PITCH & PAPER Ein­schät­zung
Spezial- und Re­gel­do­ku­men­te

Datenschutzkonzept erstellen lassen — DSGVO-konform und praxistauglich

Ein be­last­ba­res Datenschutz­konzept ist mehr als eine Da­ten­schutz­er­klä­rung auf der Website. Es ist die Ge­samt­sys­te­ma­tik, mit der ein Un­ter­neh­men DSGVO-An­for­de­run­gen erfüllt: Ver­fah­rens­ver­zeich­nis, technisch-or­ga­ni­sa­to­ri­sche Maßnahmen, Risiko­analyse, Mel­de­pro­zes­se, Auf­trags­ver­ar­bei­tungs-Verträge. PITCH & PAPER struk­tu­riert dieses Konzept pra­xis­taug­lich und au­dit­fä­hig — in Ab­stim­mung mit Ihrem Da­ten­schutz­be­auf­trag­ten oder Rechts­an­walt.

Erst­ein­schät­zung erhalten Tiefen ver­glei­chen
Von , Inhaber PITCH & PAPER Ak­tua­li­siert
Quellennetzwerk für Datenschutzkonzepte: DSGVO, BDSG und BfDI-Hinweise

Was ein vollständiges Datenschutzkonzept enthält

Ein trag­fä­hi­ges Datenschutz­konzept do­ku­men­tiert sechs Kern-Elemente. Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 DSGVO) mit Zwecken, Rechts­grund­la­gen und Lösch­fris­ten. Technisch-or­ga­ni­sa­to­ri­sche Maßnahmen (TOM) zur Sicherung der Da­ten­ver­ar­bei­tung. Da­ten­schutz-Fol­gen­ab­schät­zun­gen (DSFA) für riskante Ver­ar­bei­tun­gen. Be­trof­fe­nen­rech­te-Prozesse (Auskunft, Löschung, Por­ta­bi­li­tät). Mel­de­pro­zes­se bei Da­ten­pan­nen (Art. 33/34 DSGVO). Auf­trags­ver­ar­bei­tungs-Verträge mit Dienst­leis­tern (Art. 28 DSGVO).

PITCH & PAPER ori­en­tiert sich an den Emp­feh­lun­gen der Da­ten­schutz­kon­fe­renz (DSK) und des BfDI als uni­ver­sel­le Re­fe­ren­zen, ergänzt um Lan­des­hand­bü­cher (z. B. BayLDA, LfDI BW) und relevante ISO-Normen (27001, 27701). Die Inhalte werden so auf­be­rei­tet, dass sie für interne Schulung und externe Prüfung brauchbar sind.

Für welche Situationen ein Datenschutzkonzept gebraucht wird

DSGVO-Erst­auf­bau nach Wachs­tums­pha­se. Un­ter­neh­men mit mehr als 20 mit per­so­nen­be­zo­ge­nen Daten be­schäf­tig­ten Mit­ar­bei­tern brauchen einen Da­ten­schutz­be­auf­trag­ten und ein Konzept.

Audit-Vor­be­rei­tung. Be­hör­den­prü­fung (Aufsichts­behörde), Kunden-Audit (Großkunde) oder Zer­ti­fi­zie­rungs-Vor­be­rei­tung (ISO 27701).

Kun­den­an­for­de­rung. B2B-Kunden fordern zunehmend Nachweise über DSGVO-Kon­for­mi­tät als Vor­aus­set­zung für die Be­auf­tra­gung.

Da­ten­pan­nen-Nach­be­rei­tung. Nach einer Da­ten­pan­ne ist ein nach­voll­zieh­ba­res Konzept die Grundlage für die Kom­mu­ni­ka­ti­on mit Aufsichts­behörde und Be­trof­fe­nen.

Was PITCH & PAPER an Datenschutzkonzept anders macht

Viele Datenschutz­konzepte sind Text­bau­stei­ne aus dem Internet, die auf den konkreten Betrieb nicht passen. Sie scheitern im ersten Audit. PITCH & PAPER erhebt die realen Ver­ar­bei­tungs­tä­tig­kei­ten vor Ort, be­schreibt sie präzise und struk­tu­riert die Do­ku­men­ta­ti­on so, dass sie im Alltag gepflegt und im Audit bestanden werden kann.

Die Arbeit erfolgt in enger Ab­stim­mung mit Ihrem internen Da­ten­schutz­be­auf­trag­ten oder externen Rechts­an­walt — die recht­li­che Prüfung liegt dort. PITCH & PAPER übernimmt Erhebung, Struk­tu­rie­rung und pra­xis­taug­li­che For­mu­lie­rung.

Was ein Datenschutzkonzept enthalten muss

Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten (VVT). Pflicht nach Art. 30 DSGVO für jeden Ver­ant­wort­li­chen mit ≥250 Mit­ar­bei­ten­den bzw. bei riskanter Ver­ar­bei­tung. Do­ku­men­tiert Zweck, Rechts­grund­la­ge, Empfänger, Lösch­fris­ten, technisch-or­ga­ni­sa­to­ri­sche Maßnahmen je Verfahren.

Technisch-or­ga­ni­sa­to­ri­sche Maßnahmen (TOM). Art. 32 DSGVO verlangt an­ge­mes­se­nes Schutz­ni­veau — Zu­tritts­kon­trol­le, Zu­gangs­kon­trol­le, Zu­griffs­kon­trol­le, Tren­nungs­ge­bot, Pseud­ony­mi­sie­rung, Ver­schlüs­se­lung, Ver­füg­bar­keit, Auf­trags­ver­ar­bei­tung. PITCH & PAPER struk­tu­riert TOM nach DSK-Emp­feh­lun­gen, ergänzt durch ISO 27001/27701-Bezüge.

Da­ten­schutz-Fol­gen­ab­schät­zung (DSFA). Pflicht bei vor­aus­sicht­lich hohem Risiko (Art. 35 DSGVO) — z. B. sys­te­ma­ti­sche Be­ob­ach­tung, sensible Daten, au­to­ma­ti­sier­te Ent­schei­dun­gen mit Rechts­fol­ge.

Mel­de­pro­zes­se. Da­ten­pan­nen nach Art. 33 (Aufsichts­behörde, 72 h) und Art. 34 (Be­trof­fe­ne, "ohne un­an­ge­mes­se­ne Ver­zö­ge­rung").

Be­trof­fe­nen­rech­te. Auskunft, Be­rich­ti­gung, Löschung, Ein­schrän­kung, Da­ten­über­trag­bar­keit, Wi­der­spruch. Struk­tu­rier­te Ant­wort­pro­zes­se mit do­ku­men­tier­ten Ver­ant­wort­lich­kei­ten.

Was die Tiefen-Stufen konkret abdecken

PITCH & PAPER bietet jeden Service in drei Tiefen — Basis, Referenz, Opus. Die folgenden Bausteine ent­schei­den, welche Tiefe Sie brauchen:

Ver­ar­bei­tungs­ver­zeich­nis. Basis: Kern-Prozesse · Referenz: Voll­stän­dig · Opus: Inkl. Tie­fen­ana­ly­se.

Technisch-or­ga­ni­sa­to­ri­sche Maßnahmen. Basis: Kern-TOM · Referenz: Voll­stän­dig do­ku­men­tiert · Opus: Inkl. ISO-27001-Mapping.

DSFA (Da­ten­schutz-Fol­gen­ab­schät­zung). Basis: nicht enthalten · Referenz: Für riskante Prozesse · Opus: Für alle re­le­van­ten Prozesse.

Mel­de­pro­zes­se Da­ten­pan­nen. Basis: Flow · Referenz: Voll­stän­dig mit Es­ka­la­ti­on · Opus: Inkl. Kom­mu­ni­ka­ti­ons­bau­stei­ne.

AV-Vertrags-Templates. Basis: nicht enthalten · Referenz: Kern-Vorlagen · Opus: Voll­stän­di­ges Ver­trags­pa­ket.

Welche Tiefe für Ihr Vorhaben passt, klären wir in der kos­ten­lo­sen Erst­ein­schät­zung — Faust­re­gel: Basis für interne Anlässe, Referenz für externe Stan­dard­prü­fung, Opus für hohe Adres­sa­ten-Erwartung (Inves­toren, Behörden, formaler Audit).

Typische Anlässe

Datenschutzkonzept — Typische Anlässe

DSGVO-Erst­auf­bau Audit-Vor­be­rei­tung Kun­den­an­for­de­rung Da­ten­pan­ne-Nach­be­rei­tung B2B-Zu­lie­fe­rer-Qua­li­fi­zie­rung
Drei Tiefen

Datenschutzkonzept — in drei Tiefen

Klare Ori­en­tie­rung ohne Preis­druck. Jede Tiefe liefert ein voll­stän­di­ges Ergebnis.

Merkmal Basis Referenz Opus
Ver­ar­bei­tungs­ver­zeich­nis Kern-Prozesse Voll­stän­dig Inkl. Tie­fen­ana­ly­se
Technisch-or­ga­ni­sa­to­ri­sche Maßnahmen Kern-TOM Voll­stän­dig do­ku­men­tiert Inkl. ISO-27001-Mapping
DSFA (Da­ten­schutz-Fol­gen­ab­schät­zung) Für riskante Prozesse Für alle re­le­van­ten Prozesse
Mel­de­pro­zes­se Da­ten­pan­nen Flow Voll­stän­dig mit Es­ka­la­ti­on Inkl. Kom­mu­ni­ka­ti­ons­bau­stei­ne
AV-Vertrags-Templates Kern-Vorlagen Voll­stän­di­ges Ver­trags­pa­ket

Die konkrete Tiefe wird in der Erst­ein­schät­zung gemeinsam fest­ge­legt.

Häufige Fragen

Häufige Fragen zu Datenschutzkonzept

Was kostet ein Datenschutz­konzept?
Abhängig von Un­ter­neh­mens­grö­ße, Anzahl der Ver­ar­bei­tungs­tä­tig­kei­ten und ge­wünsch­tem Tie­fen­grad. Ein schlankes Konzept für einen 10-Mit­ar­bei­ter-Dienst­leis­ter ist schneller als ein voll­stän­di­ges System für einen 100-Mit­ar­bei­ter-Kli­nik­be­trieb.
Ersetzt das Konzept den DSB?
Nein. Das Konzept ist die Do­ku­men­ten-Grundlage, auf der der DSB arbeitet. PITCH & PAPER arbeitet mit Ihrem internen oder externen DSB zusammen — ersetzt ihn aber nicht.
Wie oft muss das Konzept ak­tua­li­siert werden?
Min­des­tens jährlich, bei Än­de­run­gen der Ver­ar­bei­tungs­tä­tig­kei­ten sofort. PITCH & PAPER struk­tu­riert die Do­ku­men­ta­ti­on so, dass Fort­schrei­bung einfach ist.
Erfüllt das die An­for­de­run­gen der Aufsichts­behörde?
Das Konzept ist nach den Emp­feh­lun­gen der DSK und des BayLDA struk­tu­riert. Eine Akzeptanz-Garantie durch die Aufsichts­behörde gibt es aber nie — Ein­zel­fall­prü­fung bleibt Sache der Behörde.
Wie schnell liegt das Konzept vor?
Basis (TOM, Ver­ar­bei­tungs­ver­zeich­nis): 2-3 Wochen. Referenz mit DSFA und Mel­de­pro­zes­sen: 4-6 Wochen. Opus mit voll­stän­di­gem System und Schu­lungs­un­ter­la­gen: 6-10 Wochen.
Brauchen wir einen externen Da­ten­schutz­be­auf­trag­ten?
Pflicht nach § 38 BDSG, wenn in der Regel min­des­tens 20 Personen ständig mit au­to­ma­ti­sier­ter Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten be­schäf­tigt sind oder bei um­fang­rei­cher sensibler Da­ten­ver­ar­bei­tung. Ein externer DSB entlastet die Ge­schäfts­füh­rung und ist haf­tungs­recht­lich ab­ge­si­chert — PITCH & PAPER kann das Datenschutz­konzept mit dem DSB des Mandanten abstimmen.
Wie verhalten sich DSGVO und ePrivacy / TDDDG?
DSGVO regelt all­ge­mei­ne per­so­nen­be­zo­ge­ne Ver­ar­bei­tung. TDDDG (seit 14.05.2024, Nachfolge des TTDSG) kon­kre­ti­siert für Te­le­kom­mu­ni­ka­ti­on und Te­le­me­di­en — ins­be­son­de­re Cookie-Consent (§ 25 TDDDG). Beide sind ne­ben­ein­an­der zu beachten und im Datenschutz­konzept getrennt zu do­ku­men­tie­ren.
Was ist mit Auf­trags­ver­ar­bei­tern (z. B. Cloud-Hosting)?
Art. 28 DSGVO verlangt einen Auf­trags­ver­ar­bei­tungs­ver­trag (AVV) mit jedem externen Dienst­leis­ter, der per­so­nen­be­zo­ge­ne Daten in Ihrem Auftrag ver­ar­bei­tet. Liste aller Auf­trags­ver­ar­bei­ter mit AVV-Status gehört ins Konzept — ty­pi­scher­wei­se als eigene Anlage gepflegt.
Pri­mär­quel­len

Offizielle Quellen und Programm-Eigentümer

Di­rekt­links zu den ver­bind­li­chen Rah­men­do­ku­men­ten und Auf­sichts­stel­len.

Er­gän­zen­de Leistungen

Oft zusammen gebucht

Compliance-Handbuch

Re­gel­kon­for­mes Handeln do­ku­men­tie­ren

QM-Handbuch ISO 9001

Qua­li­täts­ma­nage­ment zer­ti­fi­zie­rungs­fä­hig do­ku­men­tie­ren

Risikoanalyse

Risiken sys­te­ma­tisch iden­ti­fi­zie­ren, bewerten und be­herrsch­bar machen
Branchen

Datenschutzkonzept nach Branche

Aus­ge­wähl­te Kontexte für bran­chen­spe­zi­fi­sche An­for­de­run­gen und typische Rah­men­be­din­gun­gen.

Pflege

Datenschutz­konzept für Pflege

Medizin

Datenschutz­konzept für Medizin

E-Commerce

Datenschutz­konzept für E-Commerce

Recht

Datenschutz­konzept für Recht

Finanzdienstleistung

Datenschutz­konzept für Fi­nanz­dienst­leis­tung

IT & Startups

Datenschutz­konzept für IT & Startups
Nächster Schritt

Wenn der Anlass real ist, sollte die Unterlage es auch sein.

Be­schrei­ben Sie kurz den Anlass und Adres­sa­ten. Danach ist klar, welche Tiefe sinnvoll ist.

Erst­ein­schät­zung erhalten