Datenschutzkonzept – Der zentrale Teil der DSGVO

Datenschutzbeauftragtenfinden.de Wissensartikel

Der zentrale Teil der DSGVO – das Datenschutzkonzept

Das strategisch ausgelegte Datenschutzkonzept (DSK) nach der Datenschutzgrundverordnung (DSGVO) vom 25. Mai 2018 dient der Vereinheitlichung des europäischen Datenschutzes und muss EU-weit angewendet werden. Ein Teil der DSGVO ist das DSK, das sämtliche Richtlinien und Vorschriften für die Erhebung, Verwen­dung, Nutzung und Löschung personenbezogener Daten enthält. Es dient aber auch zur Planung von Verbesserungsmaßnahmen und definiert die Verantwortlichkeiten und Zuständigkeiten im Unternehmen – speziell für den Themenbereich  Datenschutz von natürlichen Personen. Die Pflicht, ein DSK zu erstellen, ergibt sich jedoch nur indirekt aus der DSGVO.   

Der erste Schritt zur Entwicklung eines DSK im Unternehmen liegt in einem Audit mit der Unter­nehmensleitung und – falls vorhanden – dem Datenschutzbeauftragten. Sämtliche zu etablierenden Prozesse, Richtlinien und Anfor­derungen werden auf Konformität mit dem Datenschutz überprüft. Ein solches Audit dient als relevantes Verfahren der Untersuchung und wird oftmals zum Qualitätsmanagement eingesetzt. Es ist als Maßnahmenpaket zu verstehen, das ein Unternehmen aufgelegt hat, um die Konformität mit dem Datenschutz zu sichern. Genauso wichtig ist die Darstellung im Umgang mit risikobehafteten Feldern, beispielsweise die Umsetzung von technischen und organisatorischen Maßnahmen (TOMs) oder die Datenverarbeitung im Auftrag. Hier werden die personenbezogenen Daten durch Dritte – wie externe Dienstleister oder Agenturen – genutzt.

 

Verpflichtungen zur Entwicklung eines Datenschutzkonzepts

Die Erkenntnisse aus dem Audit bieten die Grundlage für die unternehmensinterne Ausarbeitung des DSK, das heute zu den wichtigsten Strategiepapieren des Unternehmens zählt. Dafür sollte ein Datenschutz-Management-Systems (DMS) installiert werden, um der Rechenschaftspflicht gegenüber den Behörden und zur Sicherung von Rechten und Freiheiten von natürlichen Personen nach Artikel 5, Absatz 1 DSGVO – der sogenannten „Accountability“ – nachzukommen sowie nach Artikel 5, Absatz 2 DSGVO einen Nachweis über die Einhaltung zu erbringen. Mithilfe des Systems erhalten Mitarbeiter klare Arbeitsrichtlinien zum Datenschutz und bietet eine bessere Orientierung.

Das DSK hat das Ziel, die Rechenschafts- und Nachweispflichten nach Artikel 5 DSGVO, die Weisungsbindung seitens des Auftragsverarbeiters nach Artikel 28 DSGVO, die Einholung von Einwilligungen nach Artikel 7 DSGVO sowie die Anwendung von TOMs im Unternehmen laut Artikel 24 DSGVO zu erfüllen.  Dazu gehören beispielsweise eine hochwertige Verschlüsselung des Datenmaterial, die Sicherstellung ihrer Vertraulichkeit, Verfügbarkeit und Integrität sowie die Wiederherstellung der Daten. Gleichzeitig enthält es die wesentlichen Grundlagen für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten nach Artikel 30 DSGVO.

 

Der Aufbau des Datenschutzkonzepts

Das Datenschutzkonzept ist eine schriftliche Dokumentation des unternehmerischen Datenschutzes und braucht eine durchdachte Struktur, um seinen Zweck zu erfüllen. Eine gute Strukturierung hängt an der Menge der Datenverarbeitungsvorgänge und ist notwendig, um den Datenschutz für die verschiedenen Stellen in Unternehmen und Behörden klar zu trennen. Allerdings müssen die für den unternehmerischen Datenschutz Verantwortlichen müssen nachweisbar bleiben. Mindestens die folgenden Punkte müssen aus dem DSK hervorgehen:

  • Präambel eines DSK: Detaillierte Formulierung der Einleitung des DSK

  • Datenschutzbeauftragter: Ernennung eines (externen) Datenschutzbeauftragten

  • Klärung der Ausgangssituation: Audit von Datenschutzbeauftragten zusammen mit der Unternehmensführung und den einzelnen Bereichsleitern des Unternehmens, um den aktuellen Stand zu ermitteln und Verbesserungspotential offenzulegen.

  • Geltungsbereich: Unter diesem Punkt muss das Konzept beschrieben werden. Dazu sollten neben den eigenen Mitarbeitern auch externe Dienstleister oder Partner gehören

  • Verantwortlichkeiten: Für die Festlegung der Datensicherheit (übergreifend als auch in Spezialfragen)

  • Führung eines „Verzeichnis für Verarbeitungstätigkeiten“: Das Verzeichnis für Verarbei­tungstätigkeiten enthält den Verantwortlichen, der Datenschutzbeauftragte und sein Vertreter aufgeführt. Zusätzlich müssen Informationen zur Datensicherheit, zum Löschkonzept und den etablierten Prozessen zur Datenverarbeitung enthalten sein. Auch die Daten der Personen, deren Daten verarbeitet werden, müssen aufgelistet werden

  • Begriffsdefinitionen: Die genaue, aber verständliche Erklärung aller Begriffe, die im Konzept verwendet werden und ein wichtiger Bestandteil des Datenschutzes sind

  • Leitlinie zum Datenschutz: In ihr beschreibt die Geschäftsleitung den im Unternehmen geltenden Datenschutz und zum Umgang mit personenbezogenenen Daten. Sie zeigt, welchen Stellenwert der Datenschutz für das Unternehmen hat

  • „Technische und Organisatorische Maßnahmen“ (TOMs): Die Maßnahmen, mit deren Hilfe die Datensicherheit zusätzlich verstärkt werden soll, wie eine hochwertige Verschlüsselung, Passwortsicherheit oder – im organisatorischen Bereich – das Vier-Augen-Prinzip

  • Die Rechte Betroffener: Wie wird mit den Rechten von Betroffenen im Unternehmen umgegangen?

  • Bereichsspezifischer Datenschutz: Der Datenschutz für die einzelnen Bereiche, vor allem in denen personenbezogene Daten besonders häufig verarbeitet werden – vorrangig Sales, Marketing und die HR-Abteilung – müssen detailliert beschrieben werden.

  • Risikoanalyse, ggf. mit anschließender
    Datenschutzfolgenabschätzung:
    Werden personenbezogene Daten von natürlichen Personen verarbeitet, muss zunächst eine Risikobeurteilung aufgrund der vorliegenden Daten erfolgen. Falls notwendig, muss im Anschluss eine Datenschutzfolgenabschätzung durchgeführt werden.


  • Die Verarbeitung im Auftrag: Nach der DSGVO müssen die persönlichen Daten, die einem Partnerunternehmen zur weiteren Verarbeitung Verfügung gestellt wurden aus der DSK hervorgehen und detailliert beschrieben werden

  • Die Datenlöschung: An dieser Stelle ist festzulegen, welche Aufbewahrungspflichten für die Daten bestehen können oder müssen – quasi eine Art Verjährungszeit

  • Der Zugriff auf die personenbezogenen Daten: Um zu verdeutlichen und klarzustellen, wer zu einem Zugriff auf die Daten berechtigt ist, muss der Verantwortliche namentlich im DSK genannt werden. Hierfür sollte ein Unternehmen das „Berechtigungskonzept“ erstellen.

  • Vorgehensweise bei technischen Ausfällen: Aus dem DSK sollte auch hervorgehen, welche Datenschutzmaßnahmen bei technischen Problemen zu ergreifen sind

  • Datenschutzunterweisungen von Mitarbeitern: Verdeutlichung der Wichtigkeit des Datenschutzes, speziell für diejenigen, die im Rahmen ihrer Tätigkeit oft mit persönlichen Daten umgehen

  • Festlegung organisatorischer Richtlinien: Sie schaffen einheitliche Datenschutzlinien und Arbeitsanweisungen im Unternehmen

  • Kontinuierliche Verbesserung des Datenschutzes: Die Etablierung eines kontinuierlichen Verbesserungsprozesses (KVP) im Unternehmen erreicht eine schrittweise Perfektionierung der Unternehmensprozesse.

  • Regelmäßige Kontrollen und Überwachungen des Datenschutzes

  • Dokumentationen erstellen und kontinuierlich aktuell halten

Zusätzlich ist aus einem DSK zu erkennen, welche Strategie ein Unternehmen zum Schutz personenbezogener Daten verfolgt und welchen Stellenwert der Datenschutz für das Unternehmen hat. Auch bei der Prüfung des internen Datenschutzes übernimmt das DSK eine wichtige Rolle, denn mit ihm lassen sich die ergriffenen Maßnahmen in Sachen Datenschutz übersichtlich präsentieren und sind ein Nachweis bezüglich der Planung des Datenschutzes und zeigt den Kontrollrahmen zum internen Datenschutz.

 

Die wesentlichen Vorteile eines professionellen Datenschutzkonzeptes

Heute sind alle europäischen Unternehmen mit der Einhaltung des Datenschutzes konfrontiert – und viele tun sich zunächst schwer mit einer rechtskonformen Umsetzung. Die Veranwortlichkeit liegt bei der Unternehmensführung und dem Datenschutzbeauftragten. Doch die Etablierung des DSK bietet Unternehmen auch Vorteile:

  1. Verbesserung des Firmenimages

    Die Unternehmen, die sich zum Thema Datenschutz bekennen und Wert auf den Datenschutz legen, bilden Vertrauen bei Mitarbeitern, Kunden und Partnern.


  2. Schutz vor hohen Strafen und Bußgeldern

    Mit der DSGVO wurden die Bußgelder bei Verstößen gegen das Datenschutzrecht wesentlich erhöht. Die Höchststrafen liegen bei 20 Millionen Euro respektive 4% des Jahresumsatzes.

  3. Schutz der eigenen Unternehmensdaten


    Die Unternehmensleitung erreicht mit dem Einsatz des DSK eine Sicherung von den unternehmerischen Daten vor dem Zugriff Unbefugter.

  4. Entwicklung des geeigneten Datenmanagementsystems

    Wird ein Datenmanagementsystem im Unternehmen etabliert, funktioniert auch der Arbeitsablauf, wodurch das Risiko eines Verstoßes sinkt.

Für mehr Transparenz erhalten europäische Unternehmen mit der DSGVO einen einheitlichen digitalen Rechtsraum und den One-Stop-Shop-Mechanismus. Firmen mit grenzüberschreitendem Datenverkehr und dessen Auftragsverarbeiter brauchen nach Artikel 56, Absatz 6 lediglich mit der „federführenden Aufsichtsbehörde“ in der Nähe des Hauptsitzes des Unternehmen zu kooperieren.

 

„Privacy by Design“ versus „Privacy by Default”

„Privacy by Design“ bedeutet „Datenschutz durch Technikgestaltung“ nach Artikel 25, Absatz 1 DSGVO und der eigenen Privatsphäre bereits frühzeitig in der Entwicklung und Gestaltung von Produkten, Diensten oder Anwendungen mit einbezogen. Demzufolge müssen bereits im Frühstadium der Entwicklung TOMs – wie die Pseudomisierung des Datenmaterials oder die Minimierung der Datenverarbeitung – veranlasst werden.

„Privacy by Default“ umschreibt den „Datenschutz durch datenschutzfreundliche Voreinstellungen“.  Hier geht es um die Anpassung der Werkeinstellungen im Sinne des Datenschutzes. Gerade Nutzer mit wenig technischem Know-How sollten so geschützt werden. Dadurch entsteht das „Privacy Paradox“, bei dem die Daten zwar gesichert werden sollen, die dafür notwendigen Einstellungen werden allerdings nicht entsprechend angepasst.

 

Fazit – Das zentrale Strategiepapier des Unternehmens

Das DSK ist ein zentraler Teil der Schutzes von personenbezogenenen Daten im Unternehmen und gehört seit dem endgültigen Inkrafttreten der DSGVO am 25. Mai 2018 zu den wichtigsten Strategiepapieren bezüglich Datenschutz des Unternehmens. Es verschärft den Datenschutz, beispielsweise bei Kunden und Geschäftspartnern.

Der Schutz der personenbezogenen Daten im Unternehmen  Einhaltung der Rechenschafts- und Nachweispflichten bei der Datenverarbeitung gegenüber den Behörden (Artikel 5, Absatz 2 DSGVO, basierend auf Artikel 5, Absatz 1 DSGVO), die verlangt, dass das Unternehmen einen qualifizierten Datenschutzbeauftragten beruft und gibt Auskunft über die Rechtmäßigkeit der Erhebung, Verarbeitung, Nutzung und Löschung von personenbezogenen Daten.

Der Artikel 24 DSGVO ist wichtig, um Rechenschaft über die Pflichten des Verantwortlichen abzulegen und geeignete TOMs in den Arbeitsabläufen zu integrieren, um die Daten optimal zu schützen. Werden Verstöße gegen die DSGVO bemerkt, kommt es zu hohen Bußgeldern von bis zu 20 Millionen Euros bzw. vier Prozent des unternehmerischen Jahresumsatzes.

Jetzt kostenlose Angebote von externen Datenschutzbeauftragten erhalten.

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Datenschutz DIN SPEC 32789
Allgemein

Datenschutz DIN SPEC 32789

DIN SPEC 32789: So setzen Sie Mindeststandards im Datenschutz Hier erhalten Sie Informationen über die neue DIN SPEC 32789. Folgende Fragen stellen Sie sich sicherlich

Read More »

Schreibe einen Kommentar