Datenschutzkonzept für Unternehmen

In der DSGVO ist nicht konkret festgelegt, unter welchen Umständen ein Datenschutzkonzept Pflicht ist. Trotzdem lässt sich die Verpflichtung zur Erstellung eines Datenschutzkonzepts aus den Artikeln der DSGVO ableiten.

Die Rechenschaftspflicht wird in Art. 5, Abs. 2 DSGVO festgehalten:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‘Rechenschaftspflicht’).“

Art. 5, Abs. 1 DSGVO sieht die Einhaltung folgender Regelungen vor:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Ein Unternehmen muss gemäß der Rechenschaftspflicht also die eine rechtmäßige, zweckgebundene und transparente Datenverarbeitung vorweisen können. Das ist nur möglich, wenn die Datenverarbeitungsvorgänge und die Maßnahmen zum Datenschutz ausreichend dokumentiert werden.

Nicht nur gegenüber den Aufsichtsbehörden müssen Unternehmen Rechenschaft ablegen. Die Personen, deren personenbezogene Daten vom Unternehmen verarbeitet werden, haben nach Art. 15 DSGVO ein Recht auf Auskunft. Um dieser Auskunftspflicht nachkommen zu können, muss dokumentiert worden sein, wie die personenbezogenen Daten verarbeitet wurden. Das erfolgt in Form eines Datenschutzkonzepts.

Nach Art. 24 DSGVO muss zudem der Verantwortliche, meist der Datenschutzbeauftragte, die Erfüllung seiner Pflichten und damit die Umsetzung technischer und organisatorischer Maßnahmen zum Datenschutz nachweisen können. Auch hierfür ein Datenschutzkonzept hilfreich.

Kommt es zu einer meldepflichtigen Datenschutzpanne, muss diese nach Art. 33 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ein Datenschutzkonzept hilft dabei, einen Überblick über das Ausmaß der Datenschutzpanne zu bekommen und die Folgen abschätzen zu können.

Ein Datenschutzkonzept ist also nicht direkt Pflicht, aber indirekt notwendig, um den Regelungen der DSGVO nachkommen zu können.

Ein Datenschutzkonzept ist für eine reibungslose Umsetzung der Regelungen der DSGVO unverzichtbar, denn es bringt viele Vorteile mit sich. Mit einem Datenschutzkonzept können Sie problemlos jederzeit der Rechenschaftspflicht nachkommen, den Aufsichtsbehörden gegenüber Transparenz zeigen und beweisen, dass Ihr Unternehmen es mit dem Datenschutz ernst meint. Das macht Ihr Unternehmen auch gegenüber Kunden und Stakeholdern vertrauenswürdig. Auch für eine DSGVO-konforme Umsetzung von Datenschutzmaßnahmen ist ein Datenschutzkonzept hilfreich. Mitarbeiter haben so jederzeit Zugang zu den festgelegten Prozessen für die Datenverarbeitung und können sich an den Richtlinien orientieren.

1. Ziele des Datenschutzkonzepts

Geben Sie Ort und Datum der Erstellung des Datenschutzkonzepts und der letzten Aktualisierung an. Legen Sie anschließend dar, welche Ziele Ihr Datenschutzkonzept hat. Das sind in der Regel die Dokumentation von Verarbeitungsvorgängen und Maßnahmen für die Aufsichtsbehörden und Betroffene und damit die Erfüllung der Rechenschaftspflicht und Auskunftspflicht sowie die Angabe von Richtlinien für Mitarbeiter.

2. Angabe der zuständigen Person/des Datenschutzbeauftragten

Geben Sie an, wer in Ihrem Unternehmen für die Überwachung der Einhaltung der DSGVO zuständig ist. Falls Sie zur Ernennung eines Datenschutzbeauftragten (DSB) verpflichtet sind, geben Sie die Kontaktdaten des internen oder externen DSB an.

3. Dokumentation der Datenverarbeitung

Nun folgt eine Beschreibung der Verarbeitung personenbezogener Daten in Ihrem Unternehmen.

Das Datenschutzkonzept sollte die Antwort auf folgende Fragen beinhalten:

• Welche Mitarbeiter verarbeiten auf welche Weise personenbezogene Daten?
• Wessen personenbezogene Daten werden verarbeitet?
• Zu welchem Zweck werden die personenbezogenen Daten verarbeitet?
• Wo werden die personenbezogenen Daten gespeichert bzw. aufbewahrt?
• Unter welchen Umständen werden personenbezogene Daten an wen weitergegeben?
• Wann werden die personenbezogenen Daten gelöscht bzw. vernichtet?

4. Angabe von Maßnahmen zum Datenschutz

Halten Sie im Datenschutzkonzept die technischen und organisatorischen Maßnahmen fest, mit denen in Ihrem Unternehmen personenbezogene Daten geschützt werden. Beantworten Sie die folgenden Fragen:

• Wie werden die personenbezogenen Daten anonymisiert und/oder verschlüsselt, um die Rechte und Freiheiten Betroffener zu schützen?
• Wer hat Zugriff auf die personenbezogenen Daten?
• Wie wird die dauerhafte Löschung bzw. Vernichtung personenbezogener Daten nach der Aufbewahrungsfrist sichergestellt?
• Wie wird sichergestellt, dass personenbezogene Daten nicht von Unbefugten und/oder nach Ablauf der Aufbewahrungsfrist aufbewahrt werden?
• Wie wird verhindert, dass personenbezogene Daten nicht an unbefugte Dritte weitergegeben werden?
• Wie wird bei der rechtmäßigen Weitergabe von personenbezogenen Daten an Dritte die Datensicherheit gewährleistet?

5. Maßnahmen im Falle von Datenschutzverstößen

Trotz aller Vorkehrungen kann es immer mal wieder zu einer Datenschutzpanne oder anderweitigen Datenschutzverstößen kommen. Ihr Unternehmen sollte für einen solchen Fall gerüstet sein und die Maßnahmen im Falle einer Datenschutzpanne im Datenschutzkonzept festhalten. Beantworten Sie folgende Fragen:

• Welche Risiken technischer und organisatorischer Art für eine Datenschutzpanne gibt es im Unternehmen?
• Können Mitarbeiter (anonym) Datenschutzverstöße melden?
• Welche Person ist für die Entgegennahme von Hinweisen auf Datenschutzverstöße zuständig?
• Wie werden Hinweisgeber im Unternehmen geschützt?
• Welche Maßnahmen bestehen zur Schadensbegrenzung im Falle einer Datenschutzpanne?
• Gibt es eine Datenschutzfolgenabschätzung? Anhand welcher Kriterien wird das Risiko für die Rechte und Freiheiten Betroffener im Falle einer Datenschutzverletzung abgeschätzt?
• Wie lauten die Folgemaßnahmen nach einer Datenschutzverletzung?

Um diese Fragen in Ihrem Datenschutzkonzept beantworten zu können, müssen Sie eine Datenschutzfolgenabschätzung erstellen. Außerdem müssen Sie wissen, wie Sie im Falle einer Datenschutzpanne zu reagieren haben und in Ihrem Unternehmen ein Hinweisgebersystem etablieren.

Lassen Sie sich bei Erstellung eines Datenschutzkonzepts helfen

Das ist nur eine grobe Struktur für ein Datenschutzkonzept. Was genau in ein Datenschutzkonzept hineingehört, hängt vom jeweiligen Unternehmen ab. Sie können sich an dieser Übersicht orientieren. Für die Erstellung eines Datenschutzkonzepts sind jedoch umfangreiche Fachkenntnisse zu den Regelungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) erforderlich. Die Datenverarbeitungsvorgänge und Datenschutzmaßnahmen im Unternehmen müssen nicht nur dokumentiert, sondern vorab erst einmal festgelegt werden. Die Erstellung eines Datenschutzkonzepts erfordert daher ein hohes Maß an Geduld und Sorgfaltund ist ein großer Aufwand für den internen Datenschutzbeauftragten und die Geschäftsführung.

Lassen Sie sich stattdessen von einem externen Datenschutzbeauftragten helfen. So vermeiden Sie Fehler, sparen Zeit und stehen von Beginn an auf der sicheren Seite. Als externer DSB helfen wir, die Immerce Consulting, Ihnen bei der Entwicklung eines Datenschutzkonzepts, das genau auf die Prozesse in Ihrem Unternehmen zugeschnitten ist. Wir kümmern uns um eine detaillierte Angabe aller Datenverarbeitungsvorgänge und Datenschutzmaßnahmen. Vorab erarbeiten wir mit Ihnen gemeinsam DSGVO-konforme Richtlinien für die Datenverarbeitung sowie Datenschutzmaßnahmen in Ihrem Unternehmen.

Uns können Sie vertrauen, denn wir wissen, worauf es bei einem Datenschutzkonzept ankommt!