Datenschutzkonzept nach DSGVO: Das müssen Sie wissen
Die Nachweis- und Dokumentationspflichten, die die DSGVO fordert, sind nicht zu unterschätzen. Hier hilft das Datenschutzkonzept: Es dient dem Nachweis und der Dokumentation vom unternehmerischen Datenschutz. Im heutigen Beitrag zeigen wir auf, warum ein Datenschutzkonzept sinnvoll ist, welche Inhalte und Anwendungsbereiche es inkludieren kann und was es zu beachten gilt.
Datenschutzkonzept als Nachweis und Dokumentation
Die DSGVO verlangt das Einhalten sehr umfangreicher Nachweis- und Dokumentationspflichten. Mitunter gehören dazu beispielsweise datenschutzrechtliche Weisungen von Auftraggebern an Auftragnehmer bei Auftragsverarbeitungen gem. Art. 28 DSGVO, aber auch der Nachweis zum Einhalten der Verarbeitungsgrundsätze nach Art. 5 DSGVO sowie insbesondere der Nachweis der vorgenommenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.
Um den Überblick zu behalten, ist es sinnvoll, die Nachweise und Dokumentationen von Datenschutzmaßnahmen zu bündeln – nämlich in einem Datenschutzkonzept. Mit diesem Einsatz wird das Datenschutzkonzept zu einem wesentlichen Dokument im unternehmerischen Datenschutz.
Datenschutzkonzept – was ist das eigentlich?
Das Datenschutzkonzept ist eine schriftliche Dokumentation sämtlicher datenschutzrechtlicher Aspekte eines Unternehmens. Je nach Einzelfall fällt diese Form der Dokumentation mal mehr, mal weniger umfangreich aus. Man unterscheidet die allgemeine Form vom anwendungsspezifischen Datenschutzkonzept:
- Allgemeines Datenschutzkonzept: sämtliche datenschutzrechtlichen Anforderungen werden für jeden Prozess und jede Anwendung in der Organisation dokumentiert.
- Anwendungsspezifisches Datenschutzkonzept: Bei dieser Form wird das allgemeine Datenschutzkonzept deutlich detaillierter für jede einzelne Anwendung bzw. jeden einzelnen Prozess zugeschnitten.
Die DSGVO macht die Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO zu einem wichtigen Grundsatz: Organisationen müssen geeignete technische und organisatorische Maßnahmen (TOM) nicht nur ergreifen, sondern bei Nachfrage auch nachweisen. Die Rechenschaftspflicht fordert Unternehmen also auf, die Wirksamkeit von Handlungen zu belegen. Mit einem Datenschutzkonzept kommen Unternehmen eben dieser Rechenschaftspflicht nach. Darüber hinaus ist das Datenschutzkonzept wertvoller Informationslieferant für Beschäftigte, Kunden oder Dienstleister, die sich über die Einhaltung der DSGVO informieren möchten.
Wer benötigt ein Datenschutzkonzept?
Die DSGVO schreibt die Erstellung eines Datenschutzkonzepts nicht direkt vor. Jedoch schreibt der Gesetzgeber durch die DSGVO Nachweis- und Dokumentationspflichten durch die Rechenschaftspflicht vor, weiter müssen TOM nachgewiesen werden. Und so bietet es sich an, eben diesen Pflichten in Form eines Datenschutzkonzepts nachzukommen. Sie können das Datenschutzkonzept als Gesamtkonzept zum Einhalten des Datenschutzes verstehen.
Und ein solches Gesamtkonzept ist überall da notwendig, wo personenbezogene Daten verarbeitet werden. Die im Datenschutzkonzept genannten Maßnahmen sowie die Wirksamkeit des Datenschutzes in der Organisation müssen durch ein System regelmäßig überprüft, bewertet und ggf. optimiert werden. Solch ein System kann im Rahmen von Managementsystemen als Datenschutz-Managementsystem (DSMS) bezeichnet werden.
Wesentliche Inhalte eines Datenschutzkonzepts
So individuell wie Unternehmen sind, fallen auch ihre Datenschutzkonzepte aus – doch es gibt einige wesentliche Inhalte, die in jedem Datenschutzkonzept inkludiert sein sollten. Dazu zählen:
- Datenschutzleitlinie in der Organisation
- Verantwortlichkeiten im Unternehmen
- Rechtliche Rahmenbedingungen zum Datenschutz
- Dokumentation von Verarbeitungen bzw. Prozessen
- Organisatorische Mindestregelungen
- Schutzbedarfsbewertungen und Risikoanalysen
- Bestehende Auftragsverarbeitungen
- Technische und organisatorische Maßnahmen
Im Wesentlichen enthalten Datenschutzkonzepte also die Ziele, Verantwortlichkeiten sowie die Dokumentationspflichten einer Organisation, womit es ein wichtiges Strategiepapier darstellt. Ergänzende Inhalte und der Umfang des Datenschutzkonzepts variieren je nach Unternehmen und Zielrichtung. Denn das Datenschutzkonzept sollte die individuellen Bedingungen, die im jeweiligen Unternehmen existieren, widerspiegeln.
Datenschutzkonzept: Das sollten Sie beachten
Betrachten wir noch einmal den Zweck vom Datenschutzkonzept: Es zielt darauf ab, jene Maßnahmen zu erläutern, die in der Organisation zum Einhalten und Sichern des Datenschutzes getroffen werden. Deshalb ist eine gute Gliederung essenziell. Diese Strukturierung und die weiteren Inhalte erfordern jedoch ein gewisses Maß an Flexibilität: Bedenken Sie schon im Voraus, dass sich die Anforderungen an den Datenschutz beispielsweise durch neue Gesetze ändern können. Dementsprechend gilt es, das Datenschutzkonzept regelmäßig auf Aktualität zu prüfen und die genannten Maßnahmen ggf. anzupassen.
Das Datenschutzkonzept weist die getroffenen Maßnahmen zur Datenschutzkonformität auf, darüber hinaus erklärt es, wie datenschutzrechtlich risikoreiche Punkte behandelt werden. Deshalb ist es sinnvoll, sich insbesondere an den technischen und organisatorischen Maßnahmen zu orientieren. Grundsätzlich ist es hilfreich, beim Aufbau des Datenschutzkonzepts wie folgt vorzugehen:
- Evaluieren Sie den Status quo. Das erreichen Sie beispielsweise durch ein Audit.
- Erstellen Sie eine Datenschutzorganisation, indem Sie Verantwortlichkeiten klären und so ein Team für den Datenschutz aufstellen.
- Optimieren Sie das Einhalten des Datenschutzes kontinuierlich. Maßnahmen dafür können regelmäßige Schulungen für Ihre Beschäftigten sein.
- Listen Sie die von Ihnen getroffenen technischen und organisatorischen Maßnahmen auf, prüfen Sie diese regelmäßig und passen Sie sie ggf. an.
- Erklären Sie in Ihrem Datenschutzkonzept auch die rechtlichen Rahmenbedingungen. Auf welcher rechtlichen Basis werden welche personenbezogenen Daten wie für welchen Zweck verarbeitet?
Datenschutzkonzept nur als Gesamtbild möglich
Ein Datenschutzkonzept bündelt all Ihre Maßnahmen im datenschutzrechtlichen Kontext – und es ist aufgrund der Nachweispflichten, denen Sie nachzukommen haben, von größter Bedeutung. Jedes Unternehmen ist gut beraten, ein individuelles Datenschutzkonzept aufzustellen.
Es hilft jedoch sehr, das Datenschutzkonzept beim Erstellen nicht nur aus dem Blickwinkel des Datenschutzes zu betrachten. Bedenken Sie, dass effektiver und wirksamer Datenschutz nur dann möglich ist, wenn er mit Teilbereichen der Informationssicherheit und IT-Sicherheit gekoppelt wird – wie Sie idealerweise in der Auflistung der von Ihnen getroffenen technischen und organisatorischen Maßnahmen deutlich machen können.
Wie Sie sehen, ist die Erstellung eines Datenschutzkonzepts eine umfassende Aufgabe, die zeitliche und personelle Ressourcen binden kann. Ein Pauschalrezept existiert auch nicht: Es kommt auf Ihre individuellen Maßnahmen an. Deshalb kann es sinnvoll sein, sich bei der Erstellung eines Datenschutzkonzepts auf externe Unterstützung zu verlassen, die wir Ihnen gerne bei Bedarf zukommen lassen. Wir, die PSW CONSULTING, unterstützen Sie gerne und mit unserem Fachwissen bei Ihrem individuellen Datenschutzkonzept – nehmen Sie einfach unverbindlich Kontakt auf und lassen Sie sich beraten.