Kostenloses E-Handbook: Leitfaden für ein Datenschutzkonzept

Viele Unternehmen und Organisation sind im Zuge der Umsetzung der DSGVO verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Zu diesem gehört wiederum eine Beschreibung der technischen und organisatorischen Maßnahmen, die angewendet werden. All dies findet sich in einem Datenschutzkonzept gemäß DSGVO wieder. Eine derartige Dokumentation kann sowohl intern vortreffliche Dienste leisten als auch dann, wenn Unternehmen planen, sich um eine Datenschutzzertifizierung nach Datenschutz-Grundverordnung zu kümmern. Und es ist auch keine schlechte Idee, ein Datenschutzkonzept vorweisen zu können, wenn eine Prüfung durch die zuständige Aufsichtsbehörde erfolgt.

Im Zuge des Datenschutzkonzeptes ist es zunächst wichtig, die Verantwortlichkeiten zu klären. Denn bei der Entwicklung des Datenschutzkonzeptes müssen alle Verantwortlichen miteinbezogen werden. Dabei kann es auch gemeinsam Verantwortliche geben, etwa wenn zwei oder mehr Verantwortliche die Zwecke der Verarbeitung personenbezogener Daten sowie die Mittel dazu festlegen. Das im Falle einer Kombination von Fach- und IT-Abteilungen kommt es vermutlich gar nicht so selten vor, dass nicht die Geschäftsführerin oder der Geschäftsführer als der eine Entscheider über die Datenverarbeitung verantwortlich ist. Vom Verantwortlichen fordert die DSGVO die Führung des Verzeichnisses der Verarbeitungstätigkeiten. Dieses gehört zwingend zu einem Datenschutzkonzept dazu.

Zudem muss das Datenschutzkonzept alle relevanten Daten und Verfahren berücksichtigen. Das betrifft bei den Daten unter anderem die Verarbeitung, also das gesamte Procedere vom Erfassen der Daten über das Auslesen oder Abfragen bis hin zur Übermittlung. Das Datenschutzkonzept muss auf alle verarbeitenden Daten angewendet werden wie beispielsweise Mitarbeiterdaten, Kundendaten, Interessentendaten und Lieferantendaten, aber auch Maschinendaten, die sich direkt oder indirekt auf eine Person beziehen lassen. Dies verdeutlich, wie wichtig die Vorarbeit in Sachen Umfang des Datenschutzkonzeptes ist. Was für die Daten gilt, trifft auf die Verfahren gleichermaßen zu, ob es sich nun um das E-Mail-System handelt, die Zeiterfassung im Unternehmen oder das Tracking von Kundenaktivitäten.

Wenn man von Verfahren spricht, ist natürlich eine ständige Anpassung der Risikoanalyse vonnöten. Diese gehört zu jedem Datenschutzkonzept. Wenn sich also an der Verarbeitung der personenbezogenen Daten etwas ändert, muss sich das in der Risikobewertung niederschlagen.

Wann immer Meldungen kursieren, welcher Anteil der Unternehmen und Organisationen davon ausgehen, die Umsetzung der DSGVO abgeschlossen zu haben, so ist stets zu bedenken, dass dies immer nur bedingt möglich ist. Die Anwendung der DSGVO und somit auch das Datenschutzkonzept müssen permanent auf den Prüfstand gestellt werden. Sowohl Verfahren als auch Verantwortlichkeiten und Risiken unterliegen im normalen Geschäftsbetrieb immer wieder dem Wandel, und dies muss sich im Datenschutzkonzept und im Verzeichnis der Verarbeitungstätigkeiten widerspiegeln.