Datenschutzrichtlinie – was muss drin stehen?
Im Kontext des betrieblichen Datenschutzes ist die Datenschutzrichtlinie (aka Privacy Policy) das übergeordnete Konzeptpapier – und damit der Nordstern jeder Datenschutzberatung.
Was ist eine Datenschutzrichtlinie?
Eine Datenschutzrichtlinie ist ein Leitfaden für alle Mitarbeitenden eines Unternehmens zur Umsetzung des Datenschutzes. Dabei umfassen solche Richtlinien die Weisungen des Arbeitgebers, denen die Mitarbeitenden Folge zu leisten haben. Die Datenschutzrichtlinie ist Grundlage effizienten DSGVO-Managements und definiert grundlegende Vorgaben der Geschäftsleitung zum Thema Datenschutz in Unternehmen und etabliert einheitliche datenschutzrechtliche Standards und Verfahren.
Ziel ist es, mit Hilfe einer Datenschutzrichtlinie die Umsetzung der abstrakten gesetzlichen Vorgaben des Datenschutzes im alltäglichen Arbeitsleben zu erleichtern. Dazu gehört u.a. auch die Schulung der Mitarbeiter bezüglich der gesetzlichen Vorgaben und deren Umsetzung.
Sammeln, nutzen, speichern - welche personenbezogenen Daten dürfen gesammelt werden, welches sind die Rechte der Betroffenen?
Datenschutzrichtlinien dienen als Leitfaden im Unternehmen, um Datenschutz leichter und effektiver umsetzen zu können. Sie können ein Muster dafür verwenden, wir empfehlen dennoch die Einführung mithilfe eines Datenschutzexperten zu bewerkstelligen.
So können Sie sicher gehen, dass Ihre Datenschutzrichtlinien der DSGVO entsprechen und korrekt umgesetzt werden. Zudem ist es sinnvoll einen Datenschutzbeauftragten (DSB) als Kontrollinstanz hinzuzuziehen, da immer wieder Optimierungen notwendig sein werden. Diese Vorteile ergeben sich für Sie:
- DSGVO-Compliance
- Dauerhafte Kontrolle über die ergriffenen Datenschutzmaßnahmen
- Zeitersparnis durch das Hinzuziehen eines Datenschutzbeauftragten (DSB)
- Datenschutzkompetenz als Qualitätsmerkmal für Ihr Unternehmen
Risiken bei nicht erfüllten DSGVO-Auflagen
- Cyber-Attacken können Sie bis zu 2 Mio. € kosten
- Bußgelder von bis zu 4% des Jahresumsatzes oder 20 Mio. € sind möglich
- Schaden für Firma und Marke: Nur 31% der Unternehmen machen sich Sorgen um den Reputationsschaden durch mangelhafte Datenschutzlinien. Es kann jedoch ein nachhaltiger Schaden für Firma und Marke entstehen
Wie wird eine Datenschutzrichtlinie umgesetzt?
Unternehmen haben nach der Datenschutz-Grundverordnung (DSGVO) eine Nachweispflicht. Das heißt, sie müssen nachweisen, dass die Vorgaben der Datenschutz-Grundverordnung im Unternehmen erfüllt sind. Unternehmen müssen also sicherstellen, dass Datenschutzrichtlinien gegeben sind und geeignete Maßnahmen umgesetzt werden.
Indem die Richtlinie typische Fragestellungen und Fallgestaltungen aufgreift, stellt sie für die Mitarbeiter einen Leitfaden zur Orientierung dar. Auf diese Weise kann den Mitarbeitern mehr Sicherheit im Umgang mit personenbezogenen Daten geboten werden.
Durch die Einhaltung der Datenschutzrichtlinie kann ein angemessener Schutz der personenbezogenen Daten und der Interessen der Betroffenen gewährleistet werden. Dabei ist es wichtig, die Datenschutzrichtlinie sorgsam zu formulieren.
Die richtige Formulierung
Bei Veränderungen im Unternehmen ist die Datenschutzrichtlinie ggf. anzupassen. Wichtig ist auch, dass die Mitarbeiter konkrete Handlungsempfehlungen erhalten, beispielsweise im Umgang mit Betroffenenanfragen. Je klarer und eindeutiger die Datenschutzrichtlinie formuliert ist, desto besser kann sie von den Mitarbeitern umgesetzt bzw. angewandt werden.
Um die Datenschutzrichtlinie für möglichst jeden Mitarbeiter verständlich zu gestalten, sollte auf juristische und technische Fachbegriffe verzichtet werden. Hilfreich können dagegen Fallbeispiele sein. Auch können Wünsche und Anregungen der Mitarbeiter aufgegriffen werden, das sorgt gleichzeitig für eine höhere Akzeptanz bei den Mitarbeitern.
Wir als externer Datenschutzbeauftragter helfen Ihnen gerne eine Datenschutzrichtlinie, den individuellen Bedürfnissen Ihres Unternehmens entsprechend, zu erstellen und die Umsetzung der Datenschutzrichtlinie zu überprüfen.
Was sind typische Konzepte einer Datenschutzrichtlinie?
Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen, müssen die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
Zunächst sollte eine Unternehmensstrategie für den Umgang mit personenbezogenen Daten abgestimmt werden. Die Ziele dieser Strategie orientieren sich an den Anforderungen an das Datenschutzkonzept. Die Inhalte einer Datenschutzrichtlinie sind von den konkreten Vorgängen zur Datenverarbeitung vom Unternehmen abhängig.
Wir möchten Ihnen einmal darstellen, welche typischen Konzepte eine Datenschutzrichtlinie beinhaltet:
- IT-Dokumentation
- IT-Sicherheitskonzept
- Datenträgerrichtlinie
- Datensicherungskonzept
- PC-Richtlinie (Bildschirmsperre)
- Firewallkonzept
- Verschlüsselungskonzept
- Passwortrichtlinie
- Tablet- und Smartphone Richtlinie
- Fernwartungsrichtlinie
- Schlüssel- und Schließkonzept
- (Urlaubs-) Vertretungskonzept
- Videoüberwachungskonzept
- Schulungskonzept
- Heim- und Telearbeitskonzept
- Berechtigungskonzept
- Transportregelungen
- Stellenbeschreibungen
- Dienstanweisungen
- Organigramm
- Notfallplan
Unser Service Konzept Check evaluiert Ihre aktuelle Datenschutzrichtlinie. Wir liefern Ihnen eine unabhängige Überprüfung Ihrer Richtlinie auf Vollständigkeit, Aktualität (gemäß DSGVO) und Angemessenheit.
Was sind die Inhalte einer Datenschutzrichtlinie?
Zweck der Datenschutzrichtlinie ist es, die Maßnahmen verständlich zu machen, die im Unternehmen zur Einhaltung und Sicherung des Datenschutzes getroffen werden. Dafür sollte die Datenschutzrichtlinie gut strukturiert sein, um für verschiedene Adressaten verständlich zu sein.
Folgende Punkte müssen in einer Datenschutzrichtlinie vorhanden sein:
- Beschreibung der personenbezogenen Daten und Angabe der jeweiligen Zweckbindung (Nutzungszweck)
- Angaben zur verantwortlichen Stelle
- Beschreibung der gewährleistung von Betroffenenrechten
- Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz
Unter anderem sollten folgende Punkte in einer Datenschutzrichtlinie abgedeckt werden:
- Rechtsgrundlage: Auf welcher Grundlage werden Daten erhoben und verarbeitet?
- Löschung von Daten: Wann werden welche Daten gelöscht und welche gesetzlichen Aufbewahrungspflichten bilden die Grundlage?
- Auftragsdatenverarbeitung: Wer ist außerhalb des Unternehmens an der Datenverarbeitung beteiligt? Welche Daten sind betroffen? Außerdem sollte das Vertragsverhältnis und die Kontrollmaßnahmen aufgeführt werden.
- Datenschutzbeauftragter: Wer ist der Datenschutzbeauftragte des Unternehmens?
- Zugriffe: Wer hat Zugriff auf die Daten?
- Betroffenenrechte: Wie wird mit den Rechten Betroffener im Unternehmen umgegangen?
- Verfahrensverzeichnisse: Verweis und Auflistung der existierenden Verfahren
- Technische und Organisatorische Maßnahmen: Auflistung der technischen und organisatorischen Maßnahmen, die entsprechend auch in den Verfahren beschrieben sein müssen
- Datenschutz in den einzelnen Bereichen: Wie wird mit dem Datenschutz in einzelnen Abteilungen umgegangen?
- Umgang mit Datenschutzverstößen: Wie wird auf Verstöße reagiert und wie wird damit umgegangen?
Die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit regelmäßig überprüft, bewertet und evaluiert. Das heißt für Unternehmen und Datenschutzbeauftragte: Sie müssen die Datenschutzrichtlinie immer wieder überarbeiten.
Die Datenschutzrichtlinie bietet eine gute Übersicht bei der Überprüfung des internen Datenschutzes. Eine gut strukturierte und übersichtlich dargestellte Datenschutzrichtlinie ist bei Datenschutzaudits sehr hilfreich.
Eine gute Datenschutzrichtlinie ist die Grundvoraussetzung für die Erstellung eines Datenschutzkonzepts bzw. eines Datenschutzmanagementsystems.
Unsere Services und Leistungen zum Datenschutz
- Erstgespräch zur Orientierung
- Beratung zu allen Themen der DSGVO vom Profi und Datenschutzexperten
- Review des vorhandenen Datenschutzkonzepts
- Auditierung Ihrer Dienstleister (Stichwort: Auftragsdatenverarbeitung)
- Aufbau und Pflege eines Datenschutzmanagementsystems (DSMS)
- Unterstützung des internen Datenschutzbeauftragten
- Stellung des externen Datenschutzbeauftragten
- DSGVO: Audit, Vorbereitung, Projekt, laufende Beratung
- Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung
- Übernahme der Position des externen Datenschutzbeauftragten
Die Datenschutzrichtlinie umsetzen
Hier finden Sie alle relevanten Informationen zur Umsetzung der Datenschutzrichtlinien in Ihrem Unternehmen – das Datenschutzkonzept.
Als externer Datenschutzbeauftragter unterstützen wir Sie bei der Erstellung einer individuellen Datenschutzrichtlinie für Ihr Unternehmen.
Die externen Datenschutzbeauftragter der Cortina Consult
Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich