Datenschutzkonzepte

Wir sind Profis im Erstellen von Datenschutzkonzepten und unterstützen Sie gerne. Wenn es um den Begriff „Datenschutzkonzept“ geht, ist es in der Praxis wichtig, zu verstehen, dass der Begriff gesetzlich nicht definiert ist und ihm daher manchmal in Gesprächen unterschiedliche Bedeutung zugemessen wird.

Oftmals lassen sich zwei verschiedene Ebenen von Datenschutzkonzepten unterscheiden:

Blaues Outline-Icon mit einer Checkliste.

Übergreifende Datenschutzkonzepte

Blaues Outline-Icon mit einer Checkliste und Lupe.

Datenschutzkonzepte für einzelne Verarbeitungstätigkeiten und Fachverfahren

Zwei Ebenen von Datenschutzkonzepten

Übergreifende Datenschutzkonzepte

Bei einem übergreifenden Datenschutzkonzept handelt es sich um Prozesse und Dokumente, die ganz allgemein die wichtigsten Punkte des Datenschutzmanagements einer Organisation zusammenfassen und darstellen. Hierzu gehört zum Beispiel 

  • das Festlegen von Datenschutzzielen, 
  • die Dokumentation von Verantwortlichkeiten, 
  • das Festlegen von Prozessen zum Berichtswesen, 
  • die Dokumentation von Prozessen zur Umsetzung von Betroffenenrechten, zum Umgang mit Datenpannen, zur Gewährleistung der notwendigen Datenschutzinformationen, 
  • das Festlegen der rechtlichen Rahmenbedingungen, 
  • das Festlegen von Prozessen, die bei der der Einführung neuer Verarbeitungstätigkeiten, Software- und IT-Verfahren berücksichtigt werden müssen,
  • die Strategie zum Umgang mit Auftragsverarbeitern sowie deren Kontrolle,
  • die Prozesse rund um das Erstellen des Verzeichnisses der Verarbeitungstätigkeiten sowie die Durchführung etwaig erforderlicher Datenschutz-Folgenabschätzungen,
  • das Festlegen einer Schulungsstrategie.

Diese und weitere Punkte besprechen wir gemeinsam mit Ihnen und erfassen den status quo Ihrer Organisation. Durch unsere langjährige Beratungspraxis verfügen wir über viele Richtlinien, Dokumente und Prozessblaupausen, um Sie in kurzer Zeit gut aufzustellen. Darüber hinaus können wir Ihnen bei Bedarf mit unserem Datenschutzmanagementsystem DSN port und unseren eLearning-Kursen DSN train in kurzer Zeit Lösungen anbieten um die datenschutzrechtlichen Herausforderungen schnell und rechtskonform zu meistern.
 

Benötige ich ein übergreifendes Datenschutzkonzept?

Um es vorweg zu nehmen: Ein übergreifendes Datenschutzkonzept ist gesetzlich nicht unmittelbar vorgeschrieben. Allerdings ist es der zentrale Dreh- und Angelpunkt für das Datenschutzmanagement einer Organisation. Es kann genutzt werden, um gegenüber Aufsichtsbehörden, Wirtschaftsprüfern und sonstigen Dritten (z.B. Auftraggebern) die Datenschutzorganisation und -strategie darzustellen. Insbesondere im Hinblick auf Aufsichtsbehörden kann ein übergreifendes Datenschutzkonzept dazu dienen, der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden.  
 

Datenschutzkonzepte für einzelne Verarbeitungstätigkeiten und Fachverfahren

Häufig wird in der Praxis nach Datenschutzkonzepten für einzelne Verarbeitungstätigkeiten und Fachverfahren gefragt. Die Gründe hierfür sind unterschiedlich. Teilweise wird ein Datenschutzkonzept als wichtiger Bestandteil im Rahmen der Projektsteuerung zur Einführung neuer Verfahren gesehen, um die datenschutzrechtlich relevanten Punkte gleich zu Beginn mitdenken zu können und so Verzögerungen zu vermeiden. Teilweise wird ein Datenschutzkonzept in der Praxis auch benötigt, um Dritten (wie zum Beispiel der Mitarbeitervertretung) die datenschutzkonforme Konzeption und Umsetzung darzustellen. Gegebenenfalls kann ein Datenschutzkonzept auch erforderlich werden, um sonstigen Dritten gegenüber Rechenschaft abzulegen (zum Beispiel gegenüber der Konzernmutter oder gegenüber Aufsichtsbehörden).
 

Was zeichnet ein Datenschutzkonzept aus?

Ein Datenschutzkonzept zeichnet sich durch die systematische Darstellung der Verarbeitungstätigkeit aus und enthält in diesem Rahmen optimalerweise auch die für das Verzeichnis der Verarbeitungstätigkeiten erforderlichen Informationen nach Art. 30 Abs. 1 DSGVO.
Neben der Beschreibung des Verfahrens steht am Anfang oftmals die Erhebung der beteiligten Akteure der Verarbeitung und Klärung von Verantwortlichkeiten (Eigenverantwortlichkeit, Auftragsverarbeitung, gemeinsame Verantwortlichkeit).

Ein Datenschutzkonzept führt zudem auf, welche Daten zu welchen Zwecken verarbeitet werden, welche Personen von der Verarbeitung betroffen sind, welche Rechtsgrundlagen die Datenverarbeitung erlauben und nimmt auch Bezug auf Löschfristen, geplante Datenübermittlungen und einen etwaigen Drittlandsbezug. 
Darüber hinaus sollte ein Datenschutzkonzept auch ganz konkret die Datenschutzinformationen nach Art. 13 und Art. 14 DSGVO behandeln sowie eine Darstellung der technischen und organisatorischen Maßnahmen auf allgemeiner Ebene.  
Sofern im Rahmen des Datenschutzkonzeptes Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO benötigt oder geprüft werden müssen, erhalten Sie auch hier Unterstützung, ebenso wie für die im Falle der gemeinsamen Verantwortlichkeiten erforderlichen Vereinbarungen nach Art. 26 DSGVO. 

Wenn erforderlich können wir Sie im Rahmen des Datenschutzkonzepts auch weiter unterstützen, zum Beispiel bei der Erstellung von 

  • Löschkonzepten
  • Sicherheitskonzepten
  • Berechtigungskonzepten

Im Rahmen des Datenschutzkonzepts wird zudem überprüft, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist.
 


Im Rahmen des Datenschutzkonzepts wird zudem überprüft, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist.

Datenschutz-Folgenabschätzung (DSFA)

Wir überprüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist. Hierzu bewerten wir Ihr Vorhaben unter anderem entsprechend der veröffentlichten Vorgaben von Aufsichtsbehörden (z. B. den „Leitlinien zur Datenschutz-Folgenabschätzung“ der Artikel-29-Datenschutzgruppe) und den Listen, die Datenschutzaufsichtsbehörden nach Art. 35 Abs. 4 DSGVO aufgestellt haben und die bestimmen, wann eine DSFA immer durchzuführen ist.

Wenn wir zu dem Ergebnis kommen, dass eine DSFA erforderlich ist, unterstützen wir Sie bei der Durchführung. Hierzu bestimmen wir mit Ihnen gemeinsam in welchem Detailgrad und mit welcher Methodik die DSFA durchgeführt werden soll.

Bei Bedarf erfolgt die Hinzuziehung unserer Informationssicherheitsexperten, insbesondere im Rahmen der Risikoanalyse.

Ihre Ansprechpartner

Kontaktieren Sie uns, um mehr über unsere umfassenden Dienstleistungen im Bereich Datenschutzkonzepte und Datenschutz-Folgenabschätzung zu erfahren und einen Termin zu vereinbaren. 

Oliver Stutz

Oliver Stutz, Volljurist

Geschäftsführer

E-Mail: ostutz@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-314

datenschutz nord GmbH, Bremen

Christian Borchers

Dr. iur.

Christian Borchers, Volljurist

Geschäftsführer

E-Mail: office@re-move-this.datenschutz-sued.de

Telefon: +49 931 30 49 76-0

datenschutz süd GmbH, Würzburg

Sie brauchen Unterstützung in Ländern außerhalb Deutschlands?

Als Unternehmensgruppe betreuen wir Sie natürlich auch außerhalb Deutschlands in vielen Sprachen. Sprechen Sie uns an.

Peter Suhren

Peter Suhren, Volljurist

Geschäftsführer

E-Mail: psuhren@re-move-this.first-privacy.com

Telefon: +49 421 69 66 32-822

FIRST PRIVACY GmbH, Bremen

Cihan Parlar

Cihan Parlar, LL.M. (Tilburg)

Geschäftsführer

E-Mail: cparlar@re-move-this.first-privacy.com

Telefon: +31 20 211 7116

FIRST PRIVACY B.V., Amsterdam

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge.