Ein Datenschutzkonzept beinhaltet die umfassende Dokumentation all Ihrer Datenverarbeitungs-Tätigkeiten und Ihrer Maßnahmen zum Datenschutz. Mit ihm weisen Sie nach, dass Sie über die Bestimmungen der DSGVO im Bilde sind und sie umsetzen. Lesen Sie in diesem Beitrag, welche Fragen Sie beim Erstellen dieser Dokumentation beantworten müssen!
Brauchen Sie ein solches Konzept?
Dazu verpflichtet sind Sie nur indirekt. Wer die DSGVO durchgeht, findet an verschiedenen Stellen einen Hinweis auf die Dokumentationspflicht der Datenschutz-Maßnahmen im Unternehmen. So fordert Artikel 5, Absatz 2 DSGVO beispielsweise:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 [Anm.: Absatz 1 regelt die Grundsätze der Datenverarbeitung] verantwortlich und muss dessen Einhaltung nachweisen können (‘Rechenschaftspflicht’).“
Auch diverse Formulierungen in Artikel 7, Artikel 24, Artikel 33 und Artikel 35 legen Ihnen eine sorgfältige Dokumentation nahe. Daraus ergibt sich letztendlich das Datenschutzkonzept, in welchem die Einhaltung aller Bestimmungen der DSGVO nachgewiesen wird. Besonders wichtig ist dies, falls Sie mit Aufsichtsbehörden in Konflikt geraten. Andererseits kann das Datenschutzkonzept aber auch als „Handbuch“ im Unternehmen selbst dienen, um allen Angestellten eine Richtlinie für den Umgang mit Daten vorzugeben. Weiterhin dient das Konzept als Überblick für Kunden oder andere am Unternehmen Beteiligte, wie Sie mit deren Daten umgehen.
Was genau in dieser Dokumentation enthalten sein muss, unterscheidet sich je nach Unternehmen und Umfang der Verarbeitungstätigkeiten. Deshalb ist ein sachgemäßes Datenschutzkonzept auch eine komplexe Aufgabe, die Genauigkeit und Kenntnis der Datenschutzregelungen fordert. Starten Sie am besten mit einem Audit, um bestehende Systeme bzw. Prozesse zu erfassen und zu prüfen. Anschließend schlage ich vor, Ihr Datenschutzkonzept nach folgendem Muster aufzubauen und die Punkte an Ihr Unternehmen anzupassen. Kontaktieren Sie mich dazu am besten, sobald Sie den Beitrag gelesen haben, und lassen Sie uns Ihr Konzept gemeinsam erstellen – von Anfang an richtig und mit weniger Aufwand Ihrerseits!
Hinweis: Bei diesem Leitfaden handelt es sich um die Angaben für ein Unternehmensdatenschutzkonzept. Dieses lässt sich anschließend noch detaillierter in ein prozess-, produkt- und anwendungsspezifisches Konzept untergliedern.
Diese Angaben gehören in ein grundlegendes Datenschutzkonzept
1. Rahmenbedingungen
Zu Beginn Ihres Datenschutzkonzepts stellen Sie die Ziele dar, die Sie mit dieser Dokumentation verfolgen. Dabei kann es sich zum Beispiel um eine Richtlinie für Mitarbeiter oder ein Nachweis für Aufsichtsbehörden oder Kunden handeln. Außerdem geben Sie an dieser Stelle an, auf welche Weise Sie Daten verarbeiten. Orientieren Sie sich hierzu an den Vorgaben aus Artikel 5, Absatz 1 DSGVO. Ergänzen Sie das Vorwort um Ort und Datum der Veröffentlichung und, soweit eine Überarbeitung erfolgt ist, die Aktualität. Wichtig ist außerdem die rechtliche Grundlage, auf der Sie personenbezogene Daten verarbeiten bzw. speichern. Artikel 6 DSGVO listet auf, in welchem Rahmen die Datenverarbeitung rechtmäßig ist.
2. Verantwortliche
Wer ist in Ihrem Unternehmen für das Einhalten der DSGVO zuständig? In Ihrem Datenschutzkonzept dürfen Name und Kontaktdaten dieser Personen nicht fehlen. Üblicherweise sind das der Datenschutz-Verantwortliche, der interne oder externe Datenschutzbeauftragte und dessen Vertreter.
3. Verarbeitungstätigkeiten
In jedem Fall gehört in das Datenschutzkonzept eine Angabe, wessen personenbezogene Daten in Ihrem Unternehmen verarbeitet werden und zu welchem genauen Zweck:
- Mitarbeiterdaten zur Personalverwaltung/Gehaltsabrechnung
- Kunden- oder Lieferantendaten zur Auftragserfüllung
- Patientendaten zur ordnungsgemäßen Behandlung
- usw.
4. Datensicherheit
Geben Sie an, wie Ihr Unternehmen mit den erhobenen Daten umgeht. Fünf Bereiche sind dabei wichtig.
- Aufbewahrung: Wo und wie bewahrt Ihr Unternehmen die Daten auf?
- Zugriffsschutz: Wer ist in Ihrem Unternehmen dazu berechtigt, auf die Daten zuzugreifen? Welche technischen und organisatorischen Maßnahmen ergreifen Sie, um unbefugten Zugriff zu verhindern?
- Löschen: Wie lange speichern Sie welche Daten? Gibt es eine Richtlinie, wie Daten so gelöscht werden, dass sie nicht wiederhergestellt werden können? Und wie stellen Sie sicher, dass Daten nach Ablauf der Frist tatsächlich gelöscht werden?
- Weiterleitung: An wen leiten Sie Daten weiter – zum Beispiel im Rahmen einer Auftragsverarbeitungsvereinbarung? Werden Daten gar in Drittländer außerhalb des Geltungsbereichs der DSGVO weitergeleitet?
- Anonymisierung: Daten müssen so aufbewahrt werden, dass sich daraus keine Rückschlüsse auf Personen ziehen lassen. Wie anonymisiert Ihr Unternehmen Daten? Wie gewährleisten Sie, dass einmal anonymisierte Daten nicht durch Unbefugte zurückerlangt werden können? Und unter welchen Bedingungen sind verarbeitende Personen befugt, die Daten zurückzuverfolgen?
5. Auskunftserteilung
Wessen Daten verarbeitet bzw. gespeichert werden, der hat ein Recht auf Auskunft darüber. In Ihrem Datenschutzkonzept sollte daher eine Richtlinie enthalten sein, die genau das regelt.
6. Notfallplan
Es kann immer vorkommen, dass einem Mitarbeiter eine Datenschutzpanne unterläuft oder es eine technische Störung gibt, durch die Daten in unbefugte Hände gelangen. Für solche Situationen sollten Sie schon vorab einen Notfallplan ausarbeiten, der vier Fragen beantwortet:
- Was sind risikobehaftete Stellen in Ihrem Unternehmen, an denen Datenschutzpannen eher auftreten könnten? Und welche möglichen Situationen ergeben sich daraus?
- An welchen Verantwortlichen können sich Mitarbeiter wenden, wenn sie einen Datenschutzverstoß bemerken oder gemeldet bekommen?
- Mit welchen Prüfschritten schätzen Sie ab, wie groß das Risiko für Betroffene ist?
- Welche Maßnahmen müssen ihre Mitarbeiter anschließend ergreifen?
Details dazu, wie Sie in einer solchen Situation handeln, erfahren Sie in meinem Leitfaden „Datenschutzanzeige – Das müssen Sie tun“.
Arbeiten Sie beim Erstellen des Datenschutzkonzepts mit einem Experten zusammen
Ein Datenschutzkonzept ist, wie ich bereits erwähnt habe, eine komplexe Angelegenheit, für die je nach Unternehmen verschiedenste Fragestellungen betrachtet werden müssen. Dieser Beitrag soll nur als erster Einblick dienen, wie umfangreich diese Dokumentation sein kann. Ein ordentliches Datenschutzkonzept sollten Sie detailliert ausarbeiten. Damit Sie dabei keine wichtigen Punkte vergessen, empfehle ich Ihnen: Ziehen Sie einen Datenschutz-Experten zu Rate. So sind Sie im Rahmen der Dokumentationspflicht auf der sicheren Seite.