Erstellung eines Datenschutzkonzeptes

Datenschutzkonzept erstellen

Seit Einführung der DSGVO im Jahr 2018 hat der Schutz von personenbezogenen Daten in Deutschland höchste Priorität. Wieso ein Datenschutzkonzept für Unternehmen zielführend ist und wie man es erstellt, erklärt dieser Artikel.
Inhaltsverzeichnis

Datenschutz und Datensicherheit haben in einer digitalen Welt für Unternehmen höchste Priorität. Nicht erst seit Einführung der Datenschutzgrundverordnung (DSGVO) im Jahre 2018 sind Unternehmen verpflichtet, personenbezogene Daten und sensible digitale Informationen zu schützen und interne Maßnahmen zu implementieren, damit Prozesse und alle Verarbeitungstätigkeiten den Anforderungen des gesetzlichen Datenschutzes entsprechen. 

Trotz der Wichtigkeit von Datenschutz in Unternehmen wurden in den knapp 30 Monaten zwischen der Einführung der DSGVO am 25.05.2018 und dem 27.01.2021 gemäß einer Statistik mehr als 77.000 Datenschutzverletzungen in Deutschland gezählt. Damit ist Deutschland in Bezug auf Datenschutzverletzungen pro Gerichtsbarkeit Spitzenreiter in der Europäischen Union, gefolgt von den Niederlanden und dem Vereinigten Königreich. 

Aus diesem Grund beschäftigt sich dieser Artikel mit dem wichtigen Datenschutzkonzept, das Unternehmen vorhalten sollten, um den Schutz personenbezogener Daten und die Umsetzung aller Maßnahmen zum Datenschutz im Betrieb sicherzustellen. Der Artikel beantwortet viele für das Thema bedeutende Fragen, beispielsweise ob ein Datenschutzkonzept in jedem Unternehmen Pflicht ist, welche Inhalte ein Datenschutzkonzept aufweisen muss und wer betriebsintern für die Umsetzung und Erstellung des Datenschutzkonzepts verantwortlich ist. 

Definition: Was ist ein Datenschutzkonzept?

Ein Datenschutzkonzept beschreibt per Definition ein wichtiges Datenschutz-Dokument für jedes in Deutschland tätige Unternehmen. Es definiert die Regeln, Verfahren, Prozesse und Maßnahmen, die zum Schutz persönlicher, vertraulicher und sensibler Informationen vor unbefugtem Zugriff oder Offenlegung eingesetzt werden. Das Datenschutzkonzept fasst Vorschriften und Dokumentationen, die den Datenschutz im Betrieb betreffen, an einen Ort konsolidiert zusammen. 

Die Europäische Datenschutzgrundverordnung gibt Unternehmen vor, fortlaufend zu dokumentieren, wer im Unternehmen Zugang zu sensiblen Daten hat und welche technischen Maßnahmen implementiert wurden, um eine gesicherte Speicherung und Verarbeitung von Daten zu gewährleisten. Außerdem sind Unternehmen verpflichtet, ein durchdachtes Verfahren zu benennen, dass angewandt wird, wenn eine Verletzung der Vorgaben der DSGVO aufgefallen ist. 

Eine professionell definiertes Datenschutzkonzept oder eine Datenschutzrichtlinie ist für jedes Unternehmen unerlässlich, da es einen Rahmen bietet, der die Einhaltung der einschlägigen Gesetze und Vorschriften gewährleistet. Gleichzeitig schützt es die persönlichen Daten der Kunden vor Missbrauch oder illegalem Zugriff. 

Ein Datenschutzkonzept hat zusammenfassend viele Mehrwerte. Es ist eine schriftliche Zusammenfassung aller Dokumentations- und Rechenschaftspflichten, die die DSGVO Unternehmen aufgibt. Wird es vorausschauend angewandt, schützt es sensible Daten im Betrieb und hilft, die gesetzlichen Vorgaben einzuhalten. Das stärkt in der Außendarstellung das Vertrauen der Kunden in die Produkte und Dienstleistungen des Unternehmens. 

Für wen ist ein Datenschutzkonzept Pflicht?

Sowohl in der DSGVO wie in anderen Gesetzen gibt es keinen expliziten Hinweis darauf, dass Unternehmen verpflichtet sind, ein Datenschutzkonzept aufzubauen. Gleichzeitig kann aus vielen Vorgaben der DSGVO abgeleitet werden, dass ein schriftliches Datenschutzkonzept das zentrale Element zum Datenschutz im Unternehmen sein sollte. Da alle Unternehmen unabhängig ihrer Größe oder Ausrichtung verpflichtet sind, die Maßgaben der DSGVO umzusetzen, ergibt sich aus den folgenden Vorgaben eine Umsetzungsverpflichtung: 

Rechenschaftspflicht

§ 5 Absatz 2 DSGVO
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Einwilligung zur Datenverarbeitung 

§ 7 DSGVO
„Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“ 
Verantwortung des für die Verarbeitung Verantwortlichen

§ 24 DSGVO
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“ 
Vorgaben bei Auftragsverarbeitung

§ 28 DSGVO
„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ 
Verzeichnis von Verarbeitungstätigkeiten

§ 30 DSGVO
„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ 

Die dargestellten Vorgaben der DSGVO implizieren in ihrer Gesamtheit, dass im Betrieb ein detailliertes, schriftliches Datenschutzkonzept vorliegen muss, dass explizit darstellt, wie Daten im Unternehmen verarbeitet und geschützt werden. Mitarbeiter, Kunden, Behörden und Dienstleister können Einblick in das Datenschutzkonzept erhalten und nachlesen, welche Datenschutzziele ein Unternehmen verfolgt und wie es diese erreicht. 

Wozu dient das Datenschutzkonzept?

Das Datenschutzkonzept soll die Einhaltung der Allgemeinen Datenschutzverordnung (DSGVO) und anderer geltender Gesetze in Deutschland sicherstellen. Es legt darüber hinaus fest, 

  • Welche Daten gesammelt werden dürfen, 
  • Wie und wo sie verwendet und gespeichert werden,
  • Wer Zugang zu ihnen hat, 
  • Wie lange sie aufbewahrt werden sollen und 
  • Unter welchen Bedingungen sie an Dritte weitergegeben werden können.

Welche Inhalte muss ein Datenschutzkonzept aufweisen?

Die verschiedenen Vorgaben und Regelungen der DSGVO im Datenschutzkonzept aufzugreifen, sollte die schriftliche Dokumentation Inhalte, Punkte und Prozesse enthalten, die erklären, wie Datenschutz im Unternehmen gelebt wird. Inhaltlich sollten die folgenden Punkte nicht fehlen: 

  • Absteckung des datenschutzrechtlichen Rahmens für das Unternehmen
  • Darstellung der Selbstverpflichtung und Definition der einzelnen Pflichten 
  • Benennung der verantwortlichen Stellen (z. B. Datenschutzbeauftragter)
  • Dokumentation bestehender technischer und organisatorischer Maßnahmen
  • Dokumentation zukünftiger Maßnahmen zur Verbesserung des betrieblichen Datenschutzes (z. B.: Informationen zu internen Schulungen, zum Verzeichnis der Verarbeitungstätigkeiten, zu Risikoanalyse und zu AV-Verträgen)
  • Hinweis auf die rechtlichen und gesetzlichen sowie branchenspezifischen Regelungen, die im Datenschutzkonzept aufgegriffen werden. 

Wichtig: Da der jeweilige Sinn und Nutzen personenbezogener Daten jedoch immer direkt von der Ausrichtung eines Unternehmens abhängen, können auch die Inhalte der Datenschutzkonzepte je nach Betrieb stark variieren.

Wie wird ein Datenschutzkonzept gegliedert? 

Der grundsätzliche Aufbau des Datenschutzkonzeptes muss sich nach den Vorgaben der DSGVO richten. Entscheidend ist ebenfalls, soviel Transparenz wie möglich zuzulassen, ohne Geschäftsinterna preiszugeben, da Externe die Möglichkeit haben, das Datenschutzkonzept einzusehen. 

Das Datenschutzkonzept kann sich im Aufbau in die folgenden vier Oberüberschriften gliedern: 

  • Vorwort oder Einleitung ins Konzept.
  • Darstellung der Verantwortlichkeiten sowie Aufbau der Datenschutzorganisation des Unternehmens.
  • Maßnahmen zur Verbesserung des Datenschutzes im Unternehmen.
  • Übersicht über die rechtlichen Rahmenbedingungen. 

Das Vorwort

Das Vorwort oder die Präambel zeigt Lesern des Datenschutzkonzeptes auf den ersten Seiten, wozu sich das Unternehmen in Bezug auf Datenschutz und Datensicherheit verpflichtet. Im Vorwort kann darauf Bezug genommen werden, als wie essenziell Datenschutz im Unternehmen angesehen wird und welchen Stellenwert alle Maßnahmen für Datenschutz im Unternehmen haben. 

Die Inhalte des § 5 der DSGVO können zusätzlich zitiert werden, da die Grundsätze für die Verarbeitung personenbezogener Daten in diesem Paragrafen für Unternehmen bindend sind. Personenbezogene Daten werden auf Grundlage der DSGVO: 

  • Auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet,
  • Für festgelegte, eindeutige und legitime Zwecke erhoben,
  • Dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt,
  • Sachlich richtig erhoben,
  • In einer Form gespeichert, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist sowie
  • In einer Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.

Fokussiert sich das Datenschutzkonzept an den Grundsätzen der DSGVO, wirkt es professionell und zielorientiert. 

Darstellung der Verantwortlichkeiten sowie Aufbau der Datenschutzorganisation des Unternehmens

Damit Leser des Datenschutzkonzeptes auf einen Blick verstehen, wer im Unternehmen für Datenschutz und Datensicherheit verantwortlich ist, sollte im zweiten Teil der schriftlichen Dokumentation der Name des Datenschutzbeauftragten oder der Datenschutzabteilung dargestellt werden. Ebenfalls sollte offensichtlich sein, welche operativen Stellen im Betrieb verantwortlich sind, das Datenschutzkonzept einzuhalten und umzusetzen. Ein Organigramm kann helfen, die Verantwortlichkeiten visuell aufzuzeigen. 

Maßnahmen zur Verbesserung des Datenschutzes im Unternehmen

Ein Datenschutzkonzept ist kein starres Regelwerk, sondern lebt als Prozess von der kontinuierlichen Umsetzung. Aus diesem Grund sollte im dritten Teil des Datenschutzkonzeptes aufgezeigt werden, wann und von wem es aufgestellt wurde und wo es abgelegt ist. Ebenso sollte ersichtlich sein, in welchen Zeitabständen eine Revision des Datenschutzkonzepts erfolgt. 

Leser sollten darüber hinaus verstehen, wie Schulung zum Thema Datenschutz in der Datenschutzorganisation organisiert ist. Ebenfalls wichtig sind Informationen über die DSGVO-relevanten Dokumente wie: 

  • Das Verzeichnis von Verarbeitungstätigkeiten,
  • Die Risikoanalyse,
  • AV-Verträge (Auftragsverarbeitungs-Vertrag), die mit externen Dienstleistern geschlossen werden, die personenbezogene Daten des Unternehmens verarbeiten,
  • Dokumente mit organisatorischen oder technischen Aufstellungen zum Datenschutz. 

Im dritten Teil des Datenschutzkonzeptes kommt es weniger auf eine Aufstellung aller Maßnahmen als vielmehr auf eine konkrete und detaillierte Beschreibung der Umsetzung an. Wer beschreibt, wie das Unternehmen AV-Verträge aufstellt und welche Rahmenbedingungen erfüllt sein müssen, um als externer Dienstleister für das Unternehmen arbeiten zu dürfen, handelt transparent. 

Übersicht über die rechtlichen Rahmenbedingungen

Die DSGVO stellt in jedem Fall die wichtigste gesetzliche Rechtsvorgabe für Datenschutz und Datensicherheit im Betrieb dar. Flankierend gibt es weitere Gesetze, die Aufbewahrungspflichten, die Datenverarbeitung im Internet oder andere wichtige Fragen thematisieren. Alle Gesetze, die vom Datenschutzkonzept tangiert werden, beispielsweise die Abgabenordnung (AO), das Telemediengesetz (TMG) oder das Einkommensteuergesetz (EStG), sollten aus diesem Grund nach Relevanz aufgelistet werden. 

An wen richtet sich das Datenschutzkonzept? 

Das Datenschutzkonzept richtet sich in erster Linie an die Mitarbeiter und Führungskräfte des Unternehmens. Da kein Unternehmen autark arbeiten kann, werden ebenfalls Kunden, Lieferanten, Behörden sowie externe Unternehmen der Datenverarbeitung vom Datenschutzkonzept tangiert. 

Wer ist für Erstellung des Datenschutzkonzeptes verantwortlich? 

Gemäß DSGVO ist die „verantwortliche Stelle“ für die Konzeption des Datenschutzkonzepts zuständig, da sie ebenfalls für die Einhaltung der DSGVO-Grundsätze haftbar ist. In der Praxis übertragen viele Unternehmer die Erstellung des Datenschutzkonzepts auf externe Berater oder Datenschutzbeauftragte, die die wesentlichen Vorgaben und Hintergrundinformationen in ein Datenschutzkonzept einarbeiten. Im letzten Schritt wird das Datenschutzkonzept von der Geschäftsleitung beschlossen, genehmigt und im Betrieb implementiert. 

Checkliste für die schrittweise Erstellung des Datenschutzkonzeptes

  1. Konzeption aller Dokumente, die die DSGVO verlangt, um der Rechenschaftspflicht nachzukommen, beispielsweise das Verzeichnis von Verarbeitungstätigkeiten oder die Dokumentation von AV-Verträgen.
  2. Klären der internen Verantwortlichkeiten, beispielsweise Datenschutzbeauftragter, Rechtsabteilung oder externe Datenschutzberater.
  3. Implementierung von Mitarbeiterschulungen und Festlegung, in welchen Zeitraumen Schulungen turnusmäßig wiederholt werden.
  4. Entwurfs- und Diskussionsphase: Aufbau des schriftlichen Datenschutzkonzepts und Diskussion mit verantwortlichen Führungskräften, externen Beratern und Fachabteilungen
  5. Finalisierungs- und Roll-out-Phase: Das Datenschutzkonzept wurde intern auf Vollständigkeit geprüft und kann im letzten Schritt final erstellt und veröffentlicht werden. 

Wie oft muss das Datenschutzkonzept geprüft und aktualisiert werden?

Es gibt keine gesetzliche Vorgabe, in welchen Abständen ein Datenschutzkonzept geprüft und aktualisiert werden muss. Erfolgreiche und professionelle Unternehmen arbeiten fortlaufend an der Verbesserung und Adaption des Datenschutzkonzepts, da es sich um einen langfristigen Prozess mit immer neuen Anforderungen handelt. Sie veröffentlichen einmal jährlich zu einem festgesetzten Datum die neueste Version des Datenschutzkonzepts.