Datenschutzrichtlinie

Konzepte, Policies und Richtlinien im Unternehmen: Kriterien für die organisatorischen Maßnahmen.

Unternehmen beschäftigen sich zunehmend mit der methodischen Umsetzung ihrer Datenschutzvorgaben (DSGVO; BDSG-neu). Die Umsetzung erfolgt i.d.R. durch ein unternehmensweit geltendes übergeordnetes Regelwerk in Form einer Datenschutzrichtlinie.

Die meisten Verantwortlichen haben sich – nicht zuletzt wegen der drastischen Bußgelder – mit den Vorgaben der Datenschutz-Grundverordnung auseinandergesetzt bzw. mit der angemessenen Umsetzung einer Datenschutzrichtlinie im eigenen Unternehmen.

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen eine Datenschutzrichtlinie einzuführen, um den Schutz der personenbezogenen Daten in Unternehmen sicherzustellen.

Zudem müssen Unternehmen nachweisen können, welche Maßnahmen ergriffen werden, um die datenschutzrechtlichen Vorgaben und Verpflichtungen einzuhalten bzw. umzusetzen. Eine Datenschutzrichtlinie schafft enorme Erleichterung.

Was ist eine Richtlinie zum Datenschutz?

Sinn und Nutzen einer Datenschutzrichtlinie?

Eine Datenschutzrichtlinie definiert grundlegende Vorgaben der Geschäftsleitung zum Thema Datenschutz in Unternehmen und etabliert einheitliche datenschutzrechtliche Standards und Verfahren.

Ziel ist es, mit Hilfe einer Datenschutzrichtlinie die Umsetzung der abstrakten gesetzlichen Vorgaben des Datenschutzes im alltäglichen Arbeitsleben zu erleichtern. Dazu gehört u.a. auch die Schulung der Mitarbeiter bezüglich der gesetzlichen Vorgaben und deren Umsetzung.

Wofür wird eine Datenschutzrichtlinie benötigt?

Unternehmen haben nach der Datenschutz-Grundverordnung (DSGVO) eine Nachweispflicht. Das heißt, sie müssen nachweisen, dass die Vorgaben der Datenschutz-Grundverordnung im Unternehmen erfüllt sind. Unternehmen müssen also sicherstellen, dass Datenschutzrichtlinien gegeben sind und geeignete Maßnahmen umgesetzt werden.

Indem die Richtlinie typische Fragestellungen und Fallgestaltungen aufgreift, stellt sie für die Mitarbeiter einen Leitfaden zur Orientierung dar. Auf diese Weise kann den Mitarbeitern mehr Sicherheit im Umgang mit personenbezogenen Daten geboten werden.

Durch die Einhaltung der Datenschutzrichtlinie kann ein angemessener Schutz der personenbezogenen Daten und der Interessen der Betroffenen gewährleistet werden. Dabei ist es wichtig, die Datenschutzrichtlinie sorgsam zu formulieren.

Die richtige Formulierung

Bei Veränderungen im Unternehmen ist die Datenschutzrichtlinie ggf. anzupassen. Wichtig ist auch, dass die Mitarbeiter konkrete Handlungsempfehlungen erhalten, beispielsweise im Umgang mit Betroffenenanfragen. Je klarer und eindeutiger die Datenschutzrichtlinie formuliert ist, desto besser kann sie von den Mitarbeitern umgesetzt bzw. angewandt werden.

Um die Datenschutzrichtlinie für möglichst jeden Mitarbeiter verständlich zu gestalten, sollte auf juristische und technische Fachbegriffe verzichtet werden. Hilfreich können dagegen Fallbeispiele sein.

Auch können Wünsche und Anregungen der Mitarbeiter aufgegriffen werden, das sorgt gleichzeitig für eine höhere Akzeptanz bei den Mitarbeitern.

Wir als externer Datenschutzbeauftragter helfen Ihnen gerne eine Datenschutzrichtlinie, den individuellen Bedürfnissen Ihres Unternehmens entsprechend, zu erstellen und die Umsetzung der Datenschutzrichtlinie zu überprüfen.

Was sind typische Konzepte einer Datenschutzrichtlinie?

Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen, müssen die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Zunächst sollte eine Unternehmensstrategie für den Umgang mit personenbezogenen Daten abgestimmt werden. Die Ziele dieser Strategie orientieren sich an den Anforderungen an das Datenschutzkonzept. Die Inhalte einer Datenschutzrichtlinie sind von den konkreten Vorgängen zur Datenverarbeitung vom Unternehmen abhängig.

Wir möchten Ihnen einmal darstellen, welche typischen Konzepte eine Datenschutzrichtlinie beinhaltet:

  • IT-Dokumentation
  • IT-Sicherheitskonzept
  • Datenträgerrichtlinie
  • Datensicherungskonzept
  • PC-Richtlinie (Bildschirmsperre)
  • Firewallkonzept
  • Verschlüsselungskonzept
  • Passwortrichtlinie
  • Tablet- und Smartphone Richtlinie
  • Fernwartungsrichtlinie
  • Schlüssel- und Schließkonzept
  • (Urlaubs-) Vertretungskonzept
  • Videoüberwachungskonzept
  • Schulungskonzept
  • Heim- und Telearbeitskonzept
  • Berechtigungskonzept
  • Transportregelungen
  • Stellenbeschreibungen
  • Dienstanweisungen
  • Organigramm
  • Notfallplan

Unser Service Konzept Check evaluiert Ihre aktuelle Datenschutzrichtlinie. Wir liefern Ihnen eine unabhängige Überprüfung Ihrer Richtlinie auf Vollständigkeit, Aktualität (gemäß DSGVO) und Angemessenheit.

Was sind die Inhalte einer Datenschutzrichtlinie?

Zweck der Datenschutzrichtlinie ist es, die Maßnahmen verständlich zu machen, die im Unternehmen zur Einhaltung und Sicherung des Datenschutzes getroffen werden. Dafür sollte die Datenschutzrichtlinie gut strukturiert sein, um für verschiedene Adressaten verständlich zu sein.

Folgende Punkte müssen in einer Datenschutzrichtlinie vorhanden sein:

  • Beschreibung der personenbezogenen Daten und Angabe der jeweiligen Zweckbindung (Nutzungszweck)
  • Angaben zur verantwortlichen Stelle
  • Beschreibung der Gewährleistung von Betroffenenrechten
  • Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz

Unter anderem sollten folgende Punkte in einer Datenschutzrichtlinie abgedeckt werden:

  • Rechtsgrundlage (Auf welcher Grundlage werden Daten erhoben und verarbeitet?)
  • Löschung von Daten (Wann werden welche Daten gelöscht und welche gesetzlichen Aufbewahrungspflichten bilden die Grundlage?)
  • Auftragsdatenverarbeitung (Wer ist außerhalb des Unternehmens an der Datenverarbeitung beteiligt? Welche Daten sind betroffen? Außerdem sollte das Vertragsverhältnis und die Kontrollmaßnahmen aufgeführt werden.)
  • Datenschutzbeauftragter (Wer ist der Datenschutzbeauftragte des Unternehmens?)
  • Zugriffe (Wer hat Zugriff auf die Daten?)
  • Betroffenenrechte (Wie wird mit den Rechten Betroffener im Unternehmen umgegangen?)
  • Verfahrensverzeichnisse (Verweis und Auflistung der existierenden Verfahren)
  • Technische und Organisatorische Maßnahmen (Auflistung der technischen und organisatorischen Maßnahmen, die entsprechend auch in den Verfahren beschrieben sein müssen)
  • Datenschutz in den einzelnen Bereichen (Wie wird mit dem Datenschutz in einzelnen Abteilungen umgegangen?)
  • Umgang mit Datenschutzverstößen (Wie wird auf Verstöße reagiert und wie wird damit umgegangen?)

Die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit regelmäßig überprüft, bewertet und evaluiert. Das heißt für Unternehmen und Datenschutzbeauftragte: Sie müssen die Datenschutzrichtlinie immer wieder überarbeiten.

Die Datenschutzrichtlinie bietet eine gute Übersicht bei der Überprüfung des internen Datenschutzes. Eine gut strukturierte und übersichtlich dargestellte Datenschutzrichtlinie ist bei Datenschutzaudits sehr hilfreich.

Eine gute Datenschutzrichtlinie ist die Grundvoraussetzung für die Erstellung eines Datenschutzkonzepts bzw. eines Datenschutzmanagementsystems.

Datenschutzkonzept

Was ist ein Datenschutzkonzept?

Das Datenschutzkonzept gibt als umfassendes Dokument Auskunft über die Rechtmäßigkeit bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Unternehmen. Es umfasst Ziele, Verantwortlichkeiten und Dokumentationspflichten und gehört zu den wichtigsten Strategiepapieren eines Unternehmens.

Ein gutes Datenschutzkonzept hilft, den Rechenschaftspflichten der europäischen Datenschutz-Grundverordnung (DSGVO) gegenüber den Aufsichtsbehörden gerecht zu werden. Es dient außerdem als Grundlage für datenschutzrechtliche Prüfungen z. B. durch Auftraggeber. Es gibt keine Rechtsnorm zu Umfang und Inhalt eines Datenschutzkonzeptes. Manche Punkte müssen jedoch verbindlich beschrieben und geregelt werden.

Wer braucht ein Datenschutzkonzept?

Die DSGVO enthält in Art. 5 (2) das Prinzip der Rechenschaftspflicht. Demnach muss jede verantwortliche Stelle nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt. Dieses muss der Verantwortliche auch regelmäßig kontrollieren und ggf. weiterentwickeln.

Mit anderen Worten: Unternehmen, die personenbezogene Daten verarbeiten, müssen ein Verfahren einrichten, um die Wirksamkeit der Datenschutz- und Datensicherheits-Maßnahmen regelmäßig zu überprüfen, bewerten und evaluieren. Dafür ist ein Datenschutzkonzept die optimale Ausgangsbasis.

Anforderungen an ein Datenschutzkonzept

Anforderungen an ein Datenschutzkonzept:

  • Darstellung der Grundsätze für die Verarbeitung personenbezogener Daten
  • Aufführen von einem Verzeichnis der Verarbeitungstätigkeiten
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen
  • Durchführung einer Datenschutz – Folgenabschätzung bei der Verarbeitung von sensiblen Daten
  • Erarbeitung einer aktuellen Datenschutzrichtlinie
  • Erstellung eines Datenschutzkonzepts
  • Aufrechterhaltung des Datenschutzes bei Änderungen
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • Durchführung von Datenschutz-Schulungen
  • Einführung eines Prozesses zur Wahrnehmung von Betroffenenrechten (Informationsrecht, Auskunfts- und Widerspruchsrecht, Recht auf Berichtigung, Löschung und Einschränkung)
  • Meldung von Datenschutzverstößen
  • Nachweis der Datensicherheit

Was leistet Ihr Datenschutzkonzept?

Die Ergebnisse des „Realitätschecks“ sind vielfältig – so zumindest unsere Erfahrungen. Teils wird Datenschutz mit Datensicherheit in einen Topf geworfen (respektive: verwechselt); andere Deutungen und Auslegungen der Datenschutz-Grundverordnung (DSGVO) enden in einer wahren "Vorlagen-Schlacht", die aus einer Vielzahl von Quellen aus dem Internet geladen, mehr oder weniger gut auf die eigenen Belange angepasst und abgeheftet werden – fertig.

Die Frage, ob das eigene Datenschutzkonzept den Stresstest (Prüfung eines Partners, Behördenanfrage, Auskunft an Betroffene) bestehen würde, kann niemand mit Gewissheit und dem Brustton der Überzeugung beantworten.

Unserer Erfahrung nach, gibt es einige typische Defizite in Datenschutzkonzepten, die wir regelmäßig in Unternehmen vorfinden:

  • Die Soll-Konzeption ist zwar aus Sicht der IT perfekt, die Abbildung geforderter relevanter Datenschutzprozesse wurden aber vernachlässigt.
  • Wichtige Teilaspekte wie Dokumentation / Nachweise der getroffenen Vorkehrungen oder die organisatorischen Aspekte wurden nicht behandelt.
  • Tiefe und Umfang der umgesetzten Maßnahmen reichen bei weitem nicht aus, um als Grundlage des geforderten DSMS dienen zu können.
  • Das Datenschutzkonzept / DSMS erhielt anfangs nicht die erforderliche Aufmerksamkeit des Managements.

Unsere Services und Leistungen zum Datenschutz

Wir freuen uns auf Ihr Projekt!

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.

Datenschutzrichtlinie, Datenschutzkonzept oder IT-Policies: Sie haben dazu Fragen?

Gern beraten wir Sie!

Ihr Ansprechpartner

Portrait Martina Brinkmann

Martina Brinkmann
+49 251 2979474-2
mb@cortina-consult.de

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download