Datenschutzkonzept (Privacy Concept / Datenschutzplan)

Ein Datenschutzkonzept ist ein strukturiertes Dokument, das beschreibt, wie personenbezogene Daten in einem IT-System oder Projekt erhoben, verarbeitet, gespeichert und gelöscht werden und welche technischen und organisatorischen Maßnahmen (TOM) zum Schutz dieser Daten getroffen werden. Nach Art. 24 und 25 DSGVO sind Verantwortliche verpflichtet, geeignete TOMs zu implementieren und nachzuweisen (Rechenschaftspflicht). In IT-Vergabeverfahren sollten Auftraggeber von Bietern die Vorlage eines datenschutzrechtlichen Konzepts als Teil des technischen Angebots verlangen, insbesondere wenn personenbezogene Daten in die zu liefernde Lösung einfließen.