So pflegen Sie das Datenschutzkonzept
Wie den Datenschutz besser organisieren?
Ein Datenschutzkonzept muss gut strukturiert sein und die Aufgaben für die verschiedenen Stellen in Unternehmen und Behörden sauber trennen. Nur so kann jeder konkret nachvollziehen, welche Maßnahmen für den Datenschutz er oder sie ergreifen muss.
Das Datenschutzkonzept unterstützt die Organisation des Datenschutzes also nur dann, wenn es selbst gut organisiert ist.
Welche Struktur hat ein Datenschutzkonzept?
Das „gut organisiert“ spiegelt sich in einer sinnvollen Struktur des Datenschutzkonzepts. Ein Beispiel:
- Ziel und Gültigkeitsbereich
- übergreifende Datenschutz- und Sicherheitspolitik
- Verantwortlichkeit im Unternehmen für den Datenschutz (übergreifend und in Spezialfragen)
- rechtliche Vorgaben, spezielle vertragliche Pflichten
- mitgeltende Unterlagen wie interne Datenschutz-Richtlinien zu Einzelfragen, IT-Sicherheitsstandards, auf die Bezug genommen wird, Zertifizierungskriterien für ein Datenschutz-Zertifikat, das das Unternehmen erhalten hat, Vertrag Auftragsverarbeitung für Dienstleister
- Erläuterungen zum Schutzbedarf und Verfahren, um den Schutzbedarf zu bestimmen
- Maßnahmen für die Sicherheit der Verarbeitung, übergreifend und für spezielle Datenkategorien
- Referenzierung der Maßnahmen auf die Gewährleistungsziele nach Standarddatenschutzmodell (SDM) oder auf die Grundsätze der Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO
- organisatorische Richtlinien (wie Backup, Virenschutz, Protokollierung)
- Regelungen für den Fall der Auftragsverarbeitung
- Verzeichnis von Verarbeitungstätigkeiten
- Datenschutz-Unterweisungen
- regelmäßige Datenschutz-Kontrollen und Datenschutz-Überwachung
Wie hilft das Datenschutzkonzept bei der Überwachung?
Und eine weitere wichtige Rolle hat das Datenschutzkonzept: Bei der internen Datenschutz-Prüfung hilft es, die ergriffenen Maßnahmen übersichtlich darzustellen und die Datenschutz-Planung nachzuweisen.
Zusätzlich bildet ein gutes Konzept einen Kontrollrahmen für den internen Datenschutz. Denn so lassen sich die beschriebenen Maßnahmen auf Umsetzung und Aktualität überprüfen.
Warum ist ein Datenschutzkonzept so zentral?
Ein Datenschutzkonzept bleibt auch mit der Datenschutz-Grundverordnung wichtig – mehr noch: Es bekommt einen höheren Stellenwert.
Um ihre Compliance hinsichtlich DSGVO zu verbessern, hat in den vergangenen zwei Jahren nur die Hälfte der Unternehmen die Beschäftigten geschult und sensibilisiert sowie neue Prozesse und Lösungen eingeführt. Das ergab eine Studie des Marktforschungs-Instituts Sapio Research.
Fast alle Unternehmen, die auf europäischen Märkten tätig sind, haben immerhin mittlerweile Datenschutzbeauftragte ernannt.
Als die bedeutendsten verbleibenden Herausforderungen sehen die Befragten
- die Erfassung persönlicher Daten (47% der Befragten),
- die Erlangung vollständiger Sichtbarkeit unstrukturierter Daten (44%),
- die Einrichtung der richtigen Daten-Modellierungsflüsse (42%) sowie
- die Identifizierung und Lokalisierung persönlicher Daten (41%).
Ohne die Zuständigkeit zu klären und ohne weitere Maßnahmen zu ergreifen, besteht die Gefahr, dass Unternehmen viele Vorgaben der DSGVO auch in Zukunft nicht einhalten.
Dazu zählt unter anderem das in der Grundverordnung geforderte Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheit:
- Um den zunehmenden Bedrohungen für personenbezogene Daten gerecht zu werden und die gesetzlichen Veränderungen nicht aus den Augen zu verlieren, müssen Verantwortliche die Datenschutz-Maßnahmen genau planen, richtig dokumentieren und regelmäßig auf den Prüfstand stellen.
- Ein schriftliches Datenschutzkonzept ist hierbei das Mittel der Wahl. Denn es beschreibt die Organisation des Datenschutzes und macht sie damit für berechtigte Stellen wie die Datenschutz-Aufsichtsbehörden transparent.