Florian Padberg
Datenschutzbeauftragter
Datenschutz ist gar nicht primär Technik oder Rechtliches, Datenschutz ist vor allem Dokumentation. Diese soll zum einen die Transparenz zu den Aktivitäten und Maßnahmen im Unternehmen bezüglich des Handlings personenbezogener Daten erhöhen – vor allem die Betroffenen sollen möglichst optimal informiert sein, was mit ihren Daten passiert. Zum anderen dient die Dokumentation aber natürlich auch als Nachweis, dass das Unternehmen sich um die Belange des Datenschutzes aktiv und strukturiert kümmert – dies wiederum kann gerade im Überprüfungs- oder gar Streitfall entscheidend sein und Bußgelder oder Abmahnungen vermeiden helfen.
Da der Datenschutz sehr umfassend ist und in sehr viele Teilbereiche hinreicht – vom Geschäftszweck an sich über technische Fragestellungen bis hin zu internen Regelungen sind Datenschutz-Dokumente nötig und wichtig – benötigt man eine konsolidierende Ebene, die halbwegs zeitnah einen Überblick über das Gros der Aktivitäten verschafft und auch die strategische Einbettung und die Mission hinter dem Datenschutz darstellt.
Ziel dieser Meta-Dokumentation ist es, den wichtigsten Stakeholdern aufzuzeigen, wie das Unternehmen das Thema Datenschutz grundsätzlich behandelt. Dazu gehören u.a. Gesellschafter, Partner, Großkunden, Mitarbeiter sowie externe Auditoren und natürlich auch die Aufsichtsbehörden.
Es handelt sich also um eine quasi öffentliche Dokumentation. Diese Dokumentation ist das „Datenschutzkonzept“.
Schafft man es, bereits auf dieser Ebene die Sicherheit zu vermitteln, dass dem Thema Datenschutz eine angemessene Rolle in den Managementsystemen des Unternehmen zuteil wird, sind weitergehende – oft aufwändige – Prüfungen und Nachweise nicht immer nötig. Daher sollte das Datenschutzkonzept den Spagat schaffen zwischen „Big Picture“ und konkreter Information.
Auch wenn jede Firma anders aufgestellt ist, jedes Geschäftsmodell ist irgendwie speziell und nicht sofort mit anderen vergleichbar. Dem entsprechend werden auch unterschiedliche Datenkategorien auf unterschiedlichste Arten und Weisen verarbeitet. Jedoch kann man doch eine gewisse Regelstruktur eines Datenschutzkonzeptes bestimmen, wobei jeder Teil seine eigene Aufgabe in der Informationsbereitstellung hat.
Am Anfang eines Datenschutzkonzeptes wird das Unternehmen als solches und seine Kernwertschöpfungsfelder vorgestellt. Die Hauptgeschäftsbereiche vermitteln dabei einen ersten Einblick, welche Daten hier wohl eine wichtige Rolle spielen werden: Geht es primär um umfangreiche Daten zur Kundenbeziehung eines Händlers, oder spielen personenbezogene Daten eine eher untergeordnete Rolle wie etwa bei einem Spezialmaschinenbauer, oder muss man durchaus ein besonderes Augenmerk auf den Datenschutz legen weil eine Datingplattform zahlreiche sehr persönliche und sensible individuelle Daten verarbeitet?
Ergänzend zu dieser Einführung in das Wesen des Unternehmens wird dann die Strategie des Datenschutzes und der Stellenwert dieser Disziplin beschrieben. Der Leser kann damit bewerten, ob diese Ausrichtung zum vorher Gesagten passt oder ob das Unternehmen hier sogar offensichtlich übertriebene Ansprüche an sein Datenhandling hat. Teil dieses Bereiches ist meist auch die Herleitung, warum das Unternehmen überhaupt ein Datenschutzkonzept erstellt, für wen es gilt und welche Ziele damit erfüllt werden sollen.
Dieser einführende, eher richtungsbestimmende erste Abschnitt kann auch als „Datenschutz-Leitlinie“ bezeichnet werden, auf Basis derer alle operativen Maßnahmen ableitbar und begründbar sind.
Im Folgenden stellt das Konzept dann in der Regel ein Glossar der wichtigsten Datenschutzbegrifflichkeiten dar und geht im Anschluss auf die wesentlichen inhaltlichen Themenbereiche des Datenschutzmanagements ein und wie das Unternehmen diese konkret angeht, wie etwa
In einer weiteren Konkretisierungs-Stufe werden die Datenschutz-Prinzipien der Organisation in den einzelnen Fachbereichen bzw. -disziplinen erläutert, beispielsweise
Abschließend geht das Konzept sinnvollerweise dann auf diejenigen Aspekte ein, die eine dauerhafte Qualitätssicherung des Datenschutzmanagements leisten, also einen Regelprozess zur Überprüfung und Kontrolle der geplanten Maßnahmen (Wie stellen wir sicher, dass der Datenschutz so umgesetzt wird wie wir es geplant haben?) und einen kontinuierlichen Verbesserungsprozess (Was unternehmen wir um unseren Datenschutz laufend zu optimieren in einer dynamischen Umwelt?).
Da es sich ja um ein halb-öffentliches Dokument handelt, sollte das Datenschutzkonzept natürlich keine Geschäftsgeheimnisse aufdecken oder strategische Wettbewerbsvorteile dadurch zerstören, dass es im Detail bestimmte Abläufe oder Gegebenheiten im Unternehmen beschreibt, sondern das Unternehmen sollte eher die Gelegenheit nutzen, ein Stück weit Marketing in eigener Sache zu machen durch eine stringente Beschreibung einer Strategie, ihrer Umsetzung und der laufenden Optimierung zum Wohle der Betroffenen – ganz im Sinne eines „Tue Gutes und rede darüber!“.
Der Aufbau und die Pflege des Datenschutzkonzeptes gehört zu den Kernaufgaben eines Datenschutzbeauftragten. Durch seinen Einblick in die ganze Breite der Unternehmensprozesse, seine Kenntnis der Detaildokumentationen rund um den Datenschutz und seine Bewertungskompetenz der dafür betriebenen Maßnahmen kann er diese Gesamtschau am ehesten leisten und optimal weiterentwickeln.
Zugleich sollte eine Änderung bestimmter Detailaktivitäten im Datenschutz idealerweise möglichst einfach den Weg in das Datenschutzkonzept finden ohne zu viel manuellen Doppel-Pflege-Aufwand:
Eine integrierte Dokumentationslösung zum Datenschutz berücksichtigt immer auch einen Updateprozess des Datenschutzkonzeptes wo es möglich ist. Je einfacher und durchaus auch teilautomatisierter so eine Aktualisierung erfolgen kann, desto höher ist die Dokumentationsqualität. Agiles Vorgehen hat inzwischen auch im Datenschutz einen ersten Einzug gehalten, denn es unterstützt oft den erwünschten Regelprozesscharakter in der Dokumentation.
Das Datenschutz-Portal DSM-Online.eu richtet sich an kleine und mittelständische Unternehmen, die Ihren Datenschutz verlässlich und kostengünstig organisieren möchten. Sie benötigen kein Know-how, die integrierte Logik führt Sie sicher dazu Ihr Unternehmen Schritt für Schritt datenschutz-konform auszurichten. 14 Tage kostenlos testen!
Unsere Datenschutz-Experten unterstützten Sie bei der Erstellung, Pflege oder auch beim Review Ihres Datenschutzkonzeptes. Kontaktieren Sie uns und wir besprechen Ihre Anforderunge und Fragen.