Datenschutzkonzept

In einem Datenschutzkonzept (Abk. DSK) werden die für eine datenschutzrechtliche Beurteilung notwendigen Informationen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschrieben. Es dokumentiert die Art und den Umfang der erhobenen, verarbeiteten oder genutzten personenbezogenen Daten. Die Beschreibung der Daten oder Datenfelder nennt man in der Regel Datenfeldkatalog. Aus der Festlegung datenschutzrechtlicher Anforderungen ergibt sich die Rechtsgrundlage und Zweckbindung für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten. Eine Beschreibung der Schnittstellen als Schnittstellenkatalog und aller vorgesehenen Auswertungen von Daten (Auswertekatalog) geben einen Überblick über die Nutzung bzw. Übermittlung von personenbezogenen Daten. Weiterhin werden die umgesetzten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO dokumentiert. Hierzu gehören Maßnahmen zur Pseudonymisierung und Verschlüsselung, zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur Wiederherstellung der Daten im Fall eines physischen oder technischen Zwischenfalls.

Das Datenschutzkonzept gibt als umfassendes Dokument Auskunft über die Rechtmäßigkeit der Datenverarbeitung bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Das Datenschutzkonzept gehört neben Fachkonzept, Betriebskonzept und Sicherheitskonzept zur Dokumentation eines IV-Verfahrens (Prozess, Projekt, IV-Anwendung bzw. IV-System).

In einem Sicherheitskonzept oder IT-Sicherheitskonzept (Abkürzung SiKo) werden im Unterschied zum Datenschutzkonzept nur die Sicherheitsmaßnahmen beschrieben. Grundlage für ein IT-Sicherheitskonzept ist im Regelfall eine Sicherheitsbetrachtung mit Risikoanalyse auf der Basis einer Bedrohungsanalyse. Neben dem Begriff IT-Sicherheitskonzept wird häufig auch von Sicherheitskonzept oder Datensicherheitskonzept gesprochen.

In älteren IT-Sicherheitskonzepten wird auch der alte Rechtsbegriff Datensicherung für das Thema „IT-Sicherheit“ verwendet. In diesem Kontext handelt es sich jedoch nicht um Sicherheitskopien von Daten im Sinne eines sog. Backup.

Personenbezogene Daten

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person).^[1]

Besondere Kategorien personenbezogener Daten

Besondere Kategorien personenbezogener Daten umfassen Angaben zur rassischen und ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, sexuellen Orientierung sowie genetische und biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person verwendet werden können (Art. 9 Abs. 1 DSGVO).^[2]

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich untersagt, es sei denn, eine der Ausnahmen gemäß Art. 9 Abs. 2 DSGVO liegt vor, wie z. B. die ausdrückliche Einwilligung der betroffenen Person oder lebenswichtige Interessen.^[3]

Kategorien personenbezogener Daten

Kundendaten: Personenbezogene Daten von Betroffenen, zu denen ein Vertragsverhältnis oder vertragsähnliches Verhältnis als Auftragnehmer besteht.

Lieferantendaten: Personenbezogene Daten von Betroffenen, zu denen ein Vertragsverhältnis oder vertragsähnliches Verhältnis als Auftraggeber besteht. Sofern es sich hierbei um natürliche Personen handelt.

Mitarbeiterdaten: Personenbezogene Daten der Beschäftigten eines Unternehmens.

Aktionärsdaten: Personenbezogene Daten der Aktionäre des Unternehmens (Aktiengesellschaft).

Mitgliederdaten: Personenbezogene Daten der Mitglieder eines Vereins (Vereinsrecht) oder Verbandes (Verband (Recht)).

Personenbezogene Daten für Geschäftszwecke: Personenbezogene Daten, die im Rahmen der DSGVO und des BDSG für Geschäftszwecke verwendet werden. Dies umfasst auch den Adresshandel, sofern dieser den Anforderungen der DSGVO entspricht.^[4]

Verantwortliche Stelle

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).^[4]

Aufbau und Gliederung eines Datenschutzkonzeptes

Folgende Punkte müssen zwingend in einem Datenschutzkonzept vorhanden sein:

Beschreibung der personenbezogenen Daten und Angabe der jeweiligen Zweckbindung (Nutzungszweck)
Angaben zum Verantwortlichen einschließlich Kontaktinformationen und, falls vorhanden, des Datenschutzbeauftragten.^[5]
Beschreibung der Gewährleistung von Betroffenenrechten
Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz

Mögliche Darstellungsarten der einzelnen Inhalte sind:

Datenflussdiagramm (Datenfelder, Tabellen oder Datenarten werden mit den Schnittstellen in den einzelnen Verarbeitungsschritten dargestellt)
Datenfeldkatalog

Datenfeldnummer	Datenart	Datenfeldname	Beschreibung	Verwendungszweck	Speicherort	Löschfrist
laufende Nummer	Art und Kategorie (siehe oben unter 1 personenbezogene Daten)	technischer Datenfeldname	Erklärender Datenfeldname oder Zusammensetzung bei berechneten Feldern	Nutzung des Datums mit Zweckbindung	logischer und physischer Speicherort	Wann wird gelöscht? (Datum, Termin oder gesetzliche Aufbewahrungsfrist)

Siehe auch

Federal Trade Commission

Weblinks

Protecting Personal Information: A Guide for Business (PDF)

Einzelnachweise

↑ Art. 4 Nr. 1 DSGVO
↑ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR). 27. April 2016 (europa.eu [abgerufen am 9. August 2024]).
↑ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR). 27. April 2016 (europa.eu [abgerufen am 9. August 2024]).
↑ ^a ^b BDSG - nichtamtliches Inhaltsverzeichnis. Abgerufen am 9. August 2024.
↑ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR). 27. April 2016 (europa.eu [abgerufen am 9. August 2024]).

[1] Art. 4 Nr. 1 DSGVO

[2] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR). 27. April 2016 (europa.eu [abgerufen am 9. August 2024]).

[3] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR). 27. April 2016 (europa.eu [abgerufen am 9. August 2024]).

[:0-4] BDSG - nichtamtliches Inhaltsverzeichnis. Abgerufen am 9. August 2024.

[5] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR). 27. April 2016 (europa.eu [abgerufen am 9. August 2024]).

[1]

[2]

[3]

[4]

[5]