Jede verantwortliche Stelle, die personenbezogene Daten verarbeitet, sollte eine interne Datenschutzrichtlinie haben. Diese stellt einen zentralen Teil des Datenschutz-Management-Systems dar und hat daher einige Kriterien zu erfüllen. Ein mögliches Grundgerüst für die interne Datenschutzrichtlinie soll in diesem Artikel vorgestellt werden.
Der Inhalt im Überblick
Welche Punkte sind bei der Erstellung der Richtlinie zu beachten?
Die Datenschutz-Grundverordnung statuiert in Art. 5 Abs. 2 DSGVO eine umfassende Rechenschaftspflicht für Unternehmen. Diese müssen nachweisen können, dass sie die Vorgaben der Datenschutz-Grundverordnung erfüllen. Dabei lässt der Wortlaut darauf schließen, dass dies in Form einer schriftlichen Dokumentation erfolgen soll, unter welche, bei einer entsprechenden Ausgestaltung, auch die interne Datenschutzrichtlinie fallen kann. Daneben muss diese aber auch geeignet sein, um die Mitarbeiter ausreichend zu informieren. Bei der Erstellung der Datenschutzrichtlinie sollten daher folgende Punkte beachtet werden:
Umfang
Zunächst stellt sich die Frage, welchen Umfang die Datenschutzrichtlinie aufweisen soll. Einerseits soll sie über die erforderlichen Aspekte eines Datenschutz-Management-Systems aufklären, andererseits vom Umfang her, nicht ausufern, sodass man den Wald vor lauter Bäumen nicht mehr sieht.
Auch spielen die Größe und Struktur eines Unternehmens, die Branche und die Art der verarbeiteten personenbezogenen Daten eine wichtige Rolle. Je nachdem, kann die Richtlinie damit einen Umfang von ca. fünf bis 15 DIN-A4-Seiten haben (in selteneren Fällen auch mehr).
Sprache und Form
Präzise, transparent, verständlich, in leicht zugänglicher Form, sowie in klarer und einfacher Sprache. Diese, in Art. 12 Abs. 1 S. 1 DSGVO niedergeschrieben Anforderungen, die vorwiegend die Informationspflichten betreffen, lassen sich genauso auf die zu wählende Sprache und Form einer Datenschutzrichtlinie übertragen.
Struktur
Zur leichten Verständlichkeit und guten Übersicht ist es unerlässlich die Datenschutzrichtlinie gut zu strukturieren. Der Überschrift sollte ein Inhaltsverzeichnis folgen und der erste Punkt sollte eine Präambel enthalten, die über Sinn und Zweck, sowie über den Geltungsbereich der Richtlinie aufklärt. Je nach Umfang, sind fürs bessere Verständnis, Definitionen verwendeter Fachbegriffe sinnvoll.
Am Ende der Richtlinie könnte noch auf Folgen von Verstößen hingewiesen werden, wie bspw. arbeitsrechtliche Maßnahmen. Ebenso, dass die Richtlinie regelmäßig überprüft und ggf. aktualisiert wird.
Von wem sollte die Richtlinie erstellt werden?
Der Datenschutzbeauftragte kennt sich fachlich am besten mit den Regelungspunkten aus, die in einer Datenschutzrichtlinie enthalten sein sollten.
Jedoch wird der Datenschutzbeauftragte, insbesondere zur Bestimmung der Zuständigkeiten, ggf. mit der Geschäftsleitung, den Datenschutzkoordinatoren (falls vorhanden) und einzelnen Fachabteilungen Rücksprache halten müssen.
Inhalt
Eine Datenschutzrichtlinie sollte im Wesentlichen enthalten:
- alle Bestandteile des Datenschutz-Management-Systems,
- die Datenschutzorganisation im Unternehmen, insbesondere Prozesse zur Einbindung des Datenschutzbeauftragten bei allen Verfahren der Verarbeitung personenbezogener Daten und bei Datenschutzvorfällen sowie
- Maßnahmen zur Schadensminderung bei Datenschutzvorfällen sowie Prozesse zur Kooperation mit der Aufsichtsbehörde bei der Behebung des Verstoßes (gem. Art. 83 Abs. 2 d) und f) DSGVO von der Aufsichtsbehörde als mildernde Umstände zu berücksichtigen).
Profitieren von einer sauberen Datenschutzrichtlinie
Werden die oben genannten Punkte beachtet, ist man auf einem guten Weg zu einer ansehnlichen Datenschutzrichtlinie. Dabei sollte nicht vergessen werden, dass mit einer inhaltlich vorbildlichen Datenschutzrichtlinie die Rechenschaftspflicht, zumindest zu einem gewissen Teil, erfüllt werden kann. Also, ruhig ein wenig mehr Zeit für die Erstellung einplanen. Es lohnt sich!
Hier wird gesagt, dass die DS-Richtlinie die Bestandteile des DS-Managementsystems enthalten soll. Im Artikel über das DS-Managementsystem wird jedoch gesagt, dieses enthalte u.a. die DS-Richtlinie. Ich finde das etwas verwirrend und habe den Eindruck, dass der Begriff Datenschutzrichtlinie für unterschiedliche Dinge verwendet wird.
Den Begriff der Datenschutzrichtlinie gibt es in der DSGVO nicht, sondern es ist ein Instrument, um die Rechenschaftspflicht zu erfüllen, bzw. dabei zu helfen. Es bestehen somit keine zwingenden Vorgaben. Insoweit ist es eher eine Frage des Aufbaus, ob Sie das Datenschutzmanagementsystem als übergeordnete Struktur verstehen und die Datenschutzrichtlinie als Teil dessen ansehen, oder ob Sie die Datenschutzrichtlinie so aufbauen, dass sie das Datenschutzmanagementsystem widerspiegelt. Begrifflich nutzen beide Beiträge den Begriff einheitlich.
Hier wäre im Einzelfall also zu entscheiden, was in Ihrem konkreten Fall am sinnvollsten erscheint. Wichtig bleiben dabei u.a. die Übersichtlichkeit, die Verständlichkeit und die Transparenz.
Eine Datenschutzrichtlinie für Unternehmen zum kostenlosen Download samt Anleitung zur Umsetzung und diversem Begleitmaterial gibt es übrigens hier:
http://www.thomashelbing.com/dsgvo-sinfonie
Habe es noch nicht komplett durch, recht umfangreich, da wohl für größere Unternehmen gedacht. Auf den ersten Blick aber recht ordentlich. Vieles gut verwertbar.
Danke Claudia für den Link. Ich finde die Richtlinie von Dr. Helbing exzellent! Viel Zeit und Geld gespart.