Muster für ein Datenschutzkonzept nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Dieser Artikel soll beispielhaft zeigen, wie der Aufbau einer Datenschutzrichtlinie bzw. eines Datenschutzkonzeptes sein kann, damit man seinen Pflichten nach DSGVO nach kommt. Das Datenschutzkonzept soll dabei eine zentrale Rolle im Datenschutzmanagement spielen und kann als Zusammenfassung aller Maßnahmen zum Datenschutz gesehen werden.

In diesem Artikel erfahren Sie:

  • Woher die Pflicht zum Datenschutzkonzept überhaupt kommt.
  • Was ein beispielhafter Aufbau sein kann.
  • Was der Unterschied zwischen Datenschutzkonzept (DSK) und Datenschutzmanagementsystem (DSM) ist.
  • Beispiele für Datenschutzkonzepte sowie Antworten zu den drei häufigsten Fragen zum Thema.

Die Pflicht ein Datenschutzkonzept aufzustellen

Die Pflicht nach DSGVO ein Datenschutzkonzept bzw. eine offizielle Datenschutzrichtlinie für sein Unternehmen zu verfassen, ergibt sich nur indirekt aus dem Gesetz. Das Datenschutzkonzept fasst vielmehr eine Vielzahl von Vorschriften und Dokumentationen an einer Stelle im Unternehmen zentral zusammen. Es dient hauptsächlich dem Nachweis und der Sammlung von Informationen.

Diese sind unter anderem:

Darüber hinaus dient es auch zur Information von Mitarbeitern oder sogar Kunden und Dienstleistern, denn in der Datenschutzrichtlinie wird auch festgelegt, was die Datenschutzziele sind.

Insgesamt ist also festzuhalten, dass dieses Dokument sehr zentral im Unternehmen ist.

Aufbau eines Datenschutzkonzeptes nach der DSGVO

Um konform mit der DSGVO zu sein, sollte ein Datenschutzkonzept einem bestimmten Aufbau aufweisen, welcher hier beispielhaft beleuchtet werden soll. Die Inhalte können allgemein gehalten werden und so gestaltet werden, dass sich auch externe ein Bild vom Datenschutz im Unternehmen machen können, ohne Interna preis zugeben.

Ein Datenschutzkonzept sollte schriftlich verfasst werden.

Vorwort / Präambel

Im Vorwort sollte festgelegt werden, wozu diese Richtlinie verfasst wurde. Hier kann konkret stehen, dass man sich verpflichtet, gemäß DSGVO besonders sorgsam mit persönlichen Daten umzugehen. Aber auch, dass sich alle Mitarbeiter zur Einhaltung der Richtlinie verpflichtet sehen.

Erfassen Sie wann und wie diese Richtlinie veröffentlicht wurde. Geben Sie im Vorwort an, wie Sie Daten verarbeiten. Hier ist der Katalog des Art. 5 DSGVO hilfreich und kann direkt in die Richtlinie übernommen werden. Also z.B. dass Sie „Auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise.“ Daten verarbeiten.

Verantwortlichkeiten und Datenschutzorganisation

Geben Sie hier die Anschrift der verantwortlichen Stelle, des Datenschutzbeauftragten und des gesetzlichen Vertreters an. Klären Sie außerdem, wer operativ verantwortlich ist, den Datenschutz einzuhalten. Dies ist in der Regel nicht der Datenschutzbeauftragte.

Kontinuierliche Verbesserung des Datenschutzmanagementsystems

Halten Sie hier fest, welche Schulungen Sie mit welchem Inhalt in welchem Turnus anbieten. Wer ist beteiligt, was waren die Inhalte? Beantworten Sie auch die Frage, welche Maßnahmen zur Sensibilisierung bzgl. des Datenschutzes getroffen wurden. Hier bietet es sich an auch zu erfassen, wenn Sie Ihre Mitarbeiter eine Verpflichtungserklärung unterschreiben lassen.

Tastatur auf der ein Datenschutzkonzept verfasst wurde.

Auch unter diesen Punkt fallen die umfangreichen Dokumentationen nach DSGVO. Halten Sie also fest, wann Sie die Dokumentationen abgeschlossen haben, wo sie abgelegt sind z.B. Aktenschrank der Geschäftsführung, Ordnerbeschriftung: „Datenschutz 2020“.  und wann Sie vor haben die Dokumente auf Notwendigkeit, Angemessenheit und Aktualität zu überprüfen. Dies betrifft:

Für das Verzeichnis von Verarbeitungstätigkeiten könnten Sie dann schreiben:

  1. Das Verzeichnis von Verarbeitungstätigkeiten wurde an folgendem Datum erstellt: DATUM
  2. Der Ablageort ist: Aktenschrank der Geschäftsführung, Ordnerbeschriftung: „Datenschutz 2020“
  3. In folgendem Turnus werden die Verarbeitungstätigkeiten auf Notwendigkeit, Angemessenheit und Aktualität überprüft: Jährlich

Beschreiben Sie hier auch, wie Sie AV-Verträge gestalten und welche Klassifizierung zur Anwendung kommen, wenn Sie neue Dienstleister oder Technik einkaufen.

Nennen Sie auch konkrete Verantwortliche, z.B. „Vor der Anschaffung von Hard- oder Software ist folgende Person zu kontaktieren (Technik-Verantwortlicher für den Datenschutz):“.

Rechtliche Rahmenbedingungen

Neben Datenschutz-Grundverordnung und BDSG (neu) gelten noch verschiedenste andere Gesetze, die z.B. die Aufbewahrungspflichten thematisieren.

Dies können sein:

  • Handelsgesetzbuch
  • Sozialgesetzbuch (SGB) Fünftes Buch (V)
  • Telekommunikationsgesetz
  • Telemediengesetz (TMG)
  • Abgabenordnung (AO)
  • Einkommensteuergesetz (EstG)
  • Strafgesetzbuch (StGB)

Darüber hinaus sollten Sie festhalten, welche branchenspezifischen Regelungen gelten. Ein fertiges Datenschutzkonzept erhalten Sie in allen Vorlagenpaketen.

Abgrenzung Datenschutzkonzept und Datenschutzmanagementsystem

Das Datenschutzkonzept sollte hier nicht mit einem Datenschutzmanagementsystem (DSM) verwechselt werden. Das DSM ist eher ein operatives Instrument, welches den laufenden Datenschutz mit Hilfe von Datenschutzprozessen regelt. Diese können z.B. das Umgehen mit Betroffenenanfragen oder die Meldung von Datenpannen sein. Das Datenschutzkonzept ist eher ein Dokument, welches die grundlegenden Prinzipien wiedergibt.

Stellung des Datenschutzkonzeptes in 2020

Durch die Aufstellung dieser Dokumentation haben Sie auch gleich eine Checkliste zur Hand, die Ihnen zeigt, was noch zu tun ist, um nach DSGVO konform zu sein. Bei einer Behördenanfrage haben Sie gleichzeitig eine Übersicht über alle Maßnahmen, die Sie getroffen haben. Außerdem kann das Datenschutzkonzept Basis für einen Audit sein und kann direkt in einen Auditbericht mit aufgenommen werden.

Beispiele von Datenschutzkonzepten aus der Praxis

Die drei häufigsten Fragen zum Datenschutzkonzept nach DSGVO

Wer braucht überhaupt ein Datenschutzkonzept?

Grundsätzlich jeder, der personenbezogene Daten verarbeitet und damit unter die gesetzlichen Bestimmungen der DSGVO fällt. Dabei ist es unerheblich, wie groß oder komplex das Unternehmen ist, allerdings muss ein Datenschutzkonzept für einen Einzelunternehmer nicht 20 Seiten umfassen.

Wer erstellt das Datenschutzkonzept nach DSGVO?

Dafür verantwortlich ist die verantwortliche Stelle gem. DSGVO. Sie ist schließlich auch für die Einhaltung der DSGVO Grundsätze zuständig und haftbar. In der Praxis werden Datenschutzkonzepte aber häufig entweder von externen Beratern oder vom Datenschutzbeauftragten aufgestellt und anschließend von der Geschäftsführung beschlossen und genehmigt.

Warum muss ein Datenschutzkonzept aufgestellt werden?

Eine gesetzliche Pflicht ergibt sich nicht. Das Datenschutzkonzept kann aber als Zusammenfassung aller Rechenschafts- und Dokumentationspflichten gem. DSGVO gesehen werden und ist damit ein praktisches Instrument für den Verantwortlichen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-5-dsgvo/

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

https://dsgvo-gesetz.de/art-35-dsgvo/