Datenschutzkonzept: Leitfaden für Unternehmer

Das Datenschutzkonzept

Die datenschutzbezogene Rechtslage in der Europäischen Union wird oftmals als zu übertrieben bezeichnet. Manch einer sieht sie sogar als Hemmnis für wirtschaftlichen Erfolg. Durch die Europäische Datenschutzgrundverordnung wird eine weitestgehend einheitliche Rechtslage in der EU gewährleistet, wobei die nationalen Unterschiede kaum praxisrelevant sind. Dennoch scheint an manchen Stellen zu wenig Schutz für personenbezogene Daten vorzuherrschen. Trotzdem, die Vorgaben sind im Großen und Ganzen für viele Unternehmen und Unternehmer häufig sehr erschwerend.
Die DSGVO schreibt vieles vor, eines jedoch nicht: das Datenschutzkonzept.
Einerseits schreibt die Verordnung dieses zwar nicht vor, jedoch kann andererseits zumindest von einer indirekten Pflicht gesprochen werden. Die Vorgaben, die die DSGVO bezüglich des Datenschutzes macht, sind ohne vernünftiges Datenschutzkonzept praktisch gesehen nicht zu bewerkstelligen.

Welche Vorschriften macht die DSGVO?

Wie gesagt, ergibt sich die Pflicht dazu, ein Datenschutzkonzept zu erstellen, indirekt aus der DSGVO. Einige Vorgaben, die, die Verordnung so auferlegt, kreieren das Praxismodell des Datenschutzkonzeptes. Doch aus welchen Pflichten setzt sich dieses zusammen?
Einerseits spielt die Einwilligung nach Art. 7. DSGVO eine große Rolle. Der Verarbeiter von personenbezogenen Daten muss in den meisten Fällen eine Einwilligung dazu, seitens des Betroffenen, einholen und hat die Pflicht dies zu dokumentieren.
Eine weitere einschlägige Vorschrift ist Art. 30 DSGVO, nach der ein Verzeichnis für Verarbeitungstätigkeiten im Unternehmen erstellt werden muss.
Gleichermaßen wichtiges Element des Datenschutzkonzeptes ist die Dokumentation der TOM, der technischen und organisatorischen Maßnahmen.
Ein Unternehmen oder Unternehmer, das oder der, personenbezogene Daten verarbeitet, unterliegt stets der allgemeinen Rechenschaftspflicht. Heißt, die DSGVO muss nicht nur jederzeit eingehalten werden, sondern dies muss auch zu jeder Zeit zuverlässig nachzuweisen sein. Die verarbeitende Firma muss also immer und zu jeder Zeit beweisen können, dass sich an die DSGVO gehalten wird. Dies ergibt sich aus Art. 5 Abs. 2 der DSGVO.
Eine weitere Verpflichtung findet sich in Art. 28 der Verordnung. Demnach ist der Verarbeiter von Aufträgen, stets gegenüber dem Verantwortlichen, weisungsgebunden.

Wie erstellt man ein Datenschutzkonzept

Das Datenschutzkonzept muss allen zuvor genannten Pflichten gerecht werden. Generell empfiehlt sich ein schrittweises Vorgehen. Das Datenschutzkonzept sollte eine Datei mit verschiedenen Tabs sein. Generell ist eine Excel-Datei dafür sehr praktisch.

1.Zu Beginn muss für jedermann klar sein, was mit dem Datenschutzkonzept beabsichtigt wird. Es ist also sinnvoll, auch eine interne Richtlinie zum Datenschutz für Mitarbeiter zu erstellen. Hier sollten die rechtlichen Grundlagen für die Verarbeitungen innerhalb des Unternehmens zu finden sein, damit sich die Arbeitnehmer daran orientieren können.

2.Die meisten Unternehmen, die personenbezogene Daten verarbeiten, haben die Pflicht entweder einen internen Datenschutzbeauftragten zu ernennen oder einen externen DSB heranzuziehen. Dieser und die anderen Verantwortlichen sollten in dem Konzept zunächst genannt werden.

3.Auf der dritten Seite sollte das Verzeichnis der Verarbeitungstätigkeiten sein. Darin zu finden sein sollten: welche Art der Daten, also ob besondere Kategorien personenbezogener Daten darunter sind, die jeweiligen Rechtsgrundlagen und der Zweck der Verarbeitung. Dokumentiert werden sollten zudem Datum und Uhrzeit.

4.Auf einer weiteren Seite sollten sich die TOM finden. Diese sollten den Tatsachen entsprechen und tatsächlich nachvollziehbar und damit beweisbar sein. Wie werden die Daten aufbewahrt und gespeichert? Welche räumlichen Barrieren gibt es für Unbefugte? Wie lange werden Daten gespeichert beziehungsweise wann werden sie gelöscht? Wie werden die Daten verschlüsselt und an wen werden sie weitergeleitet? All dies sind Fragen, denen Sie sich beim Ausarbeiten der technischen und organisatorischen Maßnahmen stellen sollten. Dies sollte dann in Seite vier der Konzeptdatei fein säuberlich aufgelistet zu finden sein.

5.Eine weitere Datei muss eine Verlinkung zu der Datenschutzfolgeabschätzung beinhalten, zumindest, wenn Sie dazu verpflichtet sind, eine solche zu erstellen.

6.Trotz umfangreicher Vorbereitung kann es immer zu einer Datenpanne kommen. Deswegen sollten nicht nur die präventiven TOM in der Datei zu finden sein, sondern auch eine Seite, auf der der Notfallplan, im Falle einer Panne erklärt wird. Denn ein guter, nachträglicher Umgang in einer Notsituation kann nicht nur den Schaden verringern, sondern auch vor Gericht vor einer Strafe bewahren. Je besser sich auf DSGVO-Pannen vorbereitet wurde und je besser mit der Panne umgegangen wird, desto weniger kann das eigene Unternehmen verantwortlich gemacht werden.

7.Die wichtigsten Komponenten sind nun genannt, jedoch können und sollten weitere Seiten erstellt werden, die weitere sinnvolle Komponenten beinhalten. Dazu zählen zum Beispiel Daten über Mitarbeiterschulungen oder Informationen, die möglicherweise mit Kunden geteilt werden müssen, die ihr Recht auf Auskunft wahrnehmen.

Externe Hilfe

Ein Leitfaden zum Erstellen eines Datenschutzkonzeptes mag sinnvoll sein, dennoch sollte bei komplexen datenschutzrechtlichen Themen nicht alles in die eigene Hand genommen werden. Wenn Sie verpflichtet sind einen Datenschutzbeauftragten zu ernennen, so sollten Sie zwingend einen externen DSB zurate ziehen. Selbst wenn sie keine Pflicht zu Ernennung eines DSB trifft, so ist zumindest empfehlenswert, die Dienste eines solchen zu nutzen. Denn ein DSB hilft Ihnen nicht nur das Datenschutzkonzept zu erstellen, sondern macht die Datenschutzfolgenabschätzung, optimiert Prozesse, schult die Mitarbeiter etc.
Kurz gesagt, er weiß beim Thema Datenschutz stets, was zu tun ist und nimmt Ihnen eine große Last von den Schultern.
Auf solch eine Hilfe sollten Sie nicht verzichten.

Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.

Firmenkontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/

Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/

Die Bildrechte liegen bei dem Verfasser der Mitteilung.