Datenschutzkonformität

Datenschutzkonformität (englisch Data Protection Compliance) bezeichnet den Zustand, in dem ein Unternehmen alle einschlägigen Datenschutzgesetze und Vorgaben nachweisbar einhält. In Deutschland ist das vor allem die EU-Datenschutz-Grundverordnung (DSGVO) zusammen mit dem Bundesdatenschutzgesetz (BDSG), ergänzt durch das TTDSG für Online-Tracking, Cookies und elektronische Kommunikation. Konformität ist dabei kein Zertifikat und keine Software, sondern ein laufender Prozess aus Regeln, Dokumentation, Schulungen und technischen Maßnahmen.

Im Kern geht es um die sieben Grundsätze nach Art. 5 DSGVO. Personenbezogene Daten dürfen nur rechtmäßig und transparent verarbeitet werden, an einen klaren Zweck gebunden sein, in der Menge auf das Nötige beschränkt bleiben, sachlich richtig sein, nicht länger gespeichert werden als nötig, sicher behandelt werden und das alles muss vom Verantwortlichen auch belegt werden können. Wer diese Grundsätze nicht systematisch umsetzt, hat im Streitfall ein Beweisproblem.

Die sieben DSGVO-Grundsätze nach Art. 5 Sieben Kacheln zu Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Die sieben DSGVO-Grundsätze (Art. 5) RECHTMÄSSIGKEIT Art. 6 prüfen Vertrag, Einwilligung, berechtigtes Interesse transparent gegenüber Betroffenen ZWECKBINDUNG Nur was vereinbart Daten aus dem Shop nicht heimlich fürs Marketing nutzen MINIMIERUNG So wenig wie nötig Geburtsdatum nur erfragen, wenn es wirklich gebraucht wird RICHTIGKEIT Stammdaten pflegen Adressen, Kontaktdaten, Einwilligungsstand aktuell halten SPEICHERFRIST Löschkonzept Bewerbungen, Logs, Verträge mit klaren Fristen versehen SICHERHEIT Technisch & organisatorisch Verschlüsselung, Berechtigungen, Backup, verschlossene Schränke RECHENSCHAFT Nachweispflicht Verarbeitungsverzeichnis, TOM, Schulungsnachweise Klassifikation nach Art. 5 DSGVO, Verordnung (EU) 2016/679
Die sieben Grundsätze sind die Pflicht. Wer einen davon reißt, ist nicht mehr datenschutzkonform.

Die wichtigsten Pflichten in der Praxis:

  • Verarbeitungsverzeichnis nach Art. 30 DSGVO: Übersicht aller Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Betroffenen, Datenkategorien, Empfängern, Löschfristen.
  • Technische und organisatorische Maßnahmen (TOM) nach Art. 32: von Berechtigungskonzepten und Verschlüsselung über Backup bis zu abschließbarem Aktenstauraum.
  • Auftragsverarbeitungsverträge (AVV) nach Art. 28: mit allen Dienstleistern, die personenbezogene Daten anfassen, vom Cloud-Hoster bis zum Newsletter-Tool.
  • Informationspflichten nach Art. 13 und 14: Datenschutzerklärung auf der Website, Hinweise im Bewerbungsformular, im Kundenkonto, bei Telefonaufzeichnungen.
  • Meldewege bei Datenpannen nach Art. 33 und 34: 72 Stunden Frist gegenüber der Aufsichtsbehörde, im Ernstfall auch Information der Betroffenen.
  • Datenschutzbeauftragter nach Art. 37: Pflicht ab 20 Personen, die ständig personenbezogene Daten automatisiert verarbeiten oder bei besonders sensiblen Daten.

Datenschutzkonformität im Mittelstand:

Im Mittelstand wird Datenschutzkonformität oft auf die Datenschutzerklärung der Website reduziert. Das ist die sichtbare Spitze, aber nicht der Kern. Der Kern liegt in den Prozessen rund um Bewerbungen, Personalakten, Kundendaten, Lieferantendaten, Kameraaufzeichnungen, Zutrittskontrolle, Telefonanlagen, IT-Logs und allem, was sich im Hintergrund ansammelt. Auch das physische Umfeld zählt: Personalakten gehören in einen abschließbaren Aktenschrank, nicht in das offene Regal hinter dem Empfang. Drucker mit Speicher, alte Festplatten und Wechselmedien brauchen ein Konzept für Entsorgung und sichere Löschung.

Bußgelder und Risiken:

Bei Verstößen drohen Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Praktisch häufiger sind Aufsichtsverfahren, Abmahnungen durch Wettbewerber und Schadensersatzforderungen einzelner Betroffener. Reputationsschäden nach einer öffentlichen Datenpanne wiegen oft schwerer als das Bußgeld selbst, gerade bei Dienstleistern, die mit sensiblen Kundendaten arbeiten.

Relevanz im Arbeitsalltag:

Datenschutzkonformität ist im Alltag selten ein großes Projekt, sondern eine Summe kleiner Disziplin. Bildschirm sperren, wenn man den Platz verlässt. Bewerbungsmappen nicht offen liegen lassen. E-Mails mit Personaldaten verschlüsselt versenden. Vor jedem neuen Tool kurz prüfen, ob ein AVV vorliegt und wo die Daten landen. Wer das im Team verankert, hat bei einer Auskunfts- oder Löschanfrage keinen Stress.

Synonyme:

  • DSGVO-Konformität
  • Datenschutz-Compliance
  • Data Protection Compliance

Abgrenzung zu:

  • Datensicherheit: technischer Schutz vor Verlust, Zerstörung und unbefugtem Zugriff, Voraussetzung für Datenschutz.
  • Informationssicherheit: umfassender Schutz aller schützenswerten Informationen, nicht nur personenbezogener.
  • Compliance Management: Oberbegriff für die Einhaltung aller gesetzlichen Pflichten, Datenschutz ist ein Teilbereich davon.

Siehe auch:

Literaturhinweise:

  • Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), insbesondere Art. 5, 6, 13, 14, 28, 30, 32, 33, 37.
  • Bundesdatenschutzgesetz (BDSG) vom 30. Juni 2017.
  • Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „Datenschutz für die Praxis“, aktuelle Auflage.
  • Landesdatenschutzbeauftragte: Hinweise und Orientierungshilfen, abrufbar bei der jeweils zuständigen Aufsichtsbehörde.
« Alle Begriffe im Unternehmenslexikon anzeigen