Datenschutz Verstehen – Die Erstellung einer Datenschutzrichtlinie
Kurze Zusammenfassung
Unter einer Datenschutzrichtlinie ist die interne (oder auch öffentlich gemachte) Datenschutz-Politik zu verstehen. Doch trifft diese Bezeichnung auch zu? Die Europäische Datenschutz-Grundverordnung (DSGVO) trifft gemeinsam mit nationalen Gesetzen, wie zum Beispiel das Bundesdatenschutzgesetz (BDSG) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), viele datenschutzrechtliche Regelungen, die in erster Linie Unternehmen betreffen. Umgangssprachlich wird die DSGVO häufig auch als Datenschutzrichtlinie bezeichnet. Eine Datenschutzrichtlinie kann im Ergebnis auch als eine Art Datenschutz-Konzept verstanden werden. In unserem Blogbeitrag erfahren Sie, welche elementaren Aspekte in einer Datenschutzrichtlinie geregelt werden sollten und welche Ansprechpartner innerhalb Ihres Unternehmens für den Entwurf einer derartigen Datenschutzrichtlinie zuständig sind.
Inhalt:
Was ist eine Datenschutzrichtlinie?
Eine Datenschutzrichtlinie ist eine Zusammenführung von internen Themen des Datenschutzes und dient als Unterweisung und Orientierung für alle Mitarbeiter. Bei den Inhalten handelt es sich um einseitige Vorgaben des Arbeitgebers an die Arbeitnehmer, weshalb diese Vorgaben einzuhalten sind. Um das Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen, sollten Unternehmen Datenschutzrichtlinien schriftlich an die Mitarbeiter ausgeben und mit der Unterschrift gegenzeichnen lassen. Wichtig ist in diesem Zusammenhang, dass sichergestellt wird, dass wirklich alle Mitarbeiter Kenntnis von dem Inhalt der Datenschutzrichtlinie genommen haben. Neben der Erfüllung datenschutzrechtlicher Vorgaben sind Datenschutzrichtlinien auch ein Qualitätsmerkmal, da auf diese Weise hohe Standards, für alle Mitarbeiter, auf allen Ebenen festgehalten werden. Auch für Software-Teams ist eine Datenschutzrichtlinie beispielsweise besonders wichtig, da auf diese Weise Konfigurationen nach dem Prinzip Privacy by design vorgenommen werden können. Generell ist eine Datenschutzrichtlinie für Abteilungen mit einer IT-Affinität stets bedeutsam, da nahezu auf allen IT-Geräten und in allen IT-Anwendungen personenbezogene Daten verarbeitet werden. Umso wichtiger ist es, auch diese Fälle in eine Datenschutzrichtlinie einzubeziehen.
Unterschied Datenschutzerklärung und Datenschutzrichtlinie
Zu unterscheiden von einer Datenschutzrichtlinie ist die sogenannte Datenschutzerklärung (kurz: DSE). Beides sind wichtige Bestandteile der DSGVO.
Eine Datenschutzerklärung erfüllt die Informationspflichten gem. Art. 12 ff. DSGVO und ist deswegen auf der jeweiligen Webseite der Unternehmen verfügbar. Sie findet sich zumeist unter dem Punkt „Datenschutz“ und informiert die Betroffenen über die Verarbeitung personenbezogener Daten. Unter Berücksichtigung der digitalisierten Welt kommt der DSE eine wichtige Aufgabe zu, die es in Form des Art. 12 DSGVO umzusetzen gilt. Nur eine präzise, transparente, verständliche und leicht zugängliche DSE erfüllt die Anforderungen der DSGVO. Zudem müssen Datenschutzerklärungen einen bestimmten Inhalt zur Verfügung stellen gem. Artt. 13 und 14 DSGVO, diese Voraussetzungen sind jedoch in der Praxis nicht immer einfach zu erreichen.
Seit dem Inkrafttreten der DSGVO haben Verantwortliche, die personenbezogene Daten verarbeiten, viele neue Verpflichtungen zu erfüllen. Zum einen müssen interne Regelungen getroffen werden und einheitliche Konzepte erarbeitet werden, die die Umsetzung des Datenschutzes im Unternehmen gewährleisten. Dies wird unter anderem durch die Erstellung von Datenschutzrichtlinien umgesetzt. Zum anderen müssen betroffene Personen ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Eine Datenschutzerklärung und eine Datenschutzrichtlinie unterscheiden sich insofern, als die Datenschutzrichtlinie eine interne Umsetzung des Datenschutzes im Unternehmen ist, die von allen Mitarbeiter einzuhalten ist und eine Datenschutzerklärung die Erfüllung der Informationspflichten gegenüber Betroffenen sicherstellt.
Erlasse einer Datenschutzrichtlinie können somit Auswirkungen auf die Datenschutzerklärung haben, wenn z.B. Punkte zur Erfüllung der Betroffenenrechte inbegriffen sind oder Mitarbeiter Handlungsanweisungen zum Thema Datenschutzerklärung erhalten.
Wer muss eine Datenschutzrichtlinie erstellen?
Alle Unternehmen und Organisationen müssen zur Einhaltung der gesetzlichen Pflichten aus dem Datenschutz eine Datenschutzrichtlinie erstellen. Die Pflicht, eine Datenschutzrichtlinie zu erstellen, resultiert aus den Vorgaben des Art. 32 DSGVO (technisch-organisatorische Maßnahmen), denn um den erforderlich Stand im Datenschutz herzustellen bzw. zu gewährleisten, sind insbesondere organisatorische Maßnahmen erforderlich. Zu diesen zählen unter anderem Datenschutzrichtlinien, um alle Mitarbeiter bindend auf aktuelle datenschutzrechtliche Vorgaben zu verpflichten. Diese Pflicht trifft alle verantwortlichen Unternehmen und somit die jeweilige höchste Managementebene innerhalb eines Unternehmens. Nur auf diese Weise sind Unternehmen in der Lage, einen konformen Umgang mit dem Datenschutz im Rahmen von Verarbeitungen von personenbezogenen Daten zu garantieren. Die Pflicht, den Nachweis für die Einhaltung des Datenschutzes zu erbringen, besteht u.a. gegenüber Behörden aber vor allem aus qualitätssichernden Gründen auch gegenüber Kunden.
Datenschutzrichtlinie Muster
Unsere Muster-Datenschutzrichtlinie dient Unternehmen als erster Orientierungspunkt für die individuelle Erstellung einer Datenschutzrichtlinie. Eine Datenschutzrichtlinie muss stets nach den individuellen Anforderungen des verantwortlichen Unternehmens erstellt werden und variiert darüber hinaus stets nach der jeweiligen Branche und der Arbeitsweise eines Unternehmens. Auf der Basis unseres Musters und in Absprache mit Ihrem Datenschutzbeauftragten können Sie eine maßgeschneiderte Datenschutzrichtlinie für Ihr Unternehmen entwerfen. Wichtig ist in diesem Zusammenhang, alle Verarbeitungen, die im Zusammenhang mit den IT-Systemen stattfinden, vorab zu identifizieren. Darüber hinaus sollte intern bereits feststehen, in welcher Form mobile Geräte zum Einsatz kommen und welche Mitarbeiter diese Mittel für die Erfüllung der betrieblichen Aufgaben benötigen.
Die rot markierten Passagen in der Muster-Datenschutzrichtlinie sind individuell auszufüllen. Auch der Aufbau und die weiteren unmarkierten Passagen sind lediglich Vorschläge und dienen als Muster, weshalb die Formulierungen für jedes Unternehmen angepasst werden müssen. Alle Überschriften ab § 4 a müssen ferner individuell mit Regelungen für die Situation in Ihrem Unternehmen ausgefüllt werden. Mehr zur Richtlinie IT-Nutzung durch Beschäftigte erfahren Sie hier.
Inhalte einer Datenschutzrichtlinie
Für den Inhalt einer Datenschutzrichtlinie existiert ein gewisser Handlungsspielraum. Gewisse Aspekte müssen allerdings zwingend in einer Datenschutzrichtlinie geregelt sein, um die Wirksamkeit für die Einhaltung von datenschutzrechtlichen Vorgaben nicht zu gefährden. Insbesondere Regelungen zu technisch-organisatorischen Maßnahmen (kurz: TOM) nach den Vorgaben des Art. 32 DSGVO gehören in die Datenschutzrichtlinie. Hierzu gehören Regelungen für u.a. den folgenden Bereichen für einen datenschutzkonformen Umgang.
Liste für die Erstellung einer Datenschutzrichtlinie
Die Erstellung von Datensicherungen ist elementar und muss durch ein geeignetes Backup-Konzept beschrieben werden. Hierfür werden verschiedenste Strategien verfolgt, da ebenfalls zwischen Vollbackups und inkrementellen Backups unterschieden werden muss.
Der Umgang mit der gesamten IT eines Unternehmens muss geregelt werden in Grundsätzen für z.B. Notebooks, Stand-Alone-PCs, Smartphones. Dabei ist auch zu berücksichtigen, dass sich Notebooks, Smartphones oder Tablets oftmals in betriebsfremden Netzwerken befinden (Home Office, Café oder Zug).
Welche Nutzung von Datenträgern ist im Unternehmen gestattet? Dürfen beispielsweise private USB-Sticks für Präsentationen verwenden werden? Die Fragen sollten beantwortet werden.
Ist ausschließlich die betriebliche Nutzung der Internet- und Telefonleitung im Unternehmen gestattet oder dürfen Mitarbeiter auch private und persönliche Kommunikationen führen?
Mitarbeiter sollten ein Merkblatt zur Erstellung eines Passwortes erhalten. Ebenfalls muss in der Datenschutzrichtlinie ein sicherer Rahmen für die Erstellung eines Passwortes geschaffen werden. Idealerweise sollte es nur möglich sein Passwörter gemäß dem aktuellen BSI-Standard erstellen zu können und diese Passwörter in einem Passwort-Manager zu verwalten.
Damit die Nutzung der betrieblichen E-Mail-Konten nicht in einem Konflikt steht mit der Archivierung nach GoBD, sollte in der Datenschutzrichtlinie ein Verbot für die private Nutzung der E-Mail-Konten vereinbart werden.
Je nach Grad der Sensibilität und dem Schutzbedarf der Daten, sollte die Datenschutzrichtlinie die Vernichtung bzw. Löschung von personenbezogenen Daten regeln.
Arbeitsanweisungen für den Umgang mit personenbezogenen Daten für die verschiedensten Fälle aus der Praxis sollten erstellt werden. Zum Beispiel sollte der Umgang mit Bewerbungen im Unternehmen durch die Datenschutzrichtlinie geregelt werden.
Die Grundsätze der DSGVO sollten jedem Mitarbeiter als Unterweisung vorliegen.
Der Umgang mit Betroffenenrechten sollte im Unternehmen klar strukturiert sein, da es hier oftmals darauf ankommt schnell und richtig zu handeln.
Die Inhalte der Datenschutzrichtlinie sollten immer in enger Absprache mit dem Datenschutzbeauftragten und der IT-Leitung definiert werden, da die Regelungen beide Bereiche wesentlich beeinflussen. Darüber hinaus kann die IT-Leitung Regelungen empfehlen, die für eine besonders hohe IT-Sicherheit von Relevanz sind. Mehr zum Thema Internet-Nutzung durch Beschäftigte erfahren Sie in diesem Beitrag.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Aufbau der Datenschutzrichtlinie
Eine Datenschutzrichtlinie sollte zu Beginn eine Präambel mit einer kurzen Einleitung enthalten. An dieser Stelle können Ausführungen zum Inhalt der Datenschutzrichtlinie sowie zu der Notwendigkeit des Dokumentes und der Beschreibungen zum Stellenwert des Datenschutzes gemacht werden. Darüber hinaus können Unternehmen zu Beginn der Datenschutzrichtlinie wichtige Kontaktdaten, z.B. des Datenschutzbeauftragten nennen, damit Arbeitnehmer ihre Rückfragen zu den Regelungen in der Datenschutzrichtlinie stellen können. Im Anschluss können dann alle internen Richtlinien und Konzepte als Arbeitsanweisungen zum Datenschutz aufgezählt werden. An dieser Stelle können Unternehmen auch Prozesse zum Datenschutz im Sinne eines Datenschutz-Management-Systems auflisten. Optional können aktuelle technisch-organisatorische Maßnahmen i.S.v. Art. 32 DSGVO als Anlage beigefügt werden.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
