Gratis
4. Februar 2020 - Datenschutz organisieren

So pflegen Sie das Datenschutzkonzept

Drucken

Die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit regelmäßig überprüft, bewertet und evaluiert. Das heißt für Unternehmen und Datenschutzbeauftragte: Sie müssen das Datenschutzkonzept immer wieder überarbeiten. Lesen Sie, was dabei wichtig ist.

Ein Datenschutzkonzept muss immer wieder in die Hand genommen werden Das Datenschutzkonzept ist die Grundlage für eine gute Datenschutzorganisation im Unternehmen (Bild: KrulUA / iStock / Thinkstock)

Wie den Datenschutz besser organisieren?

Ein Datenschutzkonzept muss gut strukturiert sein und die Aufgaben für die verschiedenen Stellen in Unternehmen und Behörden sauber trennen. Nur so kann jeder konkret nachvollziehen, welche Maßnahmen für den Datenschutz er oder sie ergreifen muss.

Das Datenschutzkonzept unterstützt die Organisation des Datenschutzes also nur dann, wenn es selbst gut organisiert ist.

Welche Struktur hat ein Datenschutzkonzept?

Das „gut organisiert“ spiegelt sich in einer sinnvollen Struktur des Datenschutzkonzepts. Ein Beispiel:

  1. Ziel und Gültigkeitsbereich
  2. übergreifende Datenschutz- und Sicherheitspolitik
  3. Verantwortlichkeit im Unternehmen für den Datenschutz (übergreifend und in Spezialfragen)
  4. rechtliche Vorgaben, spezielle vertragliche Pflichten
  5. mitgeltende Unterlagen wie interne Datenschutz-Richtlinien zu Einzelfragen, IT-Sicherheitsstandards, auf die Bezug genommen wird, Zertifizierungskriterien für ein Datenschutz-Zertifikat, das das Unternehmen erhalten hat, Vertrag Auftragsverarbeitung für Dienstleister
  6. Erläuterungen zum Schutzbedarf und Verfahren, um den Schutzbedarf zu bestimmen
  7. Maßnahmen für die Sicherheit der Verarbeitung, übergreifend und für spezielle Datenkategorien
  8. Referenzierung der Maßnahmen auf die Gewährleistungsziele nach Standarddatenschutzmodell (SDM) oder auf die Grundsätze der Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO
  9. organisatorische Richtlinien (wie Backup, Virenschutz, Protokollierung)
  10. Regelungen für den Fall der Auftragsverarbeitung
  11. Verzeichnis von Verarbeitungstätigkeiten
  12. Datenschutz-Unterweisungen
  13. regelmäßige Datenschutz-Kontrollen und Datenschutz-Überwachung

Wie hilft das Datenschutzkonzept bei der Überwachung?

Und eine weitere wichtige Rolle hat das Datenschutzkonzept: Bei der internen Datenschutz-Prüfung hilft es, die ergriffenen Maßnahmen übersichtlich darzustellen und die Datenschutz-Planung nachzuweisen.

Zusätzlich bildet ein gutes Konzept einen Kontrollrahmen für den internen Datenschutz.  Denn so lassen sich die beschriebenen Maßnahmen auf Umsetzung und Aktualität überprüfen.

Nutzen Sie die folgende Arbeitshilfe, um die Vollständigkeit Ihres Datenschutzkonzepts zu kontrollieren. Prüfen Sie dabei gleichzeitig seine Aktualität.


Download: Checkliste Datenschutzkonzept


Warum ist ein Datenschutzkonzept so zentral?

Ein Datenschutzkonzept bleibt auch mit der Datenschutz-Grundverordnung wichtig – mehr noch: Es bekommt einen höheren Stellenwert.

Um ihre Compliance hinsichtlich DSGVO zu verbessern, hat in den vergangenen zwei Jahren nur die Hälfte der Unternehmen die Beschäftigten geschult und sensibilisiert sowie neue Prozesse und Lösungen eingeführt. Das ergab eine Studie des Marktforschungs-Instituts Sapio Research.

Fast alle Unternehmen, die auf europäischen Märkten tätig sind, haben immerhin mittlerweile Datenschutzbeauftragte ernannt.

Als die bedeutendsten verbleibenden Herausforderungen sehen die Befragten

  • die Erfassung persönlicher Daten (47% der Befragten),
  • die Erlangung vollständiger Sichtbarkeit unstrukturierter Daten (44%),
  • die Einrichtung der richtigen Daten-Modellierungsflüsse (42%) sowie
  • die Identifizierung und Lokalisierung persönlicher Daten (41%).

Ohne die Zuständigkeit zu klären und ohne weitere Maßnahmen zu ergreifen, besteht die Gefahr, dass Unternehmen viele Vorgaben der DSGVO auch in Zukunft nicht einhalten.

Dazu zählt unter anderem das in der Grundverordnung geforderte Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheit:

  • Um den zunehmenden Bedrohungen für personenbezogene Daten gerecht zu werden und die gesetzlichen Veränderungen nicht aus den Augen zu verlieren, müssen Verantwortliche die Datenschutz-Maßnahmen genau planen, richtig dokumentieren und regelmäßig auf den Prüfstand stellen.
  • Ein schriftliches Datenschutzkonzept ist hierbei das Mittel der Wahl. Denn es beschreibt die Organisation des Datenschutzes und macht sie damit für berechtigte Stellen wie die Datenschutz-Aufsichtsbehörden transparent.

 Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.