Wenn Sie damit beginnen, die Datenschutzgrundverordnung (DSGVO) in Ihrem Unternehmen strukturiert und organisiert anzugehen, dann empfiehlt es sich, ein Datenschutzkonzept zu erstellen. Hier bündeln Sie alle notwendigen Informationen und Anweisungen für den datenschutzkonformen Umgang mit Daten.
Was ist ein Datenschutzkonzept?
In der Datenschutz-Grundverordnung wird das Datenschutzkonzept nicht als Notwendigkeit benannt, die Pflicht dazu ergibt sich indirekt: Unternehmen haben eine Dokumentationspflicht, nach der sie unter anderem festhalten müssen, wie sie Daten verarbeiten, speichern und löschen.
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)“. (DSGVO, Art. 5, Grundsätze für die Verarbeitung personenbezogener Daten)
Solche und andere strukturellen Informationen lassen sich in einem Datenschutzkonzept gebündelt darstellen.
Dabei lassen sich zwei Typen von Datenschutzkonzepten unterscheiden:
1) Allgemeines Datenschutzkonzept: Es werden alle allgemeinen Anforderungen dokumentiert, um den Datenschutz im Unternehmen gewährleisten zu können.
2) Detailliertes Datenschutzkonzept: Hier werden auch anwendungsspezifische Angaben und Anweisungen dargestellt.
Welche Art von Datenschutzkonzept ein Unternehmen wählt, hängt von der Größe des Unternehmens und der Anzahl der Mitarbeiter ab. Jedes Konzept sollte aber mindestens die folgenden Informationen erhalten.
Anforderung Musterdokument Datenschutz-Konzept
Informationen zum Datenschutzbeauftragten
Zunächst müssen Unternehmen abklären, ob sie laut DSGVO einen Datenschutzbeauftragten benötigen. Ist dies der Fall, bestellen Sie einen Datenschutzbeauftragten. Dabei kann es sich um einen geeigneten Mitarbeiter des Unternehmens handeln, es kann aber auch ein externer Datenschutzbeauftragter bestellt werden.
Aufgaben eines Datenschutzbeauftragten
- Informationspflicht: Datenschutzbeauftragte informieren Unternehmen über ihre datenschutzrechtlichen Pflichten, gesetzliche Änderungen und andere aktuelle Entwicklungen in Sachen Datenschutz.
- Überwachung: Datenschutzbeauftragte achten auf die Einhaltung der DSGVO.
- Kontakt für externe Anfragen: Bei Nachfragen von Verbrauchern und Kunden sowie Behörden zu datenschutzrechtlichen Fragen, ist der Datenschutzbeauftragte der erste Ansprechpartner.
- Kontakt für interne Anfragen: Zu den wichtigsten Aufgaben des Datenschutzbeauftragten gehört es, Mitarbeiter und die Geschäftsführung bei Nachfragen oder Schwierigkeiten bei der Verarbeitung von Nutzer- und Kundendaten zur Verfügung zu stehen.
- Führung des Verarbeitungsverzeichnis: Es muss immer aktuell gehalten und ggf. ergänzt werden.
- Beratung und Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung (DSGVO, Art. 35, Datenschutz-Folgenabschätzung).
Gliederung des Verarbeitungsverzeichnisses
In einem Verarbeitungsverzeichnis wird festgehalten, wie und wann Sie personenbezogene Daten …
- … erheben,
- … nutzen,
- … speichern,
- … weiterleiten,
- und löschen.
Grundsätzlich ist das Verarbeitungsverzeichnis nur für Unternehmen mit mehr als 250 Mitarbeitern Pflicht. Unternehmen mit weniger Mitarbeitern sind davon grundsätzlich befreit, es sei denn, es werden Prozesse umgesetzt, ein erhebliche Auswirkungen auf die betroffenen Personen haben oder eine Verarbeitungstätigkeit (also ein Prozess) regelmäßig wiederkehrend durchgeführt wird (Art. 30 DSGVO, Verzeichnis von Verarbeitungstätigkeiten).
Die Erstellung eines Verarbeitungsverzeichnisses wird damit jedem Unternehmen empfohlen, das personenbezogene Daten erhebt – also nahezu jedes Unternehmen.
Zu den Verarbeitungstätigkeiten gehören in jedem Unternehmen:
- interne und externe E-Mails
- Nutzung von Software (z. B. Personal-, Kundenmanagement- oder Buchhaltungssoftware)
- elektronische Terminverwaltung
- Personalaktenführung und Gehaltsabrechnung
- Online-Präsenzen von Unternehmen (z. B. Webseite, Social Media Kanäle, Advertising)
Ein Verarbeitungsverzeichnis kann unabhängig von einem Datenschutzkonzept geführt werden. Es sollte bei Nachfragen von Behörden jedoch jederzeit gemeinsam mit dem Datenschutzkonzept ausgehändigt werden können.
Sicherstellung von IT-Sicherheit als Teil für das Datenschutzkonzept
Hier wird in einem IT-Sicherheitskonzept dokumentiert, welche Maßnahmen das Unternehmen für die Sicherheit der Daten im Sinne der DSGVO eingeleitet hat.
Zu den wichtigsten Bestimmungen gehören die folgenden:
- Datensparsamkeit
- Aufbewahrungs- und Löschfristen: Hier wird erläutert, welche Daten für einen bestimmten Zeitraum aufbewahrt werden. Zudem werden hier die Löschregeln für verschiedene Datentypen dokumentiert.
- Zugriffsrechte: Einrichtung von einzelnen Nutzern und Nutzerkreisen, die nur auf bestimmte, notwendige Daten zugreifen können.
- Zugangskontrolle: Nutzer haben nur über eine ausreichend sichere Authentifikation Zugriff auf datensensible Bereiche.
- Schutz gegen Viren und Hacker
Technisch organisatorische Maßnahmen festlegen
In einem Datenschutzkonzept werden alle technisch organisatorischen Maßnahmen (TOM’s) dokumentiert, die für den bestmöglichen Schutz sorgen sollen. Je nach Unternehmensgröße und Branche können TOM’s unterschiedlich komplex ausfallen.
In der DSGVO (Art. 32) werden die folgenden Maßnahmen als geeignet aufgeführt:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- stabile Systeme mit ausreichender Belastbarkeit und Verfügbarkeit
- nach technischen Problemen schnelle Wiederherstellung und Verfügbarkeit von personenbezogenen Daten
- regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM’s im Rahmen eines festgelegten Verfahrens
In dem Datenschutzkonzept wird dokumentiert, ob und wie solche Maßnahmen durchgeführt werden. Es dient zur Festlegung des Datenschutzniveaus in Ihrem Unternehmen. Es wird den Aufsichtsbehörden bei einer Überprüfung zur Verfügung gestellt. Ferner kann es auch Mitarbeitern als Leitpfaden für die Umsetzung dienen. Es bildet ferner die Grundlage für die Schulungen zum Datenschutz der Beschäftigten.
Überblick über Verträge zur Auftragsdatenverarbeitung für Ihr Datenschutzkonzept
Im Datenschutzkonzept können auch die Verträge zur Auftragsdatenverarbeitung abgelegt werden. Diese Verträge regeln die Zusammenarbeit mit externen Dienstleistern, die mit personenbezogenen Daten der Mitarbeiter oder Kunden des Unternehmens in Kontakt kommen.
Mit dem Inkrafttreten der DSGVO haben sich auch die Inhalte von Datenschutz-Informationen und den Richtlinien zum Umgang mit Anfragen in Bezug auf Betroffenenrechte und Datenschutz-Verstößen geändert. Alle Betroffenen müssen über diese Änderungen in Kenntnis gesetzt werden. In einem Datenschutzkonzept sollten Unternehmen dokumentieren, wie sie ihrer Informationspflicht nachkommen.
Sie benötigen beim Erstellen des Datenschutzkonzepts Unterstützung? Dann fragen Sie gern an.
Wir unterweisen Beschäftigte online und in Präsenz zu den Themen Social Media, IT Sicherheit und Datenschutz.
Mit unserer Datenschutz-Plattform und unseren webbasierten Remote-Audits erhalten Sie schnell eine Überprüfung Ihres aktuellen Status zum Datenschutz und Zugang zu praxiserprobten Vorlagen. Wir unterstützen Sie voll umfänglich bei der Erarbeitung des Datenschutzkonzepts.