Datenschutzrichtlinie – was muss drin stehen?

Die richtige Formulierung für Datenschutzrichtlinien

Datenschutzrichtlinien sind Arbeitsanweisungen für Mitarbeitende – keine juristischen Lehrbücher für Rechtsanwälte. Je klarer und verständlicher Sie formulieren, desto besser wenden Mitarbeitende die Vorgaben im Arbeitsalltag an. Eine kompliziert formulierte Richtlinie, die niemand versteht, ist wertlos, selbst wenn sie rechtlich perfekt ist.

Juristische Fachsprache vermeiden

Vermeiden Sie juristische Fachsprache, wo immer möglich. Ein Beispiel für schlechte Formulierung wäre: „Die Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage gemäß Art. 6 DSGVO.“ Besser und verständlicher ist: „Personenbezogene Daten dürfen Sie nur verarbeiten, wenn einer dieser Gründe vorliegt: Die Person hat zugestimmt, es besteht ein Vertrag, eine gesetzliche Pflicht macht es notwendig oder es liegt ein berechtigtes Interesse vor.“ Diese Formulierung erklärt denselben Sachverhalt, ist aber für Mitarbeitende ohne juristische Vorbildung sofort verständlich.

Konkrete Handlungsempfehlungen geben

Geben Sie konkrete Handlungsempfehlungen statt abstrakter Prinzipien. „Zugriffe sind zu kontrollieren“ ist eine schlechte Anweisung, weil unklar bleibt, wie dies geschehen soll. Besser ist: „Sperren Sie Ihren Bildschirm mit der Tastenkombination Windows-Taste + L, wenn Sie Ihren Arbeitsplatz verlassen, auch wenn es nur für kurze Zeit ist.“ Diese Anweisung sagt genau, was zu tun ist und wie es technisch umgesetzt wird. Mitarbeitende können sie sofort befolgen, ohne nachdenken zu müssen.

Fallbeispiele nutzen

Ergänzen Sie abstrakte Regeln durch konkrete Praxisbeispiele aus dem Unternehmensalltag. Für die Personalabteilung könnte ein Beispiel lauten: „Bewerbungsunterlagen abgelehnter Kandidaten löschen Sie sechs Monate nach der Absage. Stellen Sie sicher, dass sowohl digitale Kopien im Bewerbermanagementsystem als auch eventuelle Papierunterlagen vernichtet werden.“ Für den Vertrieb: „Kundendaten dürfen Sie nicht auf privaten USB-Sticks speichern, auch nicht vorübergehend. Nutzen Sie ausschließlich die verschlüsselten Unternehmenslaufwerke oder die freigegebenen Cloud-Lösungen.“

Solche Beispiele machen abstrakte Datenschutzregeln greifbar und zeigen, wie sie im konkreten Arbeitskontext anzuwenden sind. Sie helfen Mitarbeitenden zu verstehen, warum bestimmte Regeln existieren und welche Konsequenzen Verstöße haben können.

Mitarbeitende einbeziehen

Holen Sie vor der Veröffentlichung der Datenschutzrichtlinie aktiv Feedback aus verschiedenen Abteilungen ein. Fragen Sie die Mitarbeitenden: Welche Regelungen sind unklar oder missverständlich formuliert? Welche praktischen Situationen aus dem Arbeitsalltag fehlen in der Richtlinie? Welche Begriffe oder Formulierungen sind unverständlich? Diese Rückmeldungen sind wertvoll, weil Mitarbeitende oft ganz andere Perspektiven haben als Datenschutzbeauftragte oder die Geschäftsführung.

Die Einbeziehung der Mitarbeitenden hat einen weiteren wichtigen Effekt: Sie erhöht die Akzeptanz der Richtlinie erheblich. Wenn Mitarbeitende das Gefühl haben, dass ihre Meinung gehört wurde und ihre Anmerkungen berücksichtigt wurden, identifizieren sie sich stärker mit den Regeln und befolgen sie eher. Zudem deckt dieser partizipative Ansatz Praxislücken auf, die in der theoretischen Planung übersehen wurden.

Regelmäßig aktualisieren

Passen Sie die Datenschutzrichtlinie konsequent an Veränderungen im Unternehmen an. Bei der Einführung neuer Software, etwa eines CRM-Systems, müssen die entsprechenden Datenschutzregeln in die Richtlinie aufgenommen werden. Organisatorische Änderungen wie die Gründung einer neuen Abteilung, ein Standortwechsel oder eine Umstrukturierung erfordern ebenfalls Anpassungen. Auch bei Gesetzesänderungen oder wichtigen neuen Gerichtsurteilen zur DSGVO muss die Richtlinie zeitnah aktualisiert werden.

Etablieren Sie einen festen Rhythmus für Reviews – mindestens einmal jährlich sollte die gesamte Richtlinie systematisch überprüft werden. Zusätzlich sollte es einen Prozess geben, wie außerplanmäßige Änderungen schnell umgesetzt und kommuniziert werden können, wenn sich rechtliche oder organisatorische Rahmenbedingungen ändern.

Typische Konzepte einer Datenschutzrichtlinie

Eine umfassende Datenschutzrichtlinie besteht aus mehreren Einzel-Konzepten. Diese decken alle datenschutzrelevanten Bereiche ab:

IT-Sicherheit und Technik:

• IT-Dokumentation (Welche Systeme verarbeiten personenbezogene Daten?)
• IT-Sicherheitskonzept (Firewall, Virenschutz, Updates)
• Verschlüsselungskonzept (E-Mail-Verschlüsselung, Festplattenverschlüsselung)
• Passwortrichtlinie (Mindestlänge 12 Zeichen, Sonderzeichen, regelmäßiger Wechsel)
• PC-Richtlinie (Bildschirmsperre nach 5 Minuten Inaktivität)
• Firewallkonzept (Welche Ports sind geöffnet? Wer darf darauf zugreifen?)

Datenträger und Speicherung:

• Datenträgerrichtlinie (USB-Sticks verschlüsseln, private Datenträger verboten)
• Datensicherungskonzept (Tägliche Backups, 3-2-1-Regel)
• Cloud-Nutzungsrichtlinie (Welche Cloud-Dienste sind erlaubt?)

Mobile Geräte:

• Tablet- und Smartphone-Richtlinie (Mobile Device Management, Fernlöschung)
• Heim- und Telearbeitskonzept (VPN-Pflicht, keine Familienmitglieder am Firmen-PC)

Zugang und Zutritt:

• Schlüssel- und Schließkonzept (Wer hat Zugang zu Serverräumen?)
• Berechtigungskonzept (Rollenbasierte Zugriffsrechte)
• Videoüberwachungskonzept (Datenschutzkonforme Überwachung von Betriebsgeländen)

Organisatorische Regelungen:

• Vertretungskonzept (Wer übernimmt Datenschutzaufgaben bei Urlaub/Krankheit?)
• Schulungskonzept (Jährliche DSGVO-Schulungen für alle Mitarbeitenden)
• Transportregelungen (Akten nur in verschlossenen Taschen transportieren)
• Stellenbeschreibungen (Datenschutzverantwortung für jede Position)
• Dienstanweisungen (Spezifische Anweisungen für Personalabteilung, IT, Vertrieb)
• Organigramm (Datenschutzverantwortliche pro Abteilung)

Notfall und Wartung:

• Fernwartungsrichtlinie (Externe IT-Dienstleister dürfen nur nach Freigabe zugreifen)
• Notfallplan (Was tun bei Datenpanne? Meldepflicht binnen 72 Stunden)

Was sind die Inhalte einer Datenschutzrichtlinie?

Eine professionelle Datenschutzrichtlinie macht Datenschutzmaßnahmen verständlich und nachvollziehbar. Sie muss alle relevanten Aspekte der Datenverarbeitung im Unternehmen abdecken und dabei sowohl rechtliche Anforderungen erfüllen als auch praktisch nutzbar sein.

Beschreibung der personenbezogenen Daten und deren Zweckbindung

Listen Sie detailliert auf, welche Datenkategorien Sie im Unternehmen verarbeiten und zu welchem konkreten Zweck dies geschieht. Für Mitarbeiterdaten könnte dies sein: Gehaltsabrechnung, Arbeitszeiterfassung, Urlaubsverwaltung. Kundendaten werden verarbeitet für Vertragsabwicklung, Rechnungsstellung und, sofern eine Einwilligung vorliegt, für Marketingzwecke. Bewerberdaten dienen ausschließlich dem Auswahlverfahren für offene Stellen. Die Zweckbindung ist ein zentrales DSGVO-Prinzip – Daten dürfen nur für den ursprünglich festgelegten Zweck verwendet werden, nicht für beliebige andere Zwecke.

Angaben zur verantwortlichen Stelle

Benennen Sie klar die verantwortliche Person, typischerweise die Geschäftsführung, und den Datenschutzbeauftragten mit vollständigen Kontaktdaten. Mitarbeitende und Kunden müssen wissen, an wen sie sich bei Datenschutzfragen wenden können. Die Kontaktdaten sollten eine direkte E-Mail-Adresse und eine Telefonnummer umfassen, unter der der Datenschutzbeauftragte tatsächlich erreichbar ist.

Beschreibung der Gewährleistung von Betroffenenrechten

Erklären Sie ausführlich, wie Sie die Rechte betroffener Personen sicherstellen. Das Auskunftsrecht nach DSGVO Art. 15 gibt Personen das Recht zu erfahren, welche Daten über sie gespeichert sind. Das Recht auf Berichtigung nach Art. 16 ermöglicht die Korrektur falscher Daten. Das Recht auf Löschung nach Art. 17, oft als „Recht auf Vergessenwerden“ bezeichnet, erlaubt unter bestimmten Umständen die Löschung personenbezogener Daten. Das Recht auf Datenübertragbarkeit nach Art. 20 ermöglicht es Personen, ihre Daten in einem strukturierten Format zu erhalten und zu einem anderen Anbieter zu übertragen. Das Widerspruchsrecht nach Art. 21 erlaubt Personen, der Verarbeitung ihrer Daten zu widersprechen, etwa bei Direktwerbung.

Beschreibung der technischen und organisatorischen Maßnahmen

Dokumentieren Sie konkret alle Schutzmaßnahmen, die Sie implementiert haben. Technische Maßnahmen umfassen Verschlüsselung sensibler Daten, Firewall-Systeme zum Schutz vor externen Angriffen, Zugangskontrollen mit individuellen Benutzerkonten und Passwörtern sowie regelmäßige Backups zur Sicherstellung der Verfügbarkeit. Organisatorische Maßnahmen beinhalten regelmäßige Schulungen aller Mitarbeitenden, klare Vertretungsregelungen für Datenschutzverantwortliche und systematische Löschkonzepte, die sicherstellen, dass Daten nicht länger als notwendig gespeichert werden.

Rechtsgrundlage für die Erhebung und Verarbeitung von Daten

Für jede Datenverarbeitung im Unternehmen muss eine Rechtsgrundlage gemäß DSGVO Art. 6 existieren. Eine Einwilligung der betroffenen Person liegt etwa vor, wenn jemand sich freiwillig für einen Newsletter anmeldet. Ein Vertrag rechtfertigt die Verarbeitung, wenn Kundendaten für die Rechnungsstellung benötigt werden. Eine gesetzliche Pflicht macht die Verarbeitung notwendig, beispielsweise bei der Aufbewahrung von Lohndaten für zehn Jahre gemäß steuerrechtlicher Vorgaben. Ein berechtigtes Interesse kann die Rechtsgrundlage sein, etwa wenn Videoüberwachung dem Schutz gegen Einbruch dient.

Löschung von Daten und Aufbewahrungspflichten

Definieren Sie klare Löschfristen für jede Datenkategorie in Ihrem Unternehmen. Bewerbungsunterlagen abgelehnter Kandidaten sollten sechs Monate nach der Absage gelöscht werden, es sei denn, der Bewerber hat einer längeren Speicherung zugestimmt. Kundendaten unterliegen oft steuerlichen Aufbewahrungspflichten von zehn Jahren. Protokolldaten von IT-Systemen werden typischerweise nach 90 Tagen gelöscht, es sei denn, es gibt spezielle Compliance-Anforderungen, die eine längere Speicherung erfordern. Ein systematisches Löschkonzept verhindert, dass Daten „vergessen“ werden und jahrelang unnötig gespeichert bleiben.

Auftragsdatenverarbeitung und externe Datenverarbeiter

Listen Sie vollständig alle Dienstleister auf, die Daten in Ihrem Auftrag verarbeiten. Dazu gehören Cloud-Anbieter, externe Lohnbuchhaltungsbüros, Marketing-Agenturen, die Newsletter versenden, IT-Dienstleister mit Systemzugriff und viele weitere. Stellen Sie unbedingt sicher, dass mit jedem dieser Dienstleister ein Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28 geschlossen wurde. Ohne diesen Vertrag ist die Datenverarbeitung nicht rechtmäßig, und Sie haften für Verstöße des Dienstleisters.

Identität des Datenschutzbeauftragten

Nennen Sie den Namen und die vollständigen Kontaktdaten des internen oder externen Datenschutzbeauftragten. Diese Information muss für alle Mitarbeitenden leicht auffindbar sein. Der Datenschutzbeauftragte ist der zentrale Ansprechpartner für alle Datenschutzfragen im Unternehmen.

Zugriffskontrolle und Berechtigungen

Regeln Sie präzise, wer auf welche Daten zugreifen darf. Ein rollenbasiertes Berechtigungssystem ist hier Standard. Die Personalabteilung erhält Zugriff auf Mitarbeiterdaten, aber nicht auf Kundendaten. Der Vertrieb greift auf Kundendaten zu, hat aber keinen Zugang zu Personaldaten der Kollegen. Die Geschäftsführung kann einen Vollzugriff haben, der aber protokolliert werden sollte. Wichtig ist das Need-to-Know-Prinzip: Mitarbeitende erhalten nur Zugriff auf die Daten, die sie für ihre konkrete Aufgabe benötigen.

Verfahrensverzeichnisse

Erstellen Sie ein umfassendes Verzeichnis von Verarbeitungstätigkeiten nach DSGVO Art. 30. Dieses Verzeichnis dokumentiert systematisch alle Datenverarbeitungen im Unternehmen. Für jede Verarbeitungstätigkeit werden der Zweck, die Kategorien betroffener Personen, die Kategorien personenbezogener Daten, die Empfänger der Daten, eventuelle Drittlandübermittlungen und die Löschfristen erfasst. Dieses Verzeichnis ist bei Kontrollen durch Aufsichtsbehörden das wichtigste Dokument.

Datenschutz in einzelnen Abteilungen

Ergänzen Sie die allgemeinen Regelungen durch abteilungsspezifische Vorgaben. Die Personalabteilung braucht besondere Regelungen für den Umgang mit Gesundheitsdaten bei Krankschreibungen und für die Verarbeitung von Bewerbungen. Das Marketing muss wissen, wie Einwilligungen für Newsletter korrekt eingeholt und dokumentiert werden und welche Regeln für Social Media gelten. Die IT-Abteilung benötigt Vorgaben zur Protokollierung von Systemzugriffen und zum Incident Response Management bei Sicherheitsvorfällen.

Umgang mit Datenschutzverstößen

Beschreiben Sie den genauen Prozess bei Datenpannen. Sobald eine Datenpanne bekannt wird, muss sie unverzüglich an den Datenschutzbeauftragten gemeldet werden. Dieser prüft dann, ob eine Meldepflicht gegenüber der Aufsichtsbehörde besteht. Diese Meldung muss binnen 72 Stunden erfolgen. Bei hohem Risiko für die Rechte und Freiheiten der betroffenen Personen müssen auch diese direkt informiert werden. Alle Datenpannen werden in einem Datenpannen-Register dokumentiert, auch wenn keine Meldepflicht bestand. Dies dient der kontinuierlichen Verbesserung der Datenschutzprozesse.

Regelmäßige Evaluation

Die DSGVO fordert in Art. 32 Abs. 1 lit. d ein Verfahren, das die Wirksamkeit der Datenschutzmaßnahmen regelmäßig überprüft, bewertet und evaluiert. Datenschutzaudits nutzen die Datenschutzrichtlinie als Prüfgrundlage und überprüfen, ob die definierten Prozesse auch tatsächlich gelebt werden. Eine professionelle Datenschutzrichtlinie ist die unverzichtbare Basis für ein umfassendes Datenschutzkonzept oder Datenschutzmanagementsystem (DSMS).