10 Schritte zum Aufbau eines Datenschutzmanagementsystems –Teil 1
Für eine Datenschutzrichtlinie sollten verschiedene Punkte berücksichtigt werden. Im ersten Schritt muss es ein entsprechendes Interesse der obersten Leitung geben, damit diese Regelungen auch im gesamten Unternehmen gelebt werden. Anschließend sollten entsprechende Mitarbeiter und Partner einbezogen werden, um eine solche Richtlinie zu kreieren. Es empfiehlt sich wenigstens, neben dem Top Management und dem Datenschutzbeauftragten, Verantwortliche für die IT und Personal mit einzubeziehen. Mehr zum Thema Datenschutzbeauftragter finden Sie hier: https://www.datenschutzbeauftragter-extern.info/der-datenschutzbeauftragte/
Wenn ein Gremium für die Schaffung einer Datenschutzrichtliniegeschaffen wurde, kann mit der Aufstellung der Themen begonnen werden. Je nachUnternehmen, Firmenpolitik und Philosophie können unterschiedliche Themenbereichherausgearbeitet werden. Allgemein sollte in den ersten Seiten einer Richtlinieklar werden, welche Ziele vom Unternehmen hinsichtlich des Datenschutzesverfolgt werden. Diese können dafür dienen Vertrauen aufzubauen, gesetzlichenAnforderungen nachzukommen oder Vorgaben für einen sauberen Geschäftsablauf zuliefern. Eine Grundlage für eine solche Richtlinie sollten auch Geltungsbereichsowie gesetzliche Rahmenbedingungen sein, über die es gilt aufzuklären, um denLeser ein Bild des Anwendungsbereiches dieser Richtlinie zu vermitteln.
Der Aufbau einer Datenschutzrichtlinie kann dann, je nach Unternehmen, sehr groß oder eher kurz und knapp gehalten werden. Es sollten die Grundsätze des Datenschutzes berücksichtigt werden und wie das Unternehmen diese berücksichtigt bzw. berücksichtigen möchte. Diese Grundsätze sind:
- Rechtmäßigkeit
- Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit/Korrektheit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Weitere Grundsätze können definiert werden oder in Anlehnung der aufgezählten ergänzt werden.
Ein wichtiger Bestandteil der Datenschutzrichtlinie ist die zweckgebundene Rechtmäßigkeit der Datenverarbeitungen. Ein Unternehmen sollte deutlich darstellen, welche personenbezogenen Daten im Unternehmen, wie verarbeitet werden, wer darauf Zugriff hat und an welche externen Datenverarbeiter diese weitergeleitet werden. Mit einer Darstellung dieser Verarbeitungen von personenbezogenen Daten schafft ein Unternehmen bei seinen Kunden Vertrauen in die Tätigkeiten, da es deutlich darstellt, welche Vorgänge es mit den erhaltenen Daten plant. Zu berücksichtigen ist dabei, dass die Verarbeitung auch von Mitarbeiter- oder Partnerdaten dargestellt wird, da es sich hierbei um sogenannte interne Kunden des Unternehmens handelt.
In einer solchen Richtlinie müssen klare Vorgaben gegeben werden, wie die Verarbeitung von personenbezogenen Daten im Unternehmen umgegangen werden soll. Die Vorgänge der Datenverarbeitung innerhalb des Unternehmens ist die eine Seite, die andere die Weitergabe der Daten an Dritte und die Auftragsverarbeitung. Ein Unternehmen sollte klare Regelungen aufstellen, wie mit externer Datenverarbeitung verfahren werden soll. Für Mitarbeiter und Subunternehmen kann dies eine Richtlinie bei der korrekten Verarbeitung der zur Verfügung gestellten Daten geben. Die Zusammenarbeit mit Auftragsverarbeitern kann dabei erschwert werden, da sich die Beauftragung nur unter Einhaltung der Datenschutzrichtlinie ergeben kann.
Für die nötige Transparenz und Aufklärung muss ebenfalls gesorgt werden. In der Richtlinie sollten daher nochmal alle Rechte der Betroffenen aufgeführt und erklärt werden. Im Idealfall stellt das Unternehmen den Umgang zur Wahrnehmung dieser Betroffenenrechte dar. Auf die gesetzlichen Anforderungen an die Vertraulichkeit der Datenverarbeitung sollte in der Datenschutzrichtlinie ebenfalls hingewiesen und die entsprechende Umsetzung im Unternehmen dargestellt werden, wie beispielsweise die Verpflichtung aller Mitarbeiter zum Datengeheimnis. Für die Sicherheit der zur Verfügung gestellten Daten hält jedes Unternehmen entsprechende technische und organisatorische Maßnahmen vor. Diese können durch eine Beschreibung der Einhaltung dieser Sicherheitsmaßnahmen mit in die Richtlinie aufgenommen werden.
Abschließend soll eine Datenschutzrichtlinie auch eine Erklärung einer ausreichenden Kontrolle und Überprüfung zur Einhaltung des Datenschutzes haben. Darin enthalten sollten Vorgaben zur Überwachung der Datenschutzregelungen und die zuständigen Verantwortlichen gemacht werden. Mit der Auflistung der Verantwortlichen kann das Unternehmen in der Datenschutzrichtlinie auch seine Mitarbeiter, Partner und Kunden über Ansprechpartner aufklären, um aufkommende Fragen bezüglich des Datenschutzes an den richtigen Ansprechpartner stellen zu können.