Muster für ein Datenschutzkonzept nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Dieser Artikel soll beispielhaft zeigen, wie der Aufbau einer Datenschutzrichtlinie bzw. eines Datenschutzkonzeptes (DSK) gestaltet werden kann, damit man seinen Pflichten nach DSGVO nach kommt. Das Datenschutzkonzept soll dabei eine zentrale Rolle im Datenschutzmanagement spielen und kann als Zusammenfassung aller Maßnahmen zum Datenschutz gesehen werden.

In diesem Artikel erfahren Sie:

  • Woher die Pflicht zum Unternehmensdatenschutzkonzept überhaupt kommt.
  • Was ein beispielhafter Aufbau (Vorlage) sein kann.
  • Was der Unterschied zwischen Datenschutzkonzept (DSK) und Datenschutzmanagementsystem (DSM) ist.
  • Beispiele für Datenschutzkonzepte sowie Antworten zu den drei häufigsten Fragen zum Thema.

Die Pflicht ein Datenschutzkonzept aufzustellen

Die Pflicht nach der Datenschutz-Grundverordnung ein Datenschutzkonzept bzw. eine offizielle Datenschutzrichtlinie für sein Unternehmen zu verfassen, ergibt sich nur indirekt aus dem Gesetz. Das DSK fasst vielmehr eine Vielzahl von Vorschriften und Dokumentationen an einer Stelle im Unternehmen zentral zusammen. Es dient hauptsächlich dem Nachweis und der Sammlung von Informationen.

Diese sind unter anderem:

Darüber hinaus dient es auch zur Information von Mitarbeitern oder sogar Kunden und Dienstleistern, denn in der Datenschutzrichtlinie wird auch festgelegt, was die Datenschutzziele sind.

Insgesamt ist also festzuhalten, dass dieses Dokument sehr zentral im Unternehmen ist.

Das Datenschutzkonzept aufstellen – so geht’s

So stellen Sie Ihr Datenschutzkonzept in 7 Schritten auf.

Gesamtzeit: 2 Tage

Erledigen Sie Ihre Datenschutzdokumentation.

Nach DSGVO müssen Sie einige Dokumente hinterlegen, um Ihren Rechenschaftspflichten nachzukommen: Verzeichnis von Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen, AV-Verträge und noch einiges mehr. Diese Dokumente werden später in Ihrem Datenschutzkonzept referenziert, also sollten diese vorliegen.

Klären Sie alle Verantwortlichkeiten.

Wer ist für den Datenschutz im Unternehmen zuständig? Haben Sie eine Rechtsabteilung? Diese Personen müssen alle bei der Erstellung des Konzeptes mitwirken.

Führen Sie eine Schulung durch.

Sollten Sie Ihre Mitarbeiter noch nicht geschult haben, dann ist jetzt spätestens der Zeitpunkt gekommen. Später müssen Sie im Datenschutzkonzept darstellen, wann Sie zuletzt geschult haben und in welchem Turnus Sie das ganze wiederholen möchten.

Fügen Sie alles zusammen und erstellen Sie den ersten Entwurf.

Am besten Sie besorgen sich eine Vorlage, welche die wichtigsten Punkte des Datenschutzkonzeptes direkt vorgibt, wenn Sie diese nicht haben, finden Sie unten eine Mustergliederung. Füllen Sie das Konzept mit Leben und hinterlegen Sie alles wichtige.

Binden Sie die Verantwortlichen ein.

Kommunizieren Sie das Konzept mit allen Verantwortlichen im Unternehmen. Holen Sie Feedback ein.

Finalisieren Sie Ihr Datenschutzkonzept und veröffentlichen Sie es gegebenenfalls.

Wenn Sie Ihr Dokument fertig gestellt haben und mit Briefkopf und Unterschrift versehen haben, wird es zeit sich zu überlegen, ob Sie es veröffentlichen möchten. Dies kann per Aushang geschehen oder im Wiki. Dabei besteht allerdings keine Pflicht, dies zu tun. Oft möchten Geschäftspartner das Konzept sehen, weswegen Sie hier auch tätig werden können.

Setzen Sie ein Datum zur Überprüfung fest.

Sie sollten nicht nur Ihr Datenschutzkonzept, sondern auch Ihre Datenschutzdokumentation regelmäßig, am besten jährlich, überprüfen. Setzen Sie direkt jetzt ein Datum dafür fest.

Aufbau eines Datenschutzkonzeptes nach der Datenschutzgesetzgebung

Um konform mit der DSGVO zu sein, sollte ein Datenschutz-Konzept einen bestimmten Aufbau aufweisen, welcher hier beispielhaft beleuchtet werden soll. Die Inhalte können allgemein gehalten werden und so gestaltet werden, dass sich auch externe ein Bild vom Datenschutz im Unternehmen machen können, ohne Interna preis zugeben.

Grundsätzlicher Aufbau:

  • Vorwort / Präambel
    • Selbstverpflichtung
    • Veröffentlichungsdatum / Revision
  • Verantwortlichkeiten und Datenschutzorganisation
    • Datenschutzbeauftragter
    • Veröffentlichung des DSK
    • Verantwortliche Stelle
    • Gesetzliche Grundlagen
  • Kontinuierliche Verbesserung des Datenschutzmanagementsystems
    • Schulungen und Sensibilisierungen
    • Datenschutzprozesse und Dokumentationen
      • Verzeichnis von Verarbeitungstätigkeiten
      • Risikoanalyse
      • Technische und organisatorische Maßnahmen
      • AV-Verträge
      • Weitere Dokumentationen, wie zur Bestellung eines Datenschutzbeauftragten.
      • Aktualisierungsturnus
    • Organisatorische Maßnahmen (z.B. Verantwortlichkeiten)
    • Technische Maßnahmen
  • Rechtliche Rahmenbedingungen
    • Direkte allgemeine gesetzliche Regelungen
    • Branchenspezifische Regelungen
Ein Datenschutzkonzept sollte schriftlich verfasst werden.

Vorwort / Präambel

Im Vorwort sollte festgelegt werden, wozu diese Richtlinie verfasst wurde. Hier kann konkret stehen, dass man sich verpflichtet, gemäß Datenschutzrecht besonders sorgsam mit persönlichen Daten umzugehen. Aber auch, dass sich alle Mitarbeiter zur Einhaltung der Richtlinie verpflichtet sehen.

Erfassen Sie wann und wie diese Richtlinie veröffentlicht wurde. Geben Sie im Vorwort an, wie Sie Daten verarbeiten. Hier ist der Katalog des Art. 5 DSGVO hilfreich und kann direkt in die Richtlinie übernommen werden. Also z.B. dass Sie „Auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise.“ Daten verarbeiten.

Verantwortlichkeiten und Datenschutzorganisation

Geben Sie hier die Anschrift der verantwortlichen Stelle, des Datenschutzbeauftragten und des gesetzlichen Vertreters an. Klären Sie außerdem, wer operativ verantwortlich ist, den Datenschutz einzuhalten. Dies ist in der Regel nicht der Datenschutzbeauftragte.

Auch ein vorhandenes Berechtigungs- und Rollenkonzept sollte erwähnt bzw. wiedergegeben werden.

Kontinuierliche Verbesserung des Datenschutzmanagementsystems

Halten Sie hier fest, welche Schulungen Sie mit welchem Inhalt in welchem Turnus anbieten. Wer ist beteiligt, was waren die Inhalte? Beantworten Sie auch die Frage, welche Maßnahmen zur Sensibilisierung bzgl. des Datenschutzes getroffen wurden. Hier bietet es sich an auch zu erfassen, wenn Sie Ihre Mitarbeiter eine Verpflichtungserklärung unterschreiben lassen.

Tastatur auf der ein Datenschutzkonzept verfasst wurde.

Auch unter diesen Punkt fallen die umfangreichen Dokumentationen nach EU-DSGVO. Halten Sie also fest, wann Sie die Dokumentationen abgeschlossen haben, wo sie abgelegt sind z.B. Aktenschrank der Geschäftsführung, Ordnerbeschriftung: „Datenschutz 2022“.  und wann Sie vor haben die Dokumente auf Notwendigkeit, Angemessenheit und Aktualität zu überprüfen. Dies betrifft:

Für das Verzeichnis von Verarbeitungstätigkeiten könnten Sie dann schreiben:

  1. Das Verzeichnis von Verarbeitungstätigkeiten wurde an folgendem Datum erstellt: <DATUM>
  2. Der Ablageort ist: Aktenschrank der Geschäftsführung, Ordnerbeschriftung: „Datenschutz 2022“
  3. In folgendem Turnus werden die Verarbeitungstätigkeiten auf Notwendigkeit, Angemessenheit und Aktualität überprüft: Jährlich

Beschreiben Sie hier auch, wie Sie AV-Verträge gestalten und welche Klassifizierung zur Anwendung kommen, wenn Sie neue Dienstleister oder Technik einkaufen.

Nennen Sie auch konkrete Verantwortliche, z.B. „Vor der Anschaffung von Hard- oder Software ist folgende Person zu kontaktieren (Technik-Verantwortlicher für den Datenschutz):“.

Rechtliche Rahmenbedingungen

Neben Datenschutz-Grundverordnung und BDSG (neu) gelten noch verschiedenste andere Gesetze, die z.B. die Aufbewahrungspflichten thematisieren.

Dies können sein:

  • Handelsgesetzbuch
  • Sozialgesetzbuch (SGB) Fünftes Buch (V)
  • Telekommunikationsgesetz
  • Telemediengesetz (TMG)
  • Abgabenordnung (AO)
  • Einkommensteuergesetz (EstG)
  • Strafgesetzbuch (StGB)

Darüber hinaus sollten Sie festhalten, welche branchenspezifischen Regelungen gelten. Ein fertiges Datenschutzkonzept erhalten Sie in allen Vorlagenpaketen.

Abgrenzung Datenschutzkonzept und Datenschutzmanagementsystem

Das Datenschutzkonzept sollte hier nicht mit einem Datenschutzmanagementsystem (DSM) verwechselt werden. Das DSM ist eher ein operatives Instrument, welches den laufenden Datenschutz mit Hilfe von Datenschutzprozessen regelt. Diese können z.B. das Umgehen mit Betroffenenanfragen oder die Meldung von Datenpannen sein. Das Datenschutzkonzept ist eher ein Dokument, welches die grundlegenden Prinzipien wiedergibt.

Betriebliches Datenschutzmanagement mit Hilfe einer Datenschutzkonzeptes auf dem Tablet.

Der Unterschied zwischen einem Datenschutzkonzept (Datenschutzrichtlinie) und einer Datenschutzerklärung

Eine Datenschutzerklärung dient der Information der Betroffenen, z.B. wenn Sie eine Webseite betreiben. Hier geht es darum, Externe zu informieren und es den Betroffen zu ermöglichen informierte Entscheidungen zu treffen. Das Datenschutzkonzept ist eher für den internen Gebrauch gedacht und wird, wenn überhaupt, nur an ausgewählte Empfänger weiter gegeben.

Stellung des Datenschutzkonzeptes in 2022

Durch die Aufstellung dieser Dokumentation haben Sie auch gleich eine Checkliste zur Hand, die Ihnen zeigt, was noch zu tun ist, um nach DSGVO konform zu sein. Bei einer Behördenanfrage haben Sie gleichzeitig eine Übersicht über alle Maßnahmen, die Sie getroffen haben. Außerdem kann das Datenschutzkonzept Basis für einen Audit sein und kann direkt in einen Auditbericht mit aufgenommen werden.

Beispiele von Datenschutzkonzepten aus der Praxis

Die drei häufigsten Fragen zum Datenschutzkonzept nach DSGVO

Wer braucht überhaupt ein Datenschutzkonzept?

Grundsätzlich jeder, der personenbezogene Daten verarbeitet und damit unter die gesetzlichen Bestimmungen der DSGVO fällt.

Dabei ist es unerheblich, wie groß oder komplex das Unternehmen ist, allerdings muss ein Datenschutzkonzept für einen Einzelunternehmer nicht 20 Seiten umfassen.

Wer erstellt das Datenschutzkonzept nach DSGVO?

Dafür verantwortlich ist die verantwortliche Stelle gem. EU-Datenschutz-Grundverordnung. Sie ist schließlich auch für die Einhaltung der DSGVO Grundsätze zuständig und haftbar.

In der Praxis werden Datenschutzkonzepte aber häufig entweder von externen Beratern oder vom Datenschutzbeauftragten aufgestellt und anschließend von der Geschäftsführung beschlossen und genehmigt.

Warum muss ein Datenschutzkonzept aufgestellt werden?

Eine gesetzliche Pflicht ergibt sich nicht. Das Datenschutzkonzept kann aber als Zusammenfassung aller Rechenschafts- und Dokumentationspflichten gem. DSGVO gesehen werden und ist damit ein praktisches Instrument für den Verantwortlichen.

Was ist ein Datenschutzkonzept?

Ein Datenschutzkonzept soll darüber Auskunft geben, wie Datenschutz im Unternehmen umgesetzt und eingehalten wird. Es gibt keine Pflichtinhalte für ein Datenschutzkonzept, vielmehr kommt der Verantwortliche mit seinem Konzept seinen Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO nach.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-5-dsgvo/

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

https://dsgvo-gesetz.de/art-35-dsgvo/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto