Datenschutzkonzept

 

Worum geht es?

Das Datenschutzkonzept ist die Dokumentation des Datenschutzmanagementsystems und schafft einheitliche Datenschutzrichtlinien und Arbeitsanweisungen im Unternehmen zur Umsetzung der Datenschutzvorgaben.

Eine vorgesehene Struktur oder inhaltliche, sowie formelle Vorgaben für ein Datenschutzkonzept bestehen nicht. Auch der Begriff ist nicht einheitlich geklärt. Die Notwendigkeit eines Datenschutzkonzeptes ergibt sich vielmehr aus den Nachweispflichten der Datenschutzgesetze. So muss beispielsweise nach Art. 24 Datenschutz-Grundverordnung (DS-GVO) ein Nachweis über die Einhaltung der Gesetze erfolgen und nach Art. 5 Abs. 2 DS-GVO nachweisbar sein, wie die Grundsätze zum Datenschutz umgesetzt werden (Rechenschaftspflicht). Nach Art. 32 DS-GVO hat zudem ein Nachweis zu erfolgen, wie technische und organisatorische Maßnahmen umgesetzt und weiterentwickelt werden.

Ebenso können auch Inhalte einer Datenschutzleitlinie in das Datenschutzkonzept integriert werden. Hierbei geht es darum, die eigenen unternehmerischen Ziele im Datenschutz festzulegen. Interessen der Stakeholder (Kunden, Mitarbeiter) aufzugreifen, zu priorisieren und Ressourcen für die Umsetzung zu definieren. Die Leitlinie entspricht eher der strategische Ausrichtung des Datenschutzes im Unternehmen.

Vorgehensweise zur Erstellung des Datenschutzkonzept

Da es keine konkreten Vorgaben zum Datenschutzkonzept gibt, sollte vorab geklärt werden, welche Ziele damit verfolgt werden. Folgende Fragestellungen können für die beabsichtigte Intention eines Datenschutzkonzepts hilfreich sein:

Für wen ist das Datenschutzkonzept gedacht? Soll es sich rein um nachweispflichtige Themen handeln?

Sollen Arbeitsanweisungen und Richtlinien zur Umsetzung im Konzern definiert werden?

Inwieweit sollen strategische Inhalte mit einfließen?

Erfahrungsgemäß schreibt der Datenschutzbeauftragte des Unternehmens das Datenschutzkonzept. Dies muss jedoch in enger Abstimmung mit der Geschäftsführung erfolgen, da insbesondere bei strategischen Inhalten, Richtlinien und Arbeitsanweisungen die Einbindung weiterer Ressourcen notwendig ist.

Mögliche Inhalte können sein:

  • Unternehmensorganisation
    1. Definition des Verantwortlichen
    2. Verantwortliche Personen für den Datenschutz
    3. Datenschutz im Konzernverbund
  • Zweck des Datenschutzkonzeptes
    1. Ziele
    2. Grundsätzliche Ausrichtung des Datenschutzes
  • Grundsätze zur Datenverarbeitung
  • Umsetzung von Betroffenenrechten
  • Zusammenarbeit mit Dritten/Dienstleistern
    1. Datenweitergabe im Konzern
    2. Auftragsverarbeitung
  • Privacy by design and default
  • Sicherheit von Datenverarbeitungen (TOMs)
  • Datenschutzmanagement
    1. Organisation
    2. Datenschutzbeauftragter
    3. Verfahrensverzeichnis
  • Risikomanagement
  • Incident-Management/Notfallmanagement

Ihr Nutzen

Das Datenschutzkonzept ist das Managementhandbuch im Bereich Datenschutz und erfüllt unterschiedliche gesetzliche Aufgaben des Unternehmens:

  1. Strategische Ausrichtung des Datenschutzes und Festlegung des Stellwertes im Unternehmen
  2. Umsetzung der gesetzlichen Nachweispflichten
  3. Nachweisbarkeit einer konformen Datenschutzumsetzung gegenüber wichtigen Stakeholdern
  4. Definition von konkreten Aufgaben, Kompetenzen und Ressourcen im Unternehmen
  5. Konkretisierung der gesetzlichen Anforderungen, um Beschäftigten verständlich zu erläutern, wie die grundsätzliche Vorgehensweise im Unternehmen zur Erfüllung dieser ist.

Verfasser: Michael Konitzer