Datenschutz­management / Daten­schutz­konzept / Regel­mäßige Audi­tierung

Aktuelle Prüfungen auch der Bayerischen Aufsichtsbehörden sowie die zu den Prüfungsankündigungen veröffentlichten Fragebögen machen deutlich, dass Datenschutz auch in kleinen und mittelständischen Unternehmen nicht wirksam umgesetzt werden kann, ohne umfassende Dokumentationen im Sinne von unternehmensübergreifenden Datenschutzkonzepten.

Schriftliches Konzept

Egal ob von Datenschutzmanagementsystem, Datenschutzsystem, Datenschutzkonzept oder Datenschutzmodell die Rede ist, gemeint ist im Prinzip immer das gleiche. Zur Erfüllung der Dokumentationspflichten und zum Nachweis, dass sämtliche Verpflichtungen aus der DSGVO im Unternehmen umgesetzt werden, ist ein niedergelegtes, in schriftlicher Form vorlegbares Konzept anzuraten. Hierbei ist zu beachten, dass in möglichst umfassender Weise sowohl die rechtlichen Anforderungen an die Unternehmen, wie auch die Mittel und Prozesse, mit denen die Unternehmen diese Verpflichtungen umsetzen, festgelegt werden.

Das sollte drinstehen

Für gewöhnlich sind (Mindest-) Inhalte eines solchen Konzeptes:

  • Allgemeine Anforderungen des Datenschutzes
  • Interne Abläufe und Meldeprozesse, um den gesetzlichen Verpflichtungen auch gegenüber den Betroffenen nachzukommen
  • Verbindliche Vorgaben an die Mitarbeiter zum datenschutzkonformen Verhalten
  • Formulare und Arbeitshilfen
  • Vorgaben zur Dokumentation der Verarbeitungstätigkeiten und der Datenschutzfolgeabschätzung verbindliche Vorgaben inklusive Vertragsmuster zur Beauftragung von Auftragsverarbeitern
  • Anweisungen und verbindliche Vorgaben zur Erfüllung der Informationspflichten
  • Verfahren zur regelmäßigen Überprüfung und Nachjustierung der datenschutzrechtlichen Maßnahmen

Individuelle Besonder­heiten berück­sichtigen

Die oben genannten Punkte sind lediglich Standardbestandteile, die je nach Unternehmen und Branche erweitert werden müssen.

 

Eine wichtige Rolle hierbei spielen auch die Prozesse zur regelmäßigen datenschutzrechtlichen Auditierung/Überprüfung/Evaluierung. Die Tatsache, dass im Rahmen von datenschutzrechtlichen Audits durch Auftraggeber oder Aufsichtsbehörden auch die Prüfberichte der jährlichen internen Auditierung vorgelegt werden müssen, macht deutlich, dass mit der einmaligen Erstellung der datenschutzrechtlichen Unterlagen die Arbeit nicht getan ist. Auch dies ist ein Punkt, der zwar bereits im alten BDSG als Verpflichtung angelegt war, der aber nun durch die Prüfpraxis der Behörden und die DSGVO deutlich mehr Beachtung finden muss.

 

 

In einem Datenschutzkonzept sind somit die Rahmenbedingungen des Datenschutzes festzuschreiben, diese müssen im Alltag und durch jährliche Auditierungen mit Leben gefüllt werden.

Kontakt

Rechts­­anwältin Michaela Berger, LL.M.


Fachanwältin für IT-Recht
zertifizierte Datenschutz­beauftragte (TÜV Süd)
zertifizierte Daten­schutz-Auditorin (TÜV Süd)

 

Michaela.Berger@rdp-law.de