Geht es Ihnen auch manchmal so? Sie stehen vor der Aufgabe ein Dokument oder eine Dokumentation zu einem bestimmten Thema zu erstellen. Sie können es aber noch nicht so richtig einordnen? Was soll der genaue Inhalt sein, welches Ziel soll mit diesem Dokument erreicht werden? Dabei geht es weniger um die Zielgruppe für das Dokument, als den fachlichen Inhalt. Leitlinie, Konzept, Richtlinie oder ein Managementbericht… Alles Dokumente, die aufeinander aufbauen und entsprechend abgestimmt sein wollen. Beschäftigen wir uns im Folgenden mit Konzepten.
Begriffsdefinition „Konzept“
Worum geht es inhaltlich bei einem Konzept? Ist es ein Dokument oder können auch mehrere Dokumente zusammen ein Konzept bilden? Eine Internetrecherche hilft da auch nicht unbedingt weiter, viele Quellen geben verschiedene Antworten.
- Formuliertes Gedankengerüst zur Realisierung von etwas.
- Konzept (von lateinisch concipere, ‚erfassen‘) bezeichnet in der deutschen Alltagssprache einen vorläufigen, nicht bis ins Detail ausgeführten Plan. Es kann sich um ein Metamodell oder eine Entwurfsplanung handeln, die eine übergeordnete oder eine vorläufige Sicht zu einem später auszuführenden Detailplan angeben. (Quelle: Wikipedia)
- Ein Konzept ist ein grober Plan, welcher die Maßnahmen zur Erreichung eines Ziels auflistet oder beschreibt, sowohl skizzenhaft im Entwurf als auch verbindlich in der Auswahl der Mittel. (Quelle: Wikipedia)
Sehen wir uns im Folgenden die Erstellung eines Datenschutzkonzeptes, eine der ersten Aufgaben eines Datenschutzbeauftragten nach seiner schriftlichen Bestellung, näher an. Ein Datenschutzkonzept ist ein Dokument, das einen gewissen Mindestumfang an Themen enthalten sollte. Es gibt keine Rechtsnorm zu Umfang und Inhalt eines Datenschutzkonzeptes. Manche Punkte müssen jedoch verbindlich beschrieben und geregelt werden. Legen Sie also für sich und ihr Unternehmen fest, welchen Inhalt ihr Datenschutz-Konzept haben muss. Dazu im Folgenden einige Punkte, die auf jeden Fall im Datenschutz-Konzept zu beschreiben sind.
Sicherheitspolitik und Verantwortlichkeiten im Unternehmen
Für Ihr Unternehmen ist festzulegen, welche Anforderungen und Ziele des Datenschutzes bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. Gegen diese Definition muss in der Zukunft immer geprüft werden, ob Maßnahmen dieses Ziel unterstützen. Es müssen Verantwortlichkeiten festgelegt werden. Der Datenschutzbeauftragte (DSB) muss namentlich benannt werden. Beschreiben Sie, was im Falle einer Abwesenheit des DSB unternommen werden soll, falls Aufgaben für den DSB anfallen. Beispielsweise kann es zu einer Anfrage einer Datenschutzauskunft kommen oder eine Datenschutzvereinbarung mit einem Dritten muss geschlossen werden.
Es sollten laufend Prüfungen der eingesetzten IT-Verfahren sowie eine ständige Verbesserung der Sicherheitsregelungen angestrebt werden. Auch diese Maßnahmen sollten im Datenschutz-Konzept beschrieben werden. Datenschutz ist nichts was ein paar Mal im Jahr bearbeitet wird, sondern muss in die täglichen Abläufe integriert werden. Die genauen Tätigkeiten können vom Datenschutzbeauftragten im jährlichen Managementbericht dokumentiert werden. An dieser Stelle geht es um das Datenschutz-Konzept, nicht um die detaillierte Dokumentation einzelner Maßnahmen.
Rechtliche Rahmenbedingungen im Unternehmen
Spätestens beim IT-Verfahrensverzeichnis muss bei jedem Verfahren detailliert hinterlegt werden, auf welcher Rechtsgrundlage die Verarbeitung von personenbezogenen Daten beruht. Hinterlegen Sie bereits im Konzept, wofür welche Datenarten erhoben werden. Versuchen Sie eine ganz allgemeine Beschreibung zu erstellen und an dieser Stelle noch nicht detailliert auf Daten einzugehen. Denn diese detaillierte Beschreibung gehört in das IT-Verfahrensverzeichnis.
Schutzbedarf personenbezogener Daten
Etwas aufwendiger wird es dann schon wenn es darum geht, den Schutzbedarf der Daten zu dokumentieren. Es müssen Schutzbedarfsfeststellung nach einem Schutzstufenkonzept erstellt werden. In unserem Fall „nur“ unter datenschutzrechtlichen Gesichtspunkten. Aber wo kommen heute keine personenbezogenen Daten vor? Diese Erstellung von Schutzbedarfsfeststellungen ist nicht zu unterschätzen, sollten noch keine vorliegen. Hier wird die sehr enge Verzahnung zwischen Datenschutz und Datensicherheit deutlich. Datenschutz kann ohne Maßnahmen zur Datensicherheit nicht gewährleistet werden.
Bestehende technische und organisatorische Maßnahmen
Beschreiben Sie allgemein die technischen und organisatorischen Maßnahmen im Unternehmen. Dazu orientieren Sie sich einfach an offiziellen Checklisten der Datenschutzbehörden. Im Verfahrensverzeichnis kann dann auf spezielle Einrichtungen zu den technischen und organisatorischen Maßnahmen eingegangen werden.
- Maßnahmen der Zutrittskontrolle
- Maßnahmen der Zugangskontrolle
- Maßnahmen der Zugriffskontrolle
- Maßnahmen der Weitergabekontrolle von personenbezogenen Daten
- Maßnahmen der Eingabekontrolle von personenbezogenen Daten
- Maßnahmen der Auftragskontrolle von Dienstleistern
- Maßnahmen der Verfügbarkeitskontrolle
- Maßnahmen zum Trennungsgebot
Organisatorische Mindestregelungen
Ein funktionierendes Datenschutzkonzept ist von weiteren Konzepten abhängig. Diese sind vielleicht bereits im Unternehmen vorhanden. Wenn nicht, dann sollten diese zeitnah erstellt werden, denn diese Dokumente gehören zum Standard einer gemanagten IT-Landschaft:
- Datensicherungskonzept
- Berechtigungskonzept
- Konzept zur Protokollierung und Kontrolle der Einhaltung
Datenschutzrechtliche Anforderungen
Hinterlegen Sie im Dokument auch die Verbindung zu anderen Dokumenten wie
- Bestellung und Aufgaben des Datenschutzbeauftragten gemäß BDSG §§4 f und g,
- Verzeichnis aller Verfahren und der verarbeiteten personenbezogenen Daten gemäß BDSG §4 g,
- Prozess der Vorabkontrolle gemäß BDSG §4 d oder
- Unterweisung der Mitarbeiter zum Datenschutz
Dem Umfang des Datenschutzkonzeptes sind eigentlich keine Grenzen gesetzt. Auch wenn es eigentlich ein übergeordnetes Konzept sein sollte und für jeden IT-Service bzw. jedes IT-System ein eigenes Datenschutz-Konzept erstellt werden sollte. Mit einem allgemeinen Datenschutz-Konzept bildet man auf jeden Fall die Grundlage und hat bereits etwas in der Hand, wenn neue Systeme eingeführt werden. Da gilt dieses dann so lange, bis ein eigenes erstellt wurde. Ob man dies in der Form aufbaut, muss jeder für sich entscheiden. Schließlich bedeutet es einen enormen Zeitaufwand. In sehr großen IT-Landschaften mag dies sinnvoll und notwendig sein. In Firmen, bei denen nicht viele hundert oder tausend Server laufen, ist die allgemeine Beschreibung in einem einzigen Datenschutz-Konzept sicherlich ausreichend. Verfeinert werden die Angaben schließlich im IT-Verfahrensverzeichnis. Sie werden im Laufe der Zeit ein Gefühl dafür bekommen, was im Datenschutz-Konzept direkt beschrieben wird und an welcher Stelle weitere Dokumente zum Einsatz kommen sollten.
Ich finde das Wichtige ist, dass Sie sich des Themas annehmen und überhaupt dokumentieren. Ob ein Thema dann im richtigen Dokument hinterlegt ist oder nicht, empfinde ich zunächst als zweitrangig. Hauptsache die Informationen können schnell gefunden werden.