16. Februar 2015 - Organisation des Datenschutzes

So pflegen Sie das Datenschutzkonzept

Der betriebliche Datenschutz ist so komplex und umfangreich, dass es ohne eine gute Organisation der Maßnahmen nicht klappt. Grundlage dieser Organisation ist ein Datenschutzkonzept, das mehr als einmal angefasst werden sollte.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation Das Datenschutzkonzept ist die Grundlage für eine gute Datenschutzorganisation im Unternehmen (Bild: Mathias Rosenthal / iStock / Thinkstock)

Um den zunehmenden Bedrohungen für personenbezogene Daten gerecht zu werden und die gesetzlichen Veränderungen nicht aus den Augen zu verlieren, sollten die Datenschutzmaßnahmen genau geplant, richtig dokumentiert und regelmäßig auf den Prüfstand gestellt werden. Ein schriftliches Datenschutzkonzept ist hierbei das Mittel der Wahl: Es beschreibt die Organisation des Datenschutzes und macht sie damit für berechtigte Stellen transparent.

Datenschutz organisieren

Es besteht kein Zweifel: Die Bedeutung des Datenschutzes ist hoch und nimmt noch weiter zu. Wie der eco Report „IT Sicherheit 2015“ zeigt, denken 44 Prozent der befragten Sicherheitsexperten, dass die Bedrohungslage für deutsche Firmen weiter anwachsen wird. 59 Prozent der Sicherheitsexperten rechnen in diesem Jahr mit steigenden bis stark steigenden Ausgaben für Datenschutz und IT-Sicherheit. Der Datenschutz ist für 88 Prozent dabei die wichtigste Sicherheitsaufgabe überhaupt.

Wie dem Report „Bereitschaftsgrad für neuen EU-Datenschutz“ von FireEye zu entnehmen ist, haben nur 39 Prozent der befragten Unternehmen alle Maßnahmen umgesetzt, die die NIS-Richtlinie (Richtlinie zur Netz- und Informationssicherheit) fordert; für die EU-Datenschutz-Grundverordnung sind noch weniger Unternehmen gerüstet. Die Maßnahmen für den Datenschutz laufen also der erkannten Bedeutung für den Datenschutz deutlich hinterher.

Grundlage: das Datenschutzkonzept

Damit die zuständigen Stellen konkret nachsehen können, welche Maßnahmen für den Datenschutz sie jeweils ergreifen müssen, sollte Ihr Datenschutzkonzept

  • gut strukturiert sein,
  • die Informationen für die verschiedenen Stellen sauber trennen und insbesondere
  • die Außendarstellung des Datenschutzes (wie das öffentliche Verfahrensverzeichnis oder die Datenschutzerklärung für die Webseite) nicht vermischen mit den internen Ausführungen über den Datenschutz.

Das Datenschutzkonzept kann die Organisation des Datenschutzes also nur dann wirklich unterstützen, wenn es selbst gut organisiert ist.

Struktur des Datenschutzkonzepts

Eine mögliche Struktur für das Datenschutzkonzept ist:

  • Ziel und Gültigkeitsbereich
  • Übergreifende Datenschutz- und Sicherheitspolitik
  • Verantwortlichkeit im Unternehmen für den Datenschutz (übergreifend und in Spezialfragen)
  • rechtliche Vorgaben, spezielle vertragliche Pflichten
  • mitgeltende Unterlagen
  • Erläuterungen zum Schutzbedarf und Verfahren zur Bestimmung des Schutzbedarfs
  • technische und organisatorische Maßnahmen (TOM), übergreifend und für spezielle Datenkategorien
  • organisatorische Richtlinien (wie Backup, Virenschutz, Protokollierung)
  • Regelungen für den Fall der Auftragsdatenverarbeitung
  • internes und öffentliches Verfahrensverzeichnis
  • Datenschutzunterweisungen, Verpflichtung auf das Datengeheimnis
  • Vorabkontrollen, regelmäßige Datenschutzkontrollen und Audits

Datenschutzkonzept als Basis des Datenschutz-Audits

Und noch eine weitere wichtige Rolle kommt dem Datenschutzkonzept zu: Im Fall eines (internen) Datenschutz-Audits hilft es dabei, die ergriffenen Maßnahmen übersichtlich darzustellen und die erfolgte Datenschutz-Planung nachzuweisen. Zusätzlich bildet ein gutes Konzept auch einen Prüfungsrahmen für den internen Datenschutz, indem die im Datenschutzkonzept beschriebenen Maßnahmen hinsichtlich Umsetzung und Aktualität überprüft werden. Nutzen Sie die Arbeitshilfe, um die Vollständigkeit Ihres Datenschutzkonzepts zu kontrollieren und prüfen Sie dabei gleichzeitig dessen Aktualität.


Download:


 Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln