Datenschutzrichtlinie erstellen

Datenschutz Verstehen – Die Erstellung einer Datenschutzrichtlinie

Kurze Zusammenfassung

Die europäische Datenschutz-Grundverordnung (DSGVO) trifft gemeinsam mit dem nationalen Bundesdatenschutzgesetz (BDSG-neu) viele datenschutzrechtliche Regelungen, die in erster Linie Unternehmen betreffen. Umgangssprachlich wird die DSGVO häufig auch als Datenschutzrichtlinie bezeichnet. Diese Bezeichnung trifft allerdings nicht zu, denn unter einer Datenschutzrichtlinie ist die interne (oder auch öffentlich gemachte) Datenschutz-Politik zu verstehen. Eine Datenschutzrichtlinie kann im Ergebnis auch als eine Art Datenschutz-Konzept verstanden werden. In unserem Blogbeitrag erfahren Sie, welche elementaren Aspekte in einer Datenschutzrichtlinie geregelt werden sollten und welche Ansprechpartner innerhalb Ihres Unternehmens für den Entwurf einer derartigen Datenschutzrichtlinie zuständig sind.

 

Was ist eine Datenschutzrichtlinie?

Eine Datenschutzrichtlinie ist eine Zusammenführung von internen Themen des Datenschutzes und dient als Unterweisung und Orientierung für alle Mitarbeiter. Bei den Inhalten handelt es sich um einseitige Vorgaben des Arbeitgebers an die Arbeitnehmer, weshalb diese Vorgaben einzuhalten sind. Um das Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen, sollten Unternehmen Datenschutzrichtlinien schriftlich an die Mitarbeiter ausgeben und mit der Unterschrift gegenzeichnen lassen. Wichtig ist in diesem Zusammenhang, dass sichergestellt wird, dass wirklich alle Mitarbeiter Kenntnis von dem Inhalt der Datenschutzrichtlinie genommen haben. Neben der Erfüllung datenschutzrechtlicher Vorgaben sind Datenschutzrichtlinien auch ein Qualitätsmerkmal, da auf diese Weise hohe Standards, für alle Mitarbeiter, auf allen Ebenen festgehalten werden. Auch für Software-Teams ist eine Datenschutzrichtlinie beispielsweise besonders wichtig, da auf diese Weise Konfigurationen nach dem Prinzip Privacy by design vorgenommen werden können. Generell ist eine Datenschutzrichtlinie für Abteilungen mit einer IT-Affinität stets bedeutsam, da nahezu auf allen IT-Geräten und in allen IT-Anwendungen personenbezogene Daten verarbeitet werden. Umso wichtiger ist es, auch diese Fälle in eine Datenschutzrichtlinie einzubeziehen.

 

Wer muss eine Datenschutzrichtlinie erstellen?

Die Pflicht, eine Datenschutzrichtlinie zu erstellen, resultiert aus den Vorgaben des Art. 32 DSGVO (technisch-organisatorische Maßnahmen), denn um den erforderlich Stand im Datenschutz herzustellen bzw. zu gewährleisten, sind insbesondere organisatorische Maßnahmen erforderlich. Zu diesen zählen unter anderem Datenschutzrichtlinien, um alle Mitarbeiter bindend auf aktuelle datenschutzrechtliche Vorgaben zu verpflichten. Diese Pflicht trifft alle verantwortlichen Unternehmen und somit die jeweilige höchste Managementebene innerhalb eines Unternehmens. Nur auf diese Weise sind Unternehmen in der Lage, einen konformen Umgang mit dem Datenschutz im Rahmen von Verarbeitungen von personenbezogenen Daten zu garantieren. Die Pflicht, den Nachweis für die Einhaltung des Datenschutzes zu erbringen, besteht u.a. gegenüber Behörden aber vor allem aus qualitätssichernden Gründen auch gegenüber Kunden.

 

Inhalte einer Datenschutzrichtlinie

Für den Inhalt einer Datenschutzrichtlinie existiert ein gewisser Handlungsspielraum. Gewisse Aspekte müssen allerdings zwingend in einer Datenschutzrichtlinie geregelt sein, um die Wirksamkeit für die Einhaltung von datenschutzrechtlichen Vorgaben nicht zu gefährden. Insbesondere Regelungen zu technisch-organisatorischen Maßnahmen (kurz:TOM) nach den Vorgaben des Art. 32 DSGVO gehören in die Datenschutzrichtlinie. Hierzu gehören Regelungen für u.a. den folgenden Bereichen für einen datenschutzkonformen Umgang.

Liste für die Erstellung einer Datenschutzrichtlinie

Die Inhalte der Datenschutzrichtlinie sollten immer in enger Absprache mit dem Datenschutzbeauftragten und der IT-Leitung definiert werden, da die Regelungen beide Bereiche wesentlich beeinflussen. Darüber hinaus kann die IT-Leitung Regelungen empfehlen, die für eine besonders hohe IT-Sicherheit von Relevanz sind. Mehr zum Thema Internet-Nutzung durch Beschäftigte erfahren Sie in diesem Beitrag.

 

Aufbau der Datenschutzrichtlinie

Eine Datenschutzrichtlinie sollte zu Beginn eine Präambel mit einer kurzen Einleitung enthalten. An dieser Stelle können Ausführungen zum Inhalt der Datenschutzrichtlinie sowie zu der Notwendigkeit des Dokumentes und der Beschreibungen zum Stellenwert des Datenschutzes gemacht werden. Darüber hinaus können Unternehmen zu Beginn der Datenschutzrichtlinie wichtige Kontaktdaten, z.B. des Datenschutzbeauftragten nennen, damit Arbeitnehmer ihre Rückfragen zu den Regelungen in der Datenschutzrichtlinie stellen können. Im Anschluss können dann alle internen Richtlinien und Konzepte als Arbeitsanweisungen zum Datenschutz aufgezählt werden. An dieser Stelle können Unternehmen auch Prozesse zum Datenschutz im Sinne eines Datenschutz-Management-Systems auflisten. Optional können aktuelle technisch-organisatorische Maßnahmen i.S.v. Art. 32 DSGVO als Anlage beigefügt werden.

 

Datenschutzrichtlinie Muster

Unsere Muster-Datenschutzrichtlinie dient Unternehmen als erster Orientierungspunkt für die individuelle Erstellung einer Datenschutzrichtlinie. Eine Datenschutzrichtlinie muss stets nach den individuellen Anforderungen des verantwortlichen Unternehmens erstellt werden und variiert darüber hinaus stets nach der jeweiligen Branche und der Arbeitsweise eines Unternehmens. Auf der Basis unseres Musters und in Absprache mit Ihrem Datenschutzbeauftragten können Sie eine maßgeschneiderte Datenschutzrichtlinie für Ihr Unternehmen entwerfen. Wichtig ist in diesem Zusammenhang, alle Verarbeitungen, die im Zusammenhang mit den IT-Systemen stattfinden, vorab zu identifizieren. Darüber hinaus sollte intern bereits feststehen, in welcher Form mobile Geräte zum Einsatz kommen und welche Mitarbeiter diese Mittel für die Erfüllung der betrieblichen Aufgaben benötigen.

Die rot markierten Passagen in der Muster-Datenschutzrichtlinie sind individuell auszufüllen. Auch der Aufbau und die weiteren unmarkierten Passagen sind lediglich Vorschläge und dienen als Muster, weshalb die Formulierungen für jedes Unternehmen angepasst werden müssen. Alle Überschriften ab § 4 a müssen ferner individuell mit Regelungen für die Situation in Ihrem Unternehmen ausgefüllt werden.

Mehr zum Thema IT-Nutzung durch Beschäftigte erfahren Sie hier.

Autor

Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN