Dieser Artikel soll beispielhaft zeigen, wie der Aufbau einer Datenschutzrichtlinie bzw. eines Datenschutzkonzeptes (DSK) gestaltet werden kann, damit man seinen Pflichten nach DSGVO nach kommt. Das Datenschutzkonzept soll dabei eine zentrale Rolle im Datenschutzmanagement spielen und kann als Zusammenfassung aller Maßnahmen zum Datenschutz gesehen werden.
In diesem Artikel erfahren Sie:
- Woher die Pflicht zum Unternehmensdatenschutzkonzept überhaupt kommt.
- Was ein beispielhafter Aufbau (Vorlage) sein kann.
- Was der Unterschied zwischen Datenschutzkonzept (DSK) und Datenschutzmanagementsystem (DSM) ist.
- Beispiele für Datenschutzkonzepte sowie Antworten zu den drei häufigsten Fragen zum Thema.
Inhalte
- Die Pflicht ein Datenschutzkonzept aufzustellen
- Das Datenschutzkonzept aufstellen – so geht’s
- Erledigen Sie Ihre Datenschutzdokumentation.
- Klären Sie alle Verantwortlichkeiten.
- Führen Sie eine Schulung durch.
- Fügen Sie alles zusammen und erstellen Sie den ersten Entwurf.
- Binden Sie die Verantwortlichen ein.
- Finalisieren Sie Ihr Datenschutzkonzept und veröffentlichen Sie es gegebenenfalls.
- Setzen Sie ein Datum zur Überprüfung fest.
- Aufbau eines Datenschutzkonzeptes nach der Datenschutzgesetzgebung
- Abgrenzung Datenschutzkonzept und Datenschutzmanagementsystem
- Der Unterschied zwischen einem Datenschutzkonzept (Datenschutzrichtlinie) und einer Datenschutzerklärung
- Stellung des Datenschutzkonzeptes in 2022
- Beispiele von Datenschutzkonzepten aus der Praxis
- Die drei häufigsten Fragen zum Datenschutzkonzept nach DSGVO
- Quellen
Die Pflicht ein Datenschutzkonzept aufzustellen
Die Pflicht nach der Datenschutz-Grundverordnung ein Datenschutzkonzept bzw. eine offizielle Datenschutzrichtlinie für sein Unternehmen zu verfassen, ergibt sich nur indirekt aus dem Gesetz. Das DSK fasst vielmehr eine Vielzahl von Vorschriften und Dokumentationen an einer Stelle im Unternehmen zentral zusammen. Es dient hauptsächlich dem Nachweis und der Sammlung von Informationen.
Diese sind unter anderem:
- Allgemeine Rechenschaftspflichten nach Art. 5 (2) DSGVO.
- Weisungsbindung des Auftragsverarbeiters nach Art. 28 DSGVO.
- Dokumentation und Einholung von Einwilligungen nach Art 7 DSGVO.
- Dokumentation der technischen und organisatorischen Maßnahmen (TOM) nach Art. 24 DSGVO.
- Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
Darüber hinaus dient es auch zur Information von Mitarbeitern oder sogar Kunden und Dienstleistern, denn in der Datenschutzrichtlinie wird auch festgelegt, was die Datenschutzziele sind.
Insgesamt ist also festzuhalten, dass dieses Dokument sehr zentral im Unternehmen ist.
Das Datenschutzkonzept aufstellen – so geht’s
So stellen Sie Ihr Datenschutzkonzept in 7 Schritten auf.
Gesamtzeit: 2 Tage
Erledigen Sie Ihre Datenschutzdokumentation.
Nach DSGVO müssen Sie einige Dokumente hinterlegen, um Ihren Rechenschaftspflichten nachzukommen: Verzeichnis von Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen, AV-Verträge und noch einiges mehr. Diese Dokumente werden später in Ihrem Datenschutzkonzept referenziert, also sollten diese vorliegen.
Klären Sie alle Verantwortlichkeiten.
Wer ist für den Datenschutz im Unternehmen zuständig? Haben Sie eine Rechtsabteilung? Diese Personen müssen alle bei der Erstellung des Konzeptes mitwirken.
Führen Sie eine Schulung durch.
Sollten Sie Ihre Mitarbeiter noch nicht geschult haben, dann ist jetzt spätestens der Zeitpunkt gekommen. Später müssen Sie im Datenschutzkonzept darstellen, wann Sie zuletzt geschult haben und in welchem Turnus Sie das ganze wiederholen möchten.
Fügen Sie alles zusammen und erstellen Sie den ersten Entwurf.
Am besten Sie besorgen sich eine Vorlage, welche die wichtigsten Punkte des Datenschutzkonzeptes direkt vorgibt, wenn Sie diese nicht haben, finden Sie unten eine Mustergliederung. Füllen Sie das Konzept mit Leben und hinterlegen Sie alles wichtige.
Binden Sie die Verantwortlichen ein.
Kommunizieren Sie das Konzept mit allen Verantwortlichen im Unternehmen. Holen Sie Feedback ein.
Finalisieren Sie Ihr Datenschutzkonzept und veröffentlichen Sie es gegebenenfalls.
Wenn Sie Ihr Dokument fertig gestellt haben und mit Briefkopf und Unterschrift versehen haben, wird es zeit sich zu überlegen, ob Sie es veröffentlichen möchten. Dies kann per Aushang geschehen oder im Wiki. Dabei besteht allerdings keine Pflicht, dies zu tun. Oft möchten Geschäftspartner das Konzept sehen, weswegen Sie hier auch tätig werden können.
Setzen Sie ein Datum zur Überprüfung fest.
Sie sollten nicht nur Ihr Datenschutzkonzept, sondern auch Ihre Datenschutzdokumentation regelmäßig, am besten jährlich, überprüfen. Setzen Sie direkt jetzt ein Datum dafür fest.
Aufbau eines Datenschutzkonzeptes nach der Datenschutzgesetzgebung
Um konform mit der DSGVO zu sein, sollte ein Datenschutz-Konzept einen bestimmten Aufbau aufweisen, welcher hier beispielhaft beleuchtet werden soll. Die Inhalte können allgemein gehalten werden und so gestaltet werden, dass sich auch externe ein Bild vom Datenschutz im Unternehmen machen können, ohne Interna preis zugeben.
Grundsätzlicher Aufbau:
- Vorwort / Präambel
- Selbstverpflichtung
- Veröffentlichungsdatum / Revision
- Verantwortlichkeiten und Datenschutzorganisation
- Datenschutzbeauftragter
- Veröffentlichung des DSK
- Verantwortliche Stelle
- Gesetzliche Grundlagen
- Kontinuierliche Verbesserung des Datenschutzmanagementsystems
- Schulungen und Sensibilisierungen
- Datenschutzprozesse und Dokumentationen
- Verzeichnis von Verarbeitungstätigkeiten
- Risikoanalyse
- Technische und organisatorische Maßnahmen
- AV-Verträge
- Weitere Dokumentationen, wie zur Bestellung eines Datenschutzbeauftragten.
- Aktualisierungsturnus
- Organisatorische Maßnahmen (z.B. Verantwortlichkeiten)
- Technische Maßnahmen
- Rechtliche Rahmenbedingungen
- Direkte allgemeine gesetzliche Regelungen
- Branchenspezifische Regelungen
Vorwort / Präambel
Im Vorwort sollte festgelegt werden, wozu diese Richtlinie verfasst wurde. Hier kann konkret stehen, dass man sich verpflichtet, gemäß Datenschutzrecht besonders sorgsam mit persönlichen Daten umzugehen. Aber auch, dass sich alle Mitarbeiter zur Einhaltung der Richtlinie verpflichtet sehen.
Erfassen Sie wann und wie diese Richtlinie veröffentlicht wurde. Geben Sie im Vorwort an, wie Sie Daten verarbeiten. Hier ist der Katalog des Art. 5 DSGVO hilfreich und kann direkt in die Richtlinie übernommen werden. Also z.B. dass Sie „Auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise.“ Daten verarbeiten.
Verantwortlichkeiten und Datenschutzorganisation
Geben Sie hier die Anschrift der verantwortlichen Stelle, des Datenschutzbeauftragten und des gesetzlichen Vertreters an. Klären Sie außerdem, wer operativ verantwortlich ist, den Datenschutz einzuhalten. Dies ist in der Regel nicht der Datenschutzbeauftragte.
Auch ein vorhandenes Berechtigungs- und Rollenkonzept sollte erwähnt bzw. wiedergegeben werden.
Kontinuierliche Verbesserung des Datenschutzmanagementsystems
Halten Sie hier fest, welche Schulungen Sie mit welchem Inhalt in welchem Turnus anbieten. Wer ist beteiligt, was waren die Inhalte? Beantworten Sie auch die Frage, welche Maßnahmen zur Sensibilisierung bzgl. des Datenschutzes getroffen wurden. Hier bietet es sich an auch zu erfassen, wenn Sie Ihre Mitarbeiter eine Verpflichtungserklärung unterschreiben lassen.
Auch unter diesen Punkt fallen die umfangreichen Dokumentationen nach EU-DSGVO. Halten Sie also fest, wann Sie die Dokumentationen abgeschlossen haben, wo sie abgelegt sind z.B. Aktenschrank der Geschäftsführung, Ordnerbeschriftung: „Datenschutz 2022“. und wann Sie vor haben die Dokumente auf Notwendigkeit, Angemessenheit und Aktualität zu überprüfen. Dies betrifft:
- Verzeichnis von Verarbeitungstätigkeiten
- Risikoanalyse
- Technische und organisatorische Maßnahmen
- AV-Verträge
- Weitere Dokumentationen, wie zur Bestellung eines Datenschutzbeauftragten.
Für das Verzeichnis von Verarbeitungstätigkeiten könnten Sie dann schreiben:
- Das Verzeichnis von Verarbeitungstätigkeiten wurde an folgendem Datum erstellt: <DATUM>
- Der Ablageort ist: Aktenschrank der Geschäftsführung, Ordnerbeschriftung: „Datenschutz 2022“
- In folgendem Turnus werden die Verarbeitungstätigkeiten auf Notwendigkeit, Angemessenheit und Aktualität überprüft: Jährlich
Beschreiben Sie hier auch, wie Sie AV-Verträge gestalten und welche Klassifizierung zur Anwendung kommen, wenn Sie neue Dienstleister oder Technik einkaufen.
Nennen Sie auch konkrete Verantwortliche, z.B. „Vor der Anschaffung von Hard- oder Software ist folgende Person zu kontaktieren (Technik-Verantwortlicher für den Datenschutz):“.
Rechtliche Rahmenbedingungen
Neben Datenschutz-Grundverordnung und BDSG (neu) gelten noch verschiedenste andere Gesetze, die z.B. die Aufbewahrungspflichten thematisieren.
Dies können sein:
- Handelsgesetzbuch
- Sozialgesetzbuch (SGB) Fünftes Buch (V)
- Telekommunikationsgesetz
- Telemediengesetz (TMG)
- Abgabenordnung (AO)
- Einkommensteuergesetz (EstG)
- Strafgesetzbuch (StGB)
Darüber hinaus sollten Sie festhalten, welche branchenspezifischen Regelungen gelten. Ein fertiges Datenschutzkonzept erhalten Sie in allen Vorlagenpaketen.
Abgrenzung Datenschutzkonzept und Datenschutzmanagementsystem
Das Datenschutzkonzept sollte hier nicht mit einem Datenschutzmanagementsystem (DSM) verwechselt werden. Das DSM ist eher ein operatives Instrument, welches den laufenden Datenschutz mit Hilfe von Datenschutzprozessen regelt. Diese können z.B. das Umgehen mit Betroffenenanfragen oder die Meldung von Datenpannen sein. Das Datenschutzkonzept ist eher ein Dokument, welches die grundlegenden Prinzipien wiedergibt.
Der Unterschied zwischen einem Datenschutzkonzept (Datenschutzrichtlinie) und einer Datenschutzerklärung
Eine Datenschutzerklärung dient der Information der Betroffenen, z.B. wenn Sie eine Webseite betreiben. Hier geht es darum, Externe zu informieren und es den Betroffen zu ermöglichen informierte Entscheidungen zu treffen. Das Datenschutzkonzept ist eher für den internen Gebrauch gedacht und wird, wenn überhaupt, nur an ausgewählte Empfänger weiter gegeben.
Stellung des Datenschutzkonzeptes in 2022
Durch die Aufstellung dieser Dokumentation haben Sie auch gleich eine Checkliste zur Hand, die Ihnen zeigt, was noch zu tun ist, um nach DSGVO konform zu sein. Bei einer Behördenanfrage haben Sie gleichzeitig eine Übersicht über alle Maßnahmen, die Sie getroffen haben. Außerdem kann das Datenschutzkonzept Basis für einen Audit sein und kann direkt in einen Auditbericht mit aufgenommen werden.
Beispiele von Datenschutzkonzepten aus der Praxis
- Ein ausführliches Datenschutzkonzept hat die Daimler AG aufgestellt.
- Ein ordentliches Datenschutzkonzept der Gemeinde Ilvesheim.
- Ein weiteres Beispiel für ein Datenschutzkonzept.
Die drei häufigsten Fragen zum Datenschutzkonzept nach DSGVO
Wer braucht überhaupt ein Datenschutzkonzept?
Grundsätzlich jeder, der personenbezogene Daten verarbeitet und damit unter die gesetzlichen Bestimmungen der DSGVO fällt.
Dabei ist es unerheblich, wie groß oder komplex das Unternehmen ist, allerdings muss ein Datenschutzkonzept für einen Einzelunternehmer nicht 20 Seiten umfassen.
Wer erstellt das Datenschutzkonzept nach DSGVO?
Dafür verantwortlich ist die verantwortliche Stelle gem. EU-Datenschutz-Grundverordnung. Sie ist schließlich auch für die Einhaltung der DSGVO Grundsätze zuständig und haftbar.
In der Praxis werden Datenschutzkonzepte aber häufig entweder von externen Beratern oder vom Datenschutzbeauftragten aufgestellt und anschließend von der Geschäftsführung beschlossen und genehmigt.
Warum muss ein Datenschutzkonzept aufgestellt werden?
Eine gesetzliche Pflicht ergibt sich nicht. Das Datenschutzkonzept kann aber als Zusammenfassung aller Rechenschafts- und Dokumentationspflichten gem. DSGVO gesehen werden und ist damit ein praktisches Instrument für den Verantwortlichen.
Was ist ein Datenschutzkonzept?
Ein Datenschutzkonzept soll darüber Auskunft geben, wie Datenschutz im Unternehmen umgesetzt und eingehalten wird. Es gibt keine Pflichtinhalte für ein Datenschutzkonzept, vielmehr kommt der Verantwortliche mit seinem Konzept seinen Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO nach.
Quellen
https://dsgvo-gesetz.de/art-5-dsgvo/
https://dsgvo-gesetz.de/art-30-dsgvo/