So pflegen Sie das Datenschutzkonzept
Die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit regelmäßig überprüft, bewertet und evaluiert. Das heißt für Unternehmen und Datenschutzbeauftragte: Sie müssen das Datenschutzkonzept immer wieder überarbeiten. Was dabei wichtig ist, lesen Sie in diesem Beitrag.
Datenschutz besser organisieren
Ein Datenschutzkonzept muss gut strukturiert sein und die Aufgaben für die verschiedenen Stellen sauber trennen. Nur so kann jeder konkret nachvollziehen, welche Maßnahmen für den Datenschutz er ergreifen muss.
Das Datenschutzkonzept unterstützt die Organisation des Datenschutzes also nur dann, wenn es selbst gut organisiert ist.
Das Datenschutzkonzept braucht eine Struktur
Wie sieht eine Struktur für das Datenschutzkonzept aus? Ein Beispiel:
- Ziel und Gültigkeitsbereich
- übergreifende Datenschutz- und Sicherheitspolitik
- Verantwortlichkeit im Unternehmen für den Datenschutz (übergreifend und in Spezialfragen)
- rechtliche Vorgaben, spezielle vertragliche Pflichten
- mitgeltende Unterlagen
- Erläuterungen zum Schutzbedarf und Verfahren, um den Schutzbedarf zu bestimmen
- Maßnahmen für die Sicherheit der Verarbeitung, übergreifend und für spezielle Datenkategorien
- organisatorische Richtlinien (wie Backup, Virenschutz, Protokollierung)
- Regelungen für den Fall der Auftragsverarbeitung
- Verfahrensverzeichnis (BDSG)/Verzeichnis der Verarbeitungstätigkeiten (DSGVO)
- Datenschutz-Unterweisungen
- regelmäßige Datenschutz-Kontrollen und Audits
Datenschutzkonzept ist Basis des Datenschutz-Audits
Und eine weitere wichtige Rolle hat das Datenschutzkonzept: Bei (internen) Datenschutz-Audits hilft es , die ergriffenen Maßnahmen übersichtlich darzustellen und die Datenschutz-Planung nachzuweisen.
Zusätzlich bildet ein gutes Konzept einen Prüfungsrahmen für den internen Datenschutz. Denn so lassen sich die beschriebenen Maßnahmen auf Umsetzung und Aktualität überprüfen.
Nutzen Sie am die folgende Arbeitshilfe, um die Vollständigkeit Ihres Datenschutzkonzepts zu kontrollieren. Prüfen Sie dabei gleichzeitig dessen Aktualität.
Konzept bleibt auch mit DSGVO zentral
Ein Datenschutzkonzept bleibt auch mit der Datenschutz-Grundverordnung wichtig – mehr noch: Es bekommt einen höheren Stellenwert.
Mehr als die Hälfte der Unternehmen ist nicht auf die Datenschutz-Grundverordnung vorbereitet, so der aktuelle Global Databerg Report von Veritas. Erschwerend kommt hinzu, dass viele Unternehmen nicht wissen, wer letztlich dafür verantwortlich ist, dass ein Unternehmen den Datenschutz einhält:
- 32 Prozent sehen die IT-Leitung in dieser Rolle.
- 21 Prozent gaben den IT-Sicherheits-Verantwortlichen an.
- 14 Prozent setzten den Haken bei der Geschäftsführung.
Zuständigkeiten klären
Ohne Klärung der Zuständigkeit und ohne intensive Vorbereitung besteht die Gefahr, dass Unternehmen viele Vorgaben der DSGVO nicht rechtzeitig umsetzen. Dazu zählt auch das in der Grundverordnung geforderte Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheit:
- Um den zunehmenden Bedrohungen für personenbezogene Daten gerecht zu werden und die gesetzlichen Veränderungen nicht aus den Augen zu verlieren, müssen die Datenschutz-Maßnahmen genau geplant, richtig dokumentiert und regelmäßig auf den Prüfstand gestellt werden.
- Ein schriftliches Datenschutzkonzept ist hierbei das Mittel der Wahl. Denn es beschreibt die Organisation des Datenschutzes und macht sie damit für berechtigte Stellen transparent.