So pflegen Sie das Datenschutzkonzept

Wie den Datenschutz besser organisieren?

Ein Datenschutzkonzept muss gut strukturiert sein und die Aufgaben für die verschiedenen Stellen in Unternehmen und Behörden sauber trennen. Nur so kann jeder konkret nachvollziehen, welche Maßnahmen für den Datenschutz er oder sie ergreifen muss.

Das Datenschutzkonzept unterstützt die Organisation des Datenschutzes also nur dann, wenn es selbst gut organisiert ist.

Welche Struktur hat ein Datenschutzkonzept?

Das „gut organisiert“ spiegelt sich in einer sinnvollen Struktur des Datenschutzkonzepts. Ein Beispiel:

1. Ziel und Gültigkeitsbereich
2. übergreifende Datenschutz- und Sicherheitspolitik
3. Verantwortlichkeit im Unternehmen für den Datenschutz (übergreifend und in Spezialfragen)
4. rechtliche Vorgaben, spezielle vertragliche Pflichten
5. mitgeltende Unterlagen wie interne Datenschutz-Richtlinien zu Einzelfragen, IT-Sicherheitsstandards, auf die Bezug genommen wird, Zertifizierungskriterien für ein Datenschutz-Zertifikat, das das Unternehmen erhalten hat, Vertrag Auftragsverarbeitung für Dienstleister
6. Erläuterungen zum Schutzbedarf und Verfahren, um den Schutzbedarf zu bestimmen
7. Maßnahmen für die Sicherheit der Verarbeitung, übergreifend und für spezielle Datenkategorien
8. Referenzierung der Maßnahmen auf die Gewährleistungsziele nach Standarddatenschutzmodell (SDM) oder auf die Grundsätze der Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO
9. organisatorische Richtlinien (wie Backup, Virenschutz, Protokollierung)
10. Regelungen für den Fall der Auftragsverarbeitung
11. Verzeichnis von Verarbeitungstätigkeiten
12. Datenschutz-Unterweisungen
13. regelmäßige Datenschutz-Kontrollen und Datenschutz-Überwachung
14. Anlassbezogene Datenschutz-Kontrollen (zum Beispiel Vorbereitung auf eine Prüfung der Aufsicht)
15. Verfahren bei Datenschutz-Verletzungen (wie Meldepflichten)

Wie hilft das Datenschutzkonzept bei der Überwachung?

Und eine weitere wichtige Rolle hat das Datenschutzkonzept: Bei der internen Datenschutz-Prüfung hilft es, die ergriffenen Maßnahmen übersichtlich darzustellen und die Datenschutz-Planung nachzuweisen, auch um auf eine mögliche Prüfung durch die zuständige Aufsichtsbehörde vorbereitet zu sein.

Zusätzlich bildet ein gutes Konzept einen Kontrollrahmen für den internen Datenschutz.  Denn so lassen sich die beschriebenen Maßnahmen auf Umsetzung und Aktualität überprüfen, also einer Kontrolle ihrer Wirksamkeit unterziehen

Eine Bitkom-Umfrage (Wo steht die deutsche Wirtschaft beim Datenschutz?) zeigt: Jedes fünfte Unternehmen (20 Prozent) räumt Datenschutzverstöße in den vergangenen zwölf Monaten ein. 16 Prozent hatten einen solchen Verstoß, vier Prozent sogar mehrere. Aus diesen Datenschutzvorfällen muss man lernen, um weitere Verstöße in Zukunft zu verhindern.

Ohne weitere Maßnahmen zu ergreifen, besteht die Gefahr, dass Unternehmen viele Vorgaben der DSGVO auch in Zukunft nicht einhalten.

Deshalb ist das in der Grundverordnung geforderte Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheit so wichtig:

• Um den zunehmenden Bedrohungen für personenbezogene Daten gerecht zu werden und die gesetzlichen Veränderungen nicht aus den Augen zu verlieren, müssen Verantwortliche die Datenschutz-Maßnahmen genau planen, richtig dokumentieren und regelmäßig auf den Prüfstand stellen.
• Ein schriftliches und gepflegtes Datenschutzkonzept ist hierbei das Mittel der Wahl. Denn es beschreibt die Organisation des Datenschutzes und macht sie damit für berechtigte Stellen wie die Datenschutz-Aufsichtsbehörden transparent.

Oliver Schonschek