Datenschutzkonzept erstellen mit dieser Muster-Vorlage

daten 48
Fachbeitrag

Unternehmen und Konzerne beschäftigen sich verstärkt mit dem Aufbau einer zentralen Datenschutzorganisation. Eine gewisse gesetzliche Verpflichtung dazu ergibt sich aus der Anlage zu § 9 Satz 1 BDSG. Die Umsetzung erfolgt i.d.R. durch ein unternehmensweit geltendes übergeordnetes Regelwerk in Form eines Datenschutzkonzepts oder einer Datenschutzrichtlinie.

Anforderungen des BDSG

Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen sind angehalten, die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Anlässlich dessen möchten wir einmal darstellen, wie diese eher abstrakte gesetzliche Vorgabe mit Leben gefüllt werden kann und was eine gute Datenschutzorganisation ausmacht.

Festlegung einer Unternehmensstrategie

Zunächst sollte eine Unternehmensstrategie für den Umgang mit personenbezogenen Daten ermittelt werden. Es muss also abgestimmt werden, welchen Stellenwert der Datenschutz im Unternehmen genießen soll. Hierbei finden verschiedene unternehmerische Gesichtspunkte Berücksichtigung.

An den Zielen dieser Strategie orientieren sich sodann die Anforderungen an das Datenschutzkonzept.

Inhalt eines Datenschutzkonzepts

Solche Richtlinien treten in stark unterschiedlicher Form auf. Der Umfang richtet sich in erster Linie nach der festgelegten Strategie und dem Stellenwert des Datenschutzes. Folgende Punkte sollten in jedem Falle erwähnt und geregelt werden:

1. Geltungsbereich

Hier sollten alle Personengruppen definiert werden, für die das Datenschutzkonzept gilt. In erster Linie richtet es sich naturgemäß an die Mitarbeiter des Unternehmens. Erfasst werden können hier allerdings auch die von der Datenverarbeitung betroffenen Personengruppen, wie Kunden oder Lieferanten.

2. Grundsätze des Datenschutzes und Begriffsdefinitionen

Es bietet sich an, die von dem Unternehmen gelebten Grundsätze des Datenschutzes – etwa das Transparenzgebot oder das Prinzip der Datensparsamkeit – vorzustellen und einschlägige Begriffe zu erläutern.

„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ § 3 Abs. 1 BDSG

Dabei zählen Kundendaten ebenso zu den personenbezogenen Daten wie Daten von Beschäftigten. Der Name eines Ansprechpartners lässt genauso einen Rückschluss auf eine natürliche Person zu, wie etwa seine E-Mail-Adresse.

3. Der betriebliche Datenschutzbeauftragte

Wenn ein betrieblicher Datenschutzbeauftragter bestellt ist, sollte er in dem Datenschutzkonzept mit Kontaktmöglichkeit benannt und seine Aufgaben beschrieben werden.

4. Erheben, Verarbeiten und Nutzen personenbezogener Daten

Darüber hinaus sollte geregelt werden, welche Grundsätze für das Erheben, Verarbeiten und Nutzen personenbezogener Daten im Unternehmen gelten und wie diese Tätigkeiten auszugestalten sind, um rechtlich zulässig zu sein.

5. Verpflichtung der Mitarbeiter auf das Datengeheimnis

Es empfiehlt sich auch eine verbindliche Anweisung, nach der jeder Mitarbeiter, der Umgang mit personenbezogenen Daten hat, bei der Aufnahme seiner Tätigkeit schriftlich auf das Datengeheimnis (gem. § 5 BDSG) und die Einhaltung dieser Richtlinie zu verpflichten ist.

6. Verfahrensverzeichnis

Interne Verfahrensübersichten und ein öffentliches Verfahrensverzeichnis stellen ein hervorragendes Mittel zur Schaffung von Transparenz innerhalb des Unternehmens aber auch gegenüber Betroffenen dar.

Auch der betriebliche Datenschutzbeauftragte profitiert in seiner Tätigkeit von solchen Übersichten. Insbesondere kann er nach Einführung entsprechender Prozesse sehr gut beurteilen, ob geplante Verfahren besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen und damit der Vorabkontrolle unterliegen.

7. Beschaffung von Hard- und Software

Auch Regelungen zur Beschaffung und dem Umgang mit Hard- und Software im Unternehmen bieten sich innerhalb der Datenschutzkonzeption an. Hier kann z.B. festgelegt werden, wer für die Beschaffung zuständig ist, ob eine Nutzung privater Hard- und Software gestattet ist oder wie im Verlustfalle zu verfahren ist.

Je nach Bedarf können verschiedene weitere Regelungen zur Schaffung einer unternehmensweit einheitlichen Datenschutzorganisation aufgenommen werden, wie z.B.

  • Passwortrichtlinien
  • Technische und organisatorische Maßnahmen
  • Rechte von Betroffenen
  • Verfahren bei „Datenpannen“

Erstellung und Umsetzung

Bei der Erstellung und Umsetzung einer Datenschutzorganisation sollte der betriebliche Datenschutzbeauftragte unterstützend einbezogen werden. Sie dient nicht nur dazu, die gesetzlichen Vorgaben zu erfüllen oder für eventuelle Prüfungen der Aufsichtsbehörden gerüstet zu sein.

Eine gute und transparente Datenschutzorganisation kann darüber hinaus auch zu einem hohen Grad an Compliance führen, zu einem Image- und Vertrauensgewinn beitragen und sich vertrieblich nutzen lassen.

Muster-Vorlage

Ein Beispiel eines Datenschutzkonzeps in Form einer Muster-Vorlage mit Ausfüllhinweisen finden Sie hier. Dieses Dokument können Sie als Basis für Ihr Datenschutzkonzept nutzen.

Datenschutzkonzept hier runterladen

3 Kommentare zu diesem Beitrag

  1. Hatte der Ersteller ab Seite 4 keine Lust mehr? Irgendwie sehe ich nicht, welchen Mehrwert diese Vorlage im Verhältnis zum Anhang zu § 9 BDSG hat….

    • Bei dem Dokument handelt es sich um ein Muster, das natürlich mit dem im Einzelfall gewünschten Inhalten gefüllt werden muss. Da die Anforderungen an Inhalt und Umfang eines Datenschutzkonzeptes sehr unterschiedlich ausfallen, haben wir nur die Punkte aufgeführt, die wir für erforderlich halten. Es steht Unternehmen darüber hinaus frei, weitere Regelungen zu treffen. Ausführliche Datenschutzkonzepte haben oft einen Umfang von 30 und mehr Seiten. Aufgrund dieser Vielfältigkeit ist es uns nicht möglich und für die meisten Interessierten auch nicht unbedingt sinnvoll, wenn in der Muster-Vorlage alle infrage kommenden Möglichkeiten aufgeführt sind. Mit dem Muster als Einstieg sollte es unseres Erachtens jedoch sehr gut möglich sein, ein Datenschutzkonzept zu erstellen.

  2. als Beispiel und Gegenentwurf wäre der 30-seitige Entwurf ebenfalls hilfreich! Den derzeitigen Entwurf finde ich sehr interessant, jedoch ist es immer einfacher bereits vordefinierte Punkte zu entfernen (weil zu weit führend, oder von der Geschäftsleitung nicht gewünscht), als alles von Grund auf neu zu erstellen zu müssen!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.