzepts

Unternehmensorganisation

Zweck des Datenschutzkonzepts

Grundsätze der Datenverarbeitung und Umsetzung von Betroffenenrechten

Zusammenarbeit mit Dienstleistern

Technisch und organisatorische Maßnahmen

Datenschutzmanagement

In welchen Abständen muss das Datenschutzkonzept erneuert werden?

Die Datenschutz-Anforderungen sind stetig im Wandel und passen sich neuen Gegebenheiten an. Damit Ihr Datenschutzkonzept auch jederzeit DSGVO-konform und rechtssicher ist, sollten Sie darauf achten, dass es den aktuellsten Änderungen entspricht. Dazu ist es ratsam, in regelmäßigen Abständen eine Bestandsaufnahme durchzuführen und die Ergebnisse mit den Vorschriften der DSGVO abzugleichen, um potenzielle Schachstellen ausfindig zu machen und zu beseitigen.

Jörg ter Beek

Datenschutzexperte & DSB

Sie benötigen Hilfe bei der Umsetzung des Datenschutzkonzepts?

Als ext. Datenschutzbeauftragter unterstützen wir Sie gerne bei der Umsetzung der gesetzlichen Vorgaben.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter erstellen und prüfen wir Datenschutzkonzepte und sorgen für die Einhaltung der DSGVO-Vorgaben in Ihrem Unternehmen.