Datenschutzkonzept erstellen ( FASI INFO 34)

Unternehmen und Konzerne beschäftigen sich verstärkt mit dem Aufbau einer zentralen Datenschutzorganisation. Eine gewisse gesetzliche Verpflichtung dazu ergibt sich aus der Anlage zu § 9 Satz 1 BDSG. Die Umsetzung erfolgt i.d.R. durch ein unternehmensweit geltendes übergeordnetes Regelwerk in Form eines Datenschutzkonzepts oder einer Datenschutzrichtlinie.

Anforderungen des BDSG

Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen sind angehalten, die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Anlässlich dessen möchten wir einmal darstellen, wie diese eher abstrakte gesetzliche Vorgabe mit Leben gefüllt werden kann und was eine gute Datenschutzorganisation ausmacht.

Festlegung einer Unternehmensstrategie

Zunächst sollte eine Unternehmensstrategie für den Umgang mit personenbezogenen Daten ermittelt werden. Es muss also abgestimmt werden, welchen Stellenwert der Datenschutz im Unternehmen genießen soll. Hierbei finden verschiedene unternehmerische Gesichtspunkte Berücksichtigung.

An den Zielen dieser Strategie orientieren sich sodann die Anforderungen an das Datenschutzkonzept.

Inhalt eines Datenschutzkonzepts

Solche Richtlinien treten in stark unterschiedlicher Form auf. Der Umfang richtet sich in erster Linie nach der festgelegten Strategie und dem Stellenwert des Datenschutzes. Folgende Punkte sollten in jedem Falle erwähnt und geregelt werden:

1. Geltungsbereich

Hier sollten alle Personengruppen definiert werden, für die das Datenschutzkonzept gilt. In erster Linie richtet es sich naturgemäß an die Mitarbeiter des Unternehmens. Erfasst werden können hier allerdings auch die von der Datenverarbeitung betroffenen Personengruppen, wie Kunden oder Lieferanten.

2. Grundsätze des Datenschutzes und Begriffsdefinitionen

Es bietet sich an, die von dem Unternehmen gelebten Grundsätze des Datenschutzes – etwa das Transparenzgebot oder das Prinzip der Datensparsamkeit – vorzustellen und einschlägige Begriffe zu erläutern.

„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ § 3 Abs. 1 BDSG

Dabei zählen Kundendaten ebenso zu den personenbezogenen Daten wie Daten von Beschäftigten. Der Name eines Ansprechpartners lässt genauso einen Rückschluss auf eine natürliche Person zu, wie etwa seine E-Mail-Adresse.

3. Der betriebliche Datenschutzbeauftragte

Wenn ein betrieblicher Datenschutzbeauftragter bestellt ist, sollte er in dem Datenschutzkonzept mit Kontaktmöglichkeit benannt und seine Aufgaben beschrieben werden.

4. Erheben, Verarbeiten und Nutzen personenbezogener Daten

Darüber hinaus sollte geregelt werden, welche Grundsätze für das Erheben, Verarbeiten und Nutzen personenbezogener Daten im Unternehmen gelten und wie diese Tätigkeiten auszugestalten sind, um rechtlich zulässig zu sein.

5. Verpflichtung der Mitarbeiter auf das Datengeheimnis

Es empfiehlt sich auch eine verbindliche Anweisung, nach der jeder Mitarbeiter, der Umgang mit personenbezogenen Daten hat, bei der Aufnahme seiner Tätigkeit schriftlich auf das Datengeheimnis (gem. § 5 BDSG) und die Einhaltung dieser Richtlinie zu verpflichten ist.

6. Verfahrensverzeichnis

Interne Verfahrensübersichten und ein öffentliches Verfahrensverzeichnis stellen ein hervorragendes Mittel zur Schaffung von Transparenz innerhalb des Unternehmens aber auch gegenüber Betroffenen dar.

Auch der betriebliche Datenschutzbeauftragte profitiert in seiner Tätigkeit von solchen Übersichten. Insbesondere kann er nach Einführung entsprechender Prozesse sehr gut beurteilen, ob geplante Verfahren besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen und damit der Vorabkontrolle unterliegen.

7. Beschaffung von Hard- und Software

Auch Regelungen zur Beschaffung und dem Umgang mit Hard- und Software im Unternehmen bieten sich innerhalb der Datenschutzkonzeption an. Hier kann z.B. festgelegt werden, wer für die Beschaffung zuständig ist, ob eine Nutzung privater Hard- und Software gestattet ist oder wie im Verlustfalle zu verfahren ist.

Je nach Bedarf können verschiedene weitere Regelungen zur Schaffung einer unternehmensweit einheitlichen Datenschutzorganisation aufgenommen werden, wie z.B.

• Passwortrichtlinien

• Technische und organisatorische Maßnahmen

• Rechte von Betroffenen

• Verfahren bei „Datenpannen“

Erstellung und Umsetzung

Bei der Erstellung und Umsetzung einer Datenschutzorganisation sollte der betriebliche Datenschutzbeauftragte unterstützend einbezogen werden. Sie dient nicht nur dazu, die gesetzlichen Vorgaben zu erfüllen oder für eventuelle Prüfungen der Aufsichtsbehörden gerüstet zu sein.

Eine gute und transparente Datenschutzorganisation kann darüber hinaus auch zu einem hohen Grad an Compliance führen, zu einem Image- und Vertrauensgewinn beitragen und sich vertrieblich nutzen lassen.

Muster-Vorlage

Ein Beispiel eines Datenschutzkonzeps in Form einer Muster-Vorlage mit Ausfüllhinweisen finden Sie hier. Dieses Dokument können Sie als Basis für Ihr Datenschutzkonzept nutzen.

Datenschutzkonzept hier runterladen

Beitrag hier kommentieren

 

 

Dieser Newsletter ist ein kostenloser Service der intersoft consulting services AG. Wir würden uns freuen, wenn Sie die Informationen teilen oder uns auf Google+Twitter oder per RSS folgen.