Datenschutzrichtlinie

 

Worum geht es?

Der Begriff Datenschutzrichtlinie wird in der Praxis häufig verwendet, tatsächlich ist dieser jedoch nicht eindeutig. In der Vergangenheit wurde die damalige EU-Richtlinie 95/46/EG zum Umgang mit personenbezogenen Daten als Datenschutzrichtlinie bezeichnet. Das ist die Vorgängerin der Datenschutz-Grundverordnung (DS-GVO).

In Unternehmen wird der Begriff Datenschutzrichtlinie z.B. für eine Datenschutzerklärung einer Webseite verwendet. Amerikanische Unternehmen bezeichnen z.B. ihre Privacy Policies auf ihren Webseiten in deutschen Übersetzungen als Datenschutzrichtlinie. Interne Datenschutzkonzepte werden ebenfalls mit diesem Begriff bezeichnet. Damit gemeint sind interne Regelungen zum Umgang mit personenbezogenen Daten unternehmensweit oder für einzelne Abläufe. In Anlehnung an ISO-Standards kann mit Datenschutzrichtlinie auch eine hierarchisch übergeordnete „Leitlinie zum generellen Umgang mit Daten im Unternehmen“ verstanden werden. Das ist aus unserer Sicht die beste Verwendung des Begriffs.

Vorgehensweise

Eine Datenschutzrichtlinie als Bestandteil eines Datenschutz-Management-Systems definiert die Datenschutzziele eines Unternehmens. Darin enthalten ist der gesetzliche Rahmen oder Standards an denen sich diese orientiert.

  • Wie sollen die Anforderungen der DS-GVO erfüllt werden?
  • Sollen zusätzlich die Anforderungen des BDSG-neu oder der kommenden ePrivacy-Verordnung erfüllt werden?
  • Orientiert sich das Unternehmen an internationalen Standards oder länderspezifischen Vorgaben wie HIPAA in den USA für den Umgang mit Gesundheitsdaten?
  • Wird eine Zertifizierung angestrebt?
  • Trägt die Unternehmensleitung die Verantwortung für die Umsetzung?
  • Gibt es eine Organisationsstruktur, über die die Ziele umgesetzt werden sollen?
  • Gibt es Adressaten, die die Erreichung der Ziele prüfen?

Die Inhalte einer Datenschutzrichtlinie für ein Unternehmen können nur gemeinsam mit der Unternehmensleitung definiert werden. Datenschutzbeauftragte bereiten mögliche Zielsetzungen vor und stellen diese im Rahmen von Arbeitstreffen der Unternehmensleitung vor. Diese entscheidet wie wichtig einzelne Aspekte sind und welche Ziele bzw. welcher gesetzliche Rahmen zur Orientierung dienen soll.

Im Anschluss können die Inhalte in der Datenschutzrichtlinie ausgearbeitet und zu Papier gebracht werden. Das Ergebnis ist von der Unternehmensleitung als verbindlich zu verabschieden und kann auch unterzeichnet werden. Zusätzlich sollte die Datenschutzrichtlinie unternehmensweit an alle Mitarbeitenden kommuniziert werden. Alle Umsetzungsmaßnahmen zum Datenschutz im Unternehmen müssen sich dann an der Datenschutzrichtlinie orientieren.

Ihr Nutzen?

Wenn ein Unternehmen die Umsetzung eines Datenschutzmanagement-Systems anstrebt, dann ist die Datenschutzrichtlinie ein wichtiger Bestandteil. Der Einsatz einer verbindlichen Datenschutzrichtlinie bietet verschiedene Vorteile:

  1. Die Unternehmensleitung steht hinter den definierten Datenschutzzielen
  2. Sie gibt allen Mitarbeitenden Orientierung zum Umgang mit personenbezogenen Daten
  3. Sie gibt einen Orientierungsrahmen für die Umsetzung von Datenschutzmaßnahmen.

Eine Datenschutzrichtlinie ist damit ein wichtiger Baustein eines Datenschutzmanagement-Systems und dient als Leitplanke auf dem Weg zur Umsetzung der angestrebten Datenschutzziele.

Verfasser: Julian Häcker