Datenschutzkonzept beschreibt die konkrete Umsetzung der rechtlichen Datenschutzanforderungen in einem Dokument. Die Datenschutzanforderungen werdem im Regelfall auf Gesetzen (im materiellen Sinn) beruhen, also typischerweise der DSGVO und ergänzend dem ThuerDSG und dem BDSG. Es kommen aber durchaus aus Spezialvorschriften in Betracht wie § 11 ThürHG oder die Thüringer Hochschul-Datenschutzverordnung (ThürHDatVO).

Art. 32 DSGVO erwähnt ein Datenschutzkonzept nicht ausdrücklich. Allerdings wird zumindest bei Verfahren, die komplex oder risikobehaftet sind, ein VVT sinnvollerweise nicht ohne ein Datenschutzkonzept auskommen da ansonsten zumindest Löschfristen und Technische und organisatorische Maßnahmen bloße Absichtserklärungen bleiben.

Durch die fehlende Erwähnung in der DSGVO kann ein Datenschutzkonzept auch andere Bezeichnungen haben oder Bestandteil anderer Dokumente, z.B. dem Sicherheitskonzept, sein.