Datenschutzkonzept
Die Umsetzung des Datenschutzes – was Sie beachten müssen
Was ist ein Datenschutzkonzept?
Das Datenschutzkonzept gibt als umfassendes Dokument Auskunft über die Rechtmäßigkeit bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Unternehmen. Es umfasst Ziele, Verantwortlichkeiten und Dokumentationspflichten und gehört zu den wichtigsten Strategiepapieren eines Unternehmens.
Ein gutes Datenschutzkonzept hilft, den Rechenschaftspflichten der europäischen Datenschutz-Grundverordnung (DSGVO) gegenüber den Aufsichtsbehörden gerecht zu werden. Es dient außerdem als Grundlage für datenschutzrechtliche Prüfungen z. B. durch Auftraggeber. Es gibt keine Rechtsnorm zu Umfang und Inhalt eines Datenschutzkonzeptes. Manche Punkte müssen jedoch verbindlich beschrieben und geregelt werden.
audit
beratung
konzept
rechte
audit
Erfahren Sie, wie ein Datenschutzaudit durchgeführt wird und was zu beachten ist.
beratung
Unsere TÜV-zertifizierten Datenschutzbeauftragten unterstützen Sie bei der Umsetzung eines praxistauglichen Datenschutzkonzepts.
konzept
In Verbindung mit den Betroffenenrechten ist die Erstellung eines Löschkonzepts von großer Bedeutung.
rechte
Die Rechte der Betroffenen stehen im besonderen Fokus der DSGVO. Demnach ist es wichtig, dass Sie diesen gerecht werden.
Wer benötigt ein Datenschutzkonzept?
Die DSGVO enthält in Art. 5 (2) das Prinzip der Rechenschaftspflicht. Demnach muss jede verantwortliche Stelle nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt. Dieses muss der Verantwortliche auch regelmäßig kontrollieren und ggf. weiterentwickeln.
Mit anderen Worten: Unternehmen, die personenbezogene Daten verarbeiten, müssen ein Verfahren einrichten, um die Wirksamkeit der Datenschutz- und Datensicherheits-Maßnahmen regelmäßig zu überprüfen, bewerten und evaluieren. Dafür ist ein Datenschutzkonzept die optimale Ausgangsbasis.
Anforderungen an Ihr Datenschutzkonzept
- Darestllung der Grundsätze für die Verarbeitung personenbezogener Daten
- Aufführen von einem Verzeichnis der Verarbeitungstätigkeit
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen
- Durchführung einer Datenschutz-Folgenabschätzung bei der Verarbeitung von sensiblen Daten
- Erarbeitung einer aktuellen Datenschutzrichtlinie
- Erstellung eines Datenschutzkonzepts
- Aufrechterhaltung des Datenschutzes bei Änderungen
- Verpflichtung der Mitarbeiter zum Datengeheimnis
- Durchführung von Datenschutz-Schulungen
- Einführung eines Prozesses zur Wahrnehmung von Betroffenenrechten (Informationsrecht, Auskunfts- & Widerspruchsrecht, Recht auf Berichtigung, Löschung und Einschränkung)
- Meldung von Datenschutzverstößen
- Nachweis der Datensicherheit
Was leistet Ihr Datenschutzkonzept?
Die Ergebnisse des „Realitätschecks“ sind vielfältig – so zumindest unsere Erfahrungen. Teils wird Datenschutz mit Datensicherheit in einen Topf geworfen (respektive: verwechselt); andere Deutungen und Auslegungen der Datenschutz-Grundverordnung (DSGVO) enden in einer wahren „Vorlagen-Schlacht“, die aus einer Vielzahl von Quellen aus dem Internet geladen, mehr oder weniger gut auf die eigenen Belange angepasst und abgeheftet werden – fertig.
Die Frage, ob das eigene Datenschutzkonzept den Stresstest (Prüfung eines Partners, Behördenanfrage, Auskunft an Betroffene) bestehen würde, kann niemand mit Gewissheit und dem Brustton der Überzeugung beantworten.
Unserer Erfahrung nach, gibt es einige typische Defizite in Datenschutzkonzepten, die wir regelmäßig in Unternehmen vorfinden:
Soll-Konzeption
Die Soll-Konzeption ist zwar aus Sicht der IT perfekt, die Abbildung geforderter relevanter Datenschutzprozesse wurden aber vernachlässigt.
Dokumentation/Nachweise
Wichtige Teilaspekte wie Dokumentation / Nachweise der getroffenen Vorkehrungen oder die organisatorischen Aspekte wurden nicht behandelt.
Maßnahmen
Tiefe und Umfang der umgesetzten Maßnahmen reichen bei weitem nicht aus, um als Grundlage des geforderten DSMS dienen zu können.
Datenschutzkonzept/DSMS
Das Datenschutzkonzept/DSMS erhielt anfangs nicht die erforderliche Aufmerksamkeit des Managements.
Datenschutzkonzept erstellen - Vorgehen
Bevor Sie sich mit dem Fehlen spezifischer Richtlinien für ein Datenschutzkonzept befassen, ist es wichtig, die Ziele zu klären, die es erreichen soll. Die folgenden Fragen können hilfreich sein, um den beabsichtigten Zweck eines Datenschutzkonzepts zu bestimmen:
- An wen richtet sich das Datenschutzkonzept?
- Soll es sich ausschließlich auf Themen konzentrieren, die einen Nachweis der Einhaltung erfordern?
- Soll es Anweisungen und Richtlinien für die Umsetzung innerhalb der Organisation enthalten?
- Sollen auch strategische Inhalte einbezogen werden?
Die Erstellung des Datenschutzkonzepts übernimmt in den meisten Fällen der Datenschutzbeauftragte Ihres Unternehmens. Wichtig ist jedoch, dass auch das Management in diesen Prozess eingebunden wird, da einige (v.a. strategische) Maßnahmen den Einsatz weiterer Ressourcen erfordern.
Mögliche Inhalte des Datenschutzkonzepts
Unternehmensorganisation
- Verantwortlicher
- Verantwortlicher für Datenschutz
- ...
Zweck des Datenschutzkonzepts
- Ziele
- grdsl. Ausrichtung des Datenschutzes
- ...
Grundsätze der Datenverarbeitung und Umsetzung von Betroffenenrechten
- Warum werden Daten verarbeitet?
- Wie gelten die Betroffenenrechte?
- ...
Zusammenarbeit mit Dienstleistern
- Datenweitergabe
- Auftragsverarbeitung (AV)
- ...
Technisch und organisatorische Maßnahmen
- Welche TOMs werden eingesetzt?
- Warum werden diese eingesetzt?
- ...
Datenschutzmanagement
- Organisation
- Datenschutzbeauftragter
- ...
In welchen Abständen muss das Datenschutzkonzept erneuert werden?
Die Datenschutz-Anforderungen sind stetig im Wandel und passen sich neuen Gegebenheiten an. Damit Ihr Datenschutzkonzept auch jederzeit DSGVO-konform und rechtssicher ist, sollten Sie darauf achten, dass es den aktuellsten Änderungen entspricht. Dazu ist es ratsam, in regelmäßigen Abständen eine Bestandsaufnahme durchzuführen und die Ergebnisse mit den Vorschriften der DSGVO abzugleichen, um potenzielle Schachstellen ausfindig zu machen und zu beseitigen.
Als ext. Datenschutzbeauftragter unterstützen wir Sie gerne bei der Umsetzung der gesetzlichen Vorgaben.
Ihre Vorteile mit Cortina Consult
Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.
Als Beratungsdienstleister und externer Datenschutzbeauftragter erstellen und prüfen wir Datenschutzkonzepte und sorgen für die Einhaltung der DSGVO-Vorgaben in Ihrem Unternehmen.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Projekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich