Datenschutzrichtlinie erstellen

Datenschutz Verstehen – Die Erstellung einer Datenschutzrichtlinie

Kurze Zusammenfassung

Unter einer Datenschutzrichtlinie ist die interne (oder auch öffentlich gemachte) Datenschutz-Politik zu verstehen. Doch trifft diese Bezeichnung auch zu? Die europäische Datenschutz-Grundverordnung (DSGVO) trifft gemeinsam mit dem nationalen Bundesdatenschutzgesetz (BDSG-neu) viele datenschutzrechtliche Regelungen, die in erster Linie Unternehmen betreffen. Umgangssprachlich wird die DSGVO häufig auch als Datenschutzrichtlinie bezeichnet. Eine Datenschutzrichtlinie kann im Ergebnis auch als eine Art Datenschutz-Konzept verstanden werden. In unserem Blogbeitrag erfahren Sie, welche elementaren Aspekte in einer Datenschutzrichtlinie geregelt werden sollten und welche Ansprechpartner innerhalb Ihres Unternehmens für den Entwurf einer derartigen Datenschutzrichtlinie zuständig sind.

Zu unterscheiden von einer Datenschutzrichtlinie ist die sog. Datenschutzerklärung (DSE). Beides sind wichtige Bestandteile der DSGVO. Eine Datenschutzerklärung ist von dem Verantwortlichen auf der jeweiligen Webseite zur Verfügung zu stellen. Sie findet sich zumeist unter dem Punkt “Datenschutz” und informiert die Betroffenen über die Verarbeitung personenbezogener Daten. Unter Berücksichtigung der digitalisierten Welt kommt der DSE eine wichtige Aufgabe zu, die es in Form des Art. 12 DSGVO umzusetzen gilt. Nur eine präzise, transparente, verständliche und leicht zugängliche DSE erfüllt die  Anforderungen der DSGVO. Zudem müssen Datenschutzerklärungen einen bestimmten Inhalt zur Verfügung stellen gem. Artt. 13 und 14 DSGVO, diese Voraussetzungen sind jedoch in der Praxis nicht immer einfach zu erreichen.

 

Was ist eine Datenschutzrichtlinie?

Eine Datenschutzrichtlinie ist eine Zusammenführung von internen Themen des Datenschutzes und dient als Unterweisung und Orientierung für alle Mitarbeiter. Bei den Inhalten handelt es sich um einseitige Vorgaben des Arbeitgebers an die Arbeitnehmer, weshalb diese Vorgaben einzuhalten sind. Um das Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen, sollten Unternehmen Datenschutzrichtlinien schriftlich an die Mitarbeiter ausgeben und mit der Unterschrift gegenzeichnen lassen. Wichtig ist in diesem Zusammenhang, dass sichergestellt wird, dass wirklich alle Mitarbeiter Kenntnis von dem Inhalt der Datenschutzrichtlinie genommen haben. Neben der Erfüllung datenschutzrechtlicher Vorgaben sind Datenschutzrichtlinien auch ein Qualitätsmerkmal, da auf diese Weise hohe Standards, für alle Mitarbeiter, auf allen Ebenen festgehalten werden. Auch für Software-Teams ist eine Datenschutzrichtlinie beispielsweise besonders wichtig, da auf diese Weise Konfigurationen nach dem Prinzip Privacy by design vorgenommen werden können. Generell ist eine Datenschutzrichtlinie für Abteilungen mit einer IT-Affinität stets bedeutsam, da nahezu auf allen IT-Geräten und in allen IT-Anwendungen personenbezogene Daten verarbeitet werden. Umso wichtiger ist es, auch diese Fälle in eine Datenschutzrichtlinie einzubeziehen.

Datenschutzerklärung und Datenschutzrichtlinie: Was ist was?

Seit dem Inkrafttreten der DSGVO haben Verantwortliche, die personenbezogene Daten verarbeiten, viele neue Verpflichtungen zu erfüllen. Zum einen müssen interne Regelungen getroffen werden und einheitliche Konzepte erarbeitet werden, die die Umsetzung des Datenschutzes im Unternehmen gewährleisten. Dies wird unter anderem durch die Erstellung von Datenschutzrichtlinien umgesetzt. Zum anderen müssen betroffene Personen ausreichend über die Verarbeitung ihrerer personenbezogener Daten informiert werden. Bei der Verarbeitung von Daten auf der Webseite des Verantwortlichen, muss eine transparente und leicht verständliche Datenschutzerklärung zur Verfügung gestellt werden gem. Art 12 DSGVO. Eine Datenschutzerklärung und eine Datenschutzrichtlinie unterscheiden sich insofern, dass die Datenschutzrichtlinie eine interne Umsetzung des Datenschutzes im Unternehmen ist, die von allen Mitarbeiter einzuhalten ist und eine Datenschutzerklärung die Umsetzung des Datenschutzes gegenüber Betroffenen sicherstellt.

Erlasse einer Datenschutzrichtlinie können somit Auswirkungen auf die Datenschutzerklärung haben, wenn z.B. Punkte zur Erfüllung der Betroffenenrechte inbegriffen sind oder Mitarbeiter Handlungsanweisungen zum Thema Datenschutzerklärung erhalten.

Kostenlose Datenschutzerklärung oder doch lieber ein Datenschutzbeauftragter?

Die Möglichkeit sich kostenfrei im Internet eine Datenschutzerklärung zu erstellen, hat mit den Jahren immer mehr zugenommen. Doch ist es immer die richtige Entscheidung auf kostenlose Exemplare zurückzugreifen? Oder ist eine professionell und speziell angepasste Datenschutzerklärung die bessere Lösung? Pauschal lässt sich diese Frage nicht beantworten. Die händische Erstellung einer Datenschutzerklärung ist stets mit einem gewissen Aufwand verbunden. Dieser kann z.B. durch einen externen Datenschutzbeauftragten übernommen werden und stellt zudem sicher, dass alle datenschutzrechtlichen Anforderungen erfüllt werden. Ein Datenschutzgenerator bietet hingegen ein leichtes Handling und spart Kosten. Allerdings hat der Verantwortliche in diesem Fall keine rechtliche Absicherung über die Richtigkeit, Schlüssigkeit und Vollständigkeit der Datenschutzerklärung unter Berücksichtigung der geltenden datenschutzrechtlichen Vorgaben.

Folgende Faktoren können bei der Entscheidungsfindung behilflich sein:

  • Art der zu verarbeitenden personenbezogenen Daten
    Je sensibler die personenbezogenen Daten sind, die Verarbeitet werden, desto größer ist die Schutzwürdigkeit dieser Daten. Handelt es sich beispielsweise bei der Verarbeitung um personenbezogene Daten i.S.d. Art. 6 DSGVO könnte eine kostenlose Datenschutzerklärung unter Umständen ausreichend sein. Werden jedoch auch personenbezogener Daten besonderer Kategorie gem. Art. 9 DSGVO verarbeitet, ist die Konsultation eines fachkundigen Datenschutzbeauftragten für die Erstellung der Datenschutzerklärung notwendig.
  • Größe des Unternehmens
    Anzahl der Standorte, Tochtergesellschaften, Branchen, Anzahl der Kunden und viele weitere Faktoren haben Einfluss auf die Entscheidung, ob eine Datenschutzerklärung händisch angepasst werden sollte oder ob eine kostenlose Datenschutzerklärung genügt. Große Unternehmen haben grundsätzlich auch eine hohe Anzahl von Verarbeitungstätigkeiten und somit auch eine große Verantwortung gegenüber betroffenen Personen. Egal ob großes oder kleines Unternehmen, Fehler sollten in jedem Fall vermieden werden. Jedoch ist auch klar zu stellen, dass ein Fehler in einem großen Unternehme mit vielen Kundendaten größere Folgen nach sich ziehen wird, als beispielsweise bei kleineren Unternehmen.
  • Anzahl der Mitarbeiter
    Auch hier muss wieder Bezug genommen werden zur Verarbeitung von personenbezogenen Daten. Handelt es sich um ein großes Unternehmen mit mehreren hundert Mitarbeitern, ist eine professionell erstellte Datenschutzerklärung stets die bessere Wahl. Während ein Einzelunternehmer, ohne Angestellte auch häufig problemlos eine kostenlose Version verwenden könnte. Des Weiteren ist bei der Anzahl der Mitarbeiter § 38 BDSG-neu zu berücksichtigen. Demnach ist ein Datenschutzbeauftragter vom Verantwortlichen zu Bestellen, sobald regelmäßig mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ist. Diese Regelung trifft auf die Großzahl der Unternehmen mit 20 Mitarbeitern zu, da bereits die Verwendung von E-Mail-Accounts eine ständig automatisierte Verarbeitung darstellt. Aus diesem Grund kann eine Datenschutzerklärung unproblematisch vom Datenschutzbeauftragten erstellt werden.
  • Art der Verarbeitung
    Insbesondere bei der Verwendung von neuen Technologien, beispielsweise Künstliche Intelligenz, oder bei der Verarbeitung sehr großer Datenmengen, ist Vorsicht geboten. Durch eine bestimmte Art der Verarbeitung können die Risiken variieren. Unternehmen, die aufgrund ihrer technischen Ausrichtung ein höheres Risiko für die Rechte und Freiheiten betroffener, natürlicher Personen darstellen, sind gut beraten, ihre Datenschutzerklärung durch einen Datenschutzbeauftragten erstellen zu lassen. Ein eher handwerkliches oder analoges Unternehmen hat ein geringeres Risiko die Rechte und Freiheiten natürlicher Personen zu gefährden und könnten daher von einer kostenlosen Datenschutzerklärung profitieren.
 

Wer muss eine Datenschutzrichtlinie erstellen?

Die Pflicht, eine Datenschutzrichtlinie zu erstellen, resultiert aus den Vorgaben des Art. 32 DSGVO (technisch-organisatorische Maßnahmen), denn um den erforderlich Stand im Datenschutz herzustellen bzw. zu gewährleisten, sind insbesondere organisatorische Maßnahmen erforderlich. Zu diesen zählen unter anderem Datenschutzrichtlinien, um alle Mitarbeiter bindend auf aktuelle datenschutzrechtliche Vorgaben zu verpflichten. Diese Pflicht trifft alle verantwortlichen Unternehmen und somit die jeweilige höchste Managementebene innerhalb eines Unternehmens. Nur auf diese Weise sind Unternehmen in der Lage, einen konformen Umgang mit dem Datenschutz im Rahmen von Verarbeitungen von personenbezogenen Daten zu garantieren. Die Pflicht, den Nachweis für die Einhaltung des Datenschutzes zu erbringen, besteht u.a. gegenüber Behörden aber vor allem aus qualitätssichernden Gründen auch gegenüber Kunden.

Datenschutz eBook
Sie benötigen noch mehr Beratung zum Thema Datenschutz? - Wir beraten Sie gerne.
 

Datenschutzrichtlinie Muster

Unsere Muster-Datenschutzrichtlinie dient Unternehmen als erster Orientierungspunkt für die individuelle Erstellung einer Datenschutzrichtlinie. Eine Datenschutzrichtlinie muss stets nach den individuellen Anforderungen des verantwortlichen Unternehmens erstellt werden und variiert darüber hinaus stets nach der jeweiligen Branche und der Arbeitsweise eines Unternehmens. Auf der Basis unseres Musters und in Absprache mit Ihrem Datenschutzbeauftragten können Sie eine maßgeschneiderte Datenschutzrichtlinie für Ihr Unternehmen entwerfen. Wichtig ist in diesem Zusammenhang, alle Verarbeitungen, die im Zusammenhang mit den IT-Systemen stattfinden, vorab zu identifizieren. Darüber hinaus sollte intern bereits feststehen, in welcher Form mobile Geräte zum Einsatz kommen und welche Mitarbeiter diese Mittel für die Erfüllung der betrieblichen Aufgaben benötigen.

Die rot markierten Passagen in der Muster-Datenschutzrichtlinie sind individuell auszufüllen. Auch der Aufbau und die weiteren unmarkierten Passagen sind lediglich Vorschläge und dienen als Muster, weshalb die Formulierungen für jedes Unternehmen angepasst werden müssen. Alle Überschriften ab § 4 a müssen ferner individuell mit Regelungen für die Situation in Ihrem Unternehmen ausgefüllt werden.

Mehr zum Thema IT-Nutzung durch Beschäftigte erfahren Sie hier.

 

Inhalte einer Datenschutzrichtlinie

Für den Inhalt einer Datenschutzrichtlinie existiert ein gewisser Handlungsspielraum. Gewisse Aspekte müssen allerdings zwingend in einer Datenschutzrichtlinie geregelt sein, um die Wirksamkeit für die Einhaltung von datenschutzrechtlichen Vorgaben nicht zu gefährden. Insbesondere Regelungen zu technisch-organisatorischen Maßnahmen (kurz: TOM) nach den Vorgaben des Art. 32 DSGVO gehören in die Datenschutzrichtlinie. Hierzu gehören Regelungen für u.a. den folgenden Bereichen für einen datenschutzkonformen Umgang.

Liste für die Erstellung einer Datenschutzrichtlinie

Die Inhalte der Datenschutzrichtlinie sollten immer in enger Absprache mit dem Datenschutzbeauftragten und der IT-Leitung definiert werden, da die Regelungen beide Bereiche wesentlich beeinflussen. Darüber hinaus kann die IT-Leitung Regelungen empfehlen, die für eine besonders hohe IT-Sicherheit von Relevanz sind. Mehr zum Thema Internet-Nutzung durch Beschäftigte erfahren Sie in diesem Beitrag.

Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

 

Aufbau der Datenschutzrichtlinie

Eine Datenschutzrichtlinie sollte zu Beginn eine Präambel mit einer kurzen Einleitung enthalten. An dieser Stelle können Ausführungen zum Inhalt der Datenschutzrichtlinie sowie zu der Notwendigkeit des Dokumentes und der Beschreibungen zum Stellenwert des Datenschutzes gemacht werden. Darüber hinaus können Unternehmen zu Beginn der Datenschutzrichtlinie wichtige Kontaktdaten, z.B. des Datenschutzbeauftragten nennen, damit Arbeitnehmer ihre Rückfragen zu den Regelungen in der Datenschutzrichtlinie stellen können. Im Anschluss können dann alle internen Richtlinien und Konzepte als Arbeitsanweisungen zum Datenschutz aufgezählt werden. An dieser Stelle können Unternehmen auch Prozesse zum Datenschutz im Sinne eines Datenschutz-Management-Systems auflisten. Optional können aktuelle technisch-organisatorische Maßnahmen i.S.v. Art. 32 DSGVO als Anlage beigefügt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

    Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

    Persönliche Angaben

    Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

    Zusätzliche Informationen

    Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

     
    ANGEBOT ERHALTEN