Datenschutzkonzept

Wenn Sie damit beginnen, die Datenschutzgrundverordnung (DSGVO) in Ihrem Unternehmen strukturiert und organisiert anzugehen, dann empfiehlt es sich, ein Datenschutzkonzept zu erstellen. Hier bündeln Sie alle notwendigen Informationen und Anweisungen für den datenschutzkonformen Umgang mit Daten.

Was ist ein Datenschutzkonzept?

In der Datenschutz-Grundverordnung wird das Datenschutzkonzept nicht als Notwendigkeit benannt, die Pflicht dazu ergibt sich indirekt: Unternehmen haben eine Dokumentationspflicht, nach der sie unter anderem festhalten müssen, wie sie Daten verarbeiten, speichern und löschen.

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)“. (DSGVO, Art. 5, Grundsätze für die Verarbeitung personenbezogener Daten)

Solche und andere strukturellen Informationen lassen sich in einem Datenschutzkonzept gebündelt darstellen.

Dabei lassen sich zwei Typen von Datenschutzkonzepten unterscheiden:

1) Allgemeines Datenschutzkonzept: Es werden alle allgemeinen Anforderungen dokumentiert, um den Datenschutz im Unternehmen gewährleisten zu können.

2) Detailliertes Datenschutzkonzept: Hier werden auch anwendungsspezifische Angaben und Anweisungen dargestellt.

Welche Art von Datenschutzkonzept ein Unternehmen wählt, hängt von der Größe des Unternehmens und der Anzahl der Mitarbeiter ab. Jedes Konzept sollte aber mindestens die folgenden Informationen erhalten.

Informationen zum Datenschutzbeauftragten

Zunächst müssen Unternehmen abklären, ob sie laut DSGVO einen Datenschutzbeauftragten benötigen. Ist dies der Fall, bestellen Sie einen Datenschutzbeauftragten. Dabei kann es sich um einen geeigneten Mitarbeiter des Unternehmens handeln, es kann aber auch ein externer Datenschutzbeauftragter bestellt werden.

Aufgaben eines Datenschutzbeauftragten

  • Informationspflicht: Datenschutzbeauftragte informieren Unternehmen über ihre datenschutzrechtlichen Pflichten, gesetzliche Änderungen und andere aktuelle Entwicklungen in Sachen Datenschutz
  • Überwachung: Datenschutzbeauftragte achten auf die Einhaltung der DSGVO.
  • Kontakt für externe Anfragen: Bei Nachfragen von Verbrauchern und Kunden sowie Behörden zu datenschutzrechtlichen Fragen, ist der Datenschutzbeauftragte der erste Ansprechpartner.
  • Kontakt für interne Anfragen: Zu den wichtigsten Aufgaben des Datenschutzbeauftragten gehört es, Mitarbeiter und die Geschäftsführung bei Nachfragen oder Schwierigkeiten bei der Verarbeitung von Nutzer- und Kundendaten zur Verfügung zu stehen.
  • Führung des Verarbeitungsverzeichnis: Es muss immer aktuell gehalten und ggf. ergänzt werden.
  • Beratung und Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung (DSGVO, Art. 35, Datenschutz-Folgenabschätzung)

Gliederung des Verarbeitungsverzeichnisses

In einem Verarbeitungsverzeichnis wird festgehalten, wie und wann Sie personenbezogene Daten …

  • … erheben,
  • … verarbeiten,
  • … speichern
  • und löschen.

Grundsätzlich ist das Verarbeitungsverzeichnis nur für Unternehmen mit mehr als 250 Mitarbeitern Pflicht. Unternehmen mit weniger Mitarbeitern sind davon befreit, es sei denn,„die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“ (DSGVO, Art. 30, Verzeichnis von Verarbeitungstätigkeiten)

Die Erstellung eines Verarbeitungsverzeichnisses wird damit jedem Unternehmen empfohlen, das personenbezogene Daten erhebt – also nahezu jedes Unternehmen.

Zu den Verarbeitungstätigkeiten gehören in jedem Unternehmen:

  • interne und externe E-Mails
  • Nutzung von Software (z. B. Personal-, Kundenmanagement- oder Buchhaltungssoftware)
  • elektronische Terminverwaltung
  • elektronische Personalakten
  • Online-Präsenzen von Unternehmen (z. B. Unternehmenswebseite, Social Media Kanäle, Advertising)

Ein Verarbeitungsverzeichnis kann unabhängig von einem Datenschutzkonzept geführt werden. Es sollte bei Nachfragen von Behörden jedoch jederzeit gemeinsam mit dem Datenschutzkonzept ausgehändigt werden können.

Sicherstellung von IT-Sicherheit

Hier wird in einem IT-Sicherheitskonzept dokumentiert, welche Maßnahmen das Unternehmen für die Sicherheit der Daten im Sinne der DSGVO eingeleitet hat.

Zu den wichtigsten Bestimmungen gehören die folgenden:

  • Datensparsamkeit
  • Aufbewahrungs- und Löschfristen: Hier wird erläutert, welche Daten für einen bestimmten Zeitraum aufbewahrt werden. Zudem werden hier die Löschregeln für verschiedene Datentypen dokumentiert.
  • Zugriffsrechte: Einrichtung von einzelnen Nutzern und Nutzerkreisen, die nur auf bestimmte, notwendige Daten zugreifen können.
  • Zugangskontrolle: Nutzer haben nur über eine ausreichend sichere Authentifikation Zugriff auf datensensible Bereiche.
  • Schutz gegen Viren und Hacker

Technisch organisatorische Maßnahmen festlegen

In einem Datenschutzkonzept werden alle technisch organisatorischen Maßnahmen (TOM’s) dokumentiert, die für den bestmöglichen Schutz sorgen sollen. Je nach Unternehmensgröße und Branche können TOM’s unterschiedlich komplex ausfallen.

In der DSGVO (Art. 32) werden die folgenden Maßnahmen als geeignet aufgeführt:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • stabile Systeme mit ausreichender Belastbarkeit und Verfügbarkeit
  • nach technischen Problemen schnelle Wiederherstellung und Verfügbarkeit von personenbezogenen Daten
  • regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM’s im Rahmen eines festgelegten Verfahrens

In dem Datenschutzkonzept wird dokumentiert, ob und wie solche Maßnahmen durchgeführt werden.

Überblick über Verträge zur Auftragsdatenverarbeitung

Im Datenschutzkonzept können auch die Verträge zur Auftragsdatenverarbeitung abgelegt werden. Diese Verträge regeln die Zusammenarbeit mit externen Dienstleistern, die mit personenbezogenen Daten der Mitarbeiter oder Kunden des Unternehmens in Kontakt kommen.

Mit dem Inkrafttreten der DSGVO haben sich auch die Inhalte von Datenschutzinformationen und den Richtlinien zum Umgang mit Anfragen in Bezug auf Betroffenenrechte und Datenschutzverstößen geändert. Alle Betroffenen müssen über diese Änderungen in Kenntnis gesetzt werden. In einem Datenschutzkonzept sollten Unternehmen dokumentieren, wie sie ihrer Informationspflicht nachkommen.

Sie benötigen beim Erstellen des Datenschutzkonzepts Unterstützung? Dann fragen Sie gern an.

WIEMER / ANRDT ist ihr Dienstleister für Datenschutz, IT- Sicherheit, Online  Marketing, Websites und eCommerce Lösungen mit Büros in Berlin, Freiburg und im Ruhrgebiet. Wir schulen online und in Präsenzkursen vor Ort oder Off-Site zum Theme Social Media, IT Sicherheit und Datenschutz, wir bieten ein Datenschutzmanagementsystem und ein RemoteAudit zur schnellen Überprüfung Ihres aktuellen Status zum Datenschutz – Niveau im Unternehmen. Wir halten Vorträge in Unternehmen und an Universitäten und Hochschulen in Deutschland, in deutscher und in englischer Sprache. Rebecca Wiemer und Christian Arndt betreuen Sie voll umfänglich mit der Unterstützung einer grossartigen Teams von Spezialisten und Fachleuten: Herzlich Willkommen

Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!