INFORMATIONEN

Nützliche Tipps für die Erstellung einer Datenschutzpolitik

Wenn Sie eine Organisation sind, die mit der Verarbeitung personenbezogener Daten zu tun hat, müssen Sie sich darüber im Klaren sein, dass Sie unbedingt eine Datenschutzpolitik haben müssen.

Es ist wichtig zu beachten, dass eine Datenschutzrichtlinie ein internes Dokument ist, das für die Verfahren zur Einhaltung der DSGVO in Ihrem Unternehmen unerlässlich ist und sich von der Datenschutzrichtlinie unterscheidet und eine akzeptable und vollständige Datenschutzrichtlinie für Ihr Unternehmen darstellt.

Bei ersterem handelt es sich also um ein internes Dokument, bei letzterem um ein externes Dokument, das allen betroffenen Personen leicht zugänglich gemacht werden soll (z. B. auf der öffentlichen Website Ihres Unternehmens).

Wenn es um den Datenschutz geht, ist nicht jeder ein Experte. In einer Organisation, die personenbezogene Daten verarbeitet, müssen alle Mitarbeiter und Mitglieder, die personenbezogene Daten verwalten, den Zweck und die Absicht der DSGVO verstehen und innerhalb ihrer Reichweite arbeiten.

Die Datenschutzpolitik sollte auch darauf abzielen, in möglichst genauen Worten zu klären, wie sich die DSGVO auf die Arbeitnehmer auswirkt und welche Rolle sie dabei spielen. Dies ist eine Möglichkeit, den Missbrauch von Daten durch Ihre Organisation zu verhindern. Die Erkenntnisse der Aufsichtsbehörden zeigen, dass menschliches Versagen die meisten Verstöße gegen den Schutz personenbezogener Daten auslöst, z. B. wenn E-Mails an die falschen Empfänger gesendet werden1.

Eine transparente, brauchbare und geänderte Datenschutzpolitik wird dafür sorgen, dass die Verantwortung aufgrund menschlicher Fehler reduziert wird. Um eine akzeptable Richtlinie zu entwerfen, ist es immer eine gute Idee, interne/externe Datenschutzexperten zu konsultieren. Sie werden nicht nur dabei helfen, die Gesetzgebung klar und transparent zu gestalten, sondern auch dafür sorgen, dass alle Kriterien der DSGVO durchgesetzt werden.

Alle DSGVO-Werte einbeziehen

Die Einbeziehung der wichtigsten DSGVO-Konzepte in die Datenschutzkultur Ihres Unternehmens ist äußerst wichtig. Diese Grundsätze bilden das Herzstück der DSGVO, und alles, was sich aus diesen Grundsätzen ergibt und an ihnen ausgerichtet ist. Daher sollte einer der Hauptaspekte einer Datenschutzpolitik die Achtung und der Umgang mit personenbezogenen Daten im Einklang mit diesen Standards sein. Im Folgenden wird ein kurzer Einblick in die Bedeutung dieser Konzepte gegeben.

  • Rechtmäßigkeit, Fairness und Transparenz: Personenbezogene Daten werden rechtmäßig, fair und offen gehandhabt, und alle Beteiligten werden ordnungsgemäß über die Datenverarbeitungsaktivitäten informiert.
  • Zweckbindung: Der Zweck ist bei jeder Datenverarbeitung gültig, genau (nicht weit gefasst/vage) und rechtmäßig, und personenbezogene Daten werden nur für den Zweck verwendet, für den sie erhoben wurden. Eine Weiterverwendung kann zulässig sein, wenn sie mit dem ursprünglichen Zweck in Verbindung steht und den realistischen Erwartungen der betroffenen Personen entspricht.
  • Datenminimierung: Sie sollten sicherstellen, dass Ihr Unternehmen personenbezogene Daten erhebt und speichert, die ausreichend, angemessen und auf das beschränkt sind, was für einen bestimmten Zweck benötigt wird.
  • Korrektheit: Personenbezogene Daten sind stets rechtmäßig, korrekt und aktuell, und es werden alle Maßnahmen ergriffen, um sicherzustellen, dass personenbezogene Daten jederzeit korrekt sind, auch indem den betroffenen Personen Zugang gewährt wird.
  • Begrenzung der Speicherung: Nach diesem Grundsatz dürfen personenbezogene Daten nicht länger in identifizierbarer Form aufbewahrt werden, als es für die Erfüllung des Zwecks, für den sie erhoben wurden, angemessen ist.
  • Integrität und Vertraulichkeit: Personenbezogene Daten werden unter Verwendung geeigneter Schutzmaßnahmen gespeichert und gegen ungerechtfertigte oder unbefugte Verarbeitung, versehentlichen Verlust, Beschädigung oder Zerstörung gesichert.
  • Rechenschaftspflicht: Als Unternehmen müssen Sie den Grundsatz der Transparenz einhalten, der es Ihnen ermöglicht, die Einhaltung der übrigen oben genannten Grundsätze nachzuweisen.

    • Die oben genannten Begriffe sollten Sie immer in ihren Grundzügen und ihrer praktischen Bedeutung für Ihr Unternehmen darstellen und erläutern.

    Andere Aspekte Ihrer Datenschutzpolitik

    Zu den weiteren Punkten, die in die Datenschutzpolitik aufgenommen werden sollten, gehören:

  • Das Ziel der Datenschutzpolitik: Dieser Teil der Richtlinie soll Ihren Mitarbeitern helfen, die Beziehung zwischen Ihrem Unternehmen, seinen Tätigkeiten und der DSGVO zu verstehen, warum Ihre Aktivitäten mit der DSGVO übereinstimmen müssen und warum es notwendig ist, eine Datenschutzrichtlinie zu haben.
  • Auslegung der wichtigsten Begriffe: Wie bereits erwähnt, können der Schutz der Privatsphäre und der Datenschutz für Personen, die nicht über das nötige Fachwissen verfügen, kompliziert sein. Um Irrtümer und Missverständnisse zu vermeiden, ist es daher wichtig, dass Sie die Terminologie erklären und beschreiben.
  • Rechtsgrundlage: Erläutern Sie die Definition der Rechtsgrundlage für die Verarbeitung personenbezogener Daten und die sechs Rechtsgrundlagen, die in der DSGVO vorgesehen sind, und zeigen Sie gleichzeitig auf, dass die Rechtsgrundlage für jede Verarbeitung personenbezogener Daten angemessen sein muss.
  • Die Rechte der betroffenen Person: Die DSGVO nennt die Rechte der betroffenen Personen. Sie müssen diese erklären und hinzufügen, wie Sie sicherstellen, dass Ihre Organisation diese Rechte erfüllt.
  • Verletzung: Idealerweise sollte eine spezifische Regelung zur Behebung von Verletzungen des Schutzes personenbezogener Daten in Kraft sein, die jedoch mit der Datenschutzpolitik verknüpft sein sollte. In der Richtlinie über Datenschutzverletzungen sollte geregelt werden, wie Arbeitnehmer, die von einer Verletzung des Schutzes personenbezogener Daten Kenntnis haben oder vernünftigerweise damit rechnen, reagieren müssen. Die Meldung von Verstößen (einschließlich menschlicher Fehler ohne Angst vor Vergeltungsmaßnahmen) sollte ebenfalls gefördert werden. Es ist wichtig, die Bedeutung von Präventivmaßnahmen zu betonen und ein einheitliches internes Verfahren für die Meldung zu erläutern.
  • Kontaktdaten Ihres DSB (Datenschutzbeauftragten): Geben Sie den Namen und die Kontaktdaten Ihres behördlichen Datenschutzbeauftragten oder einer anderen Person an, die in Ermangelung eines behördlichen Datenschutzbeauftragten für die Einhaltung der Datenschutzpflichten Ihres Unternehmens verantwortlich ist.

    • Verbinden Sie Ihre Datenschutzpolitik mit Ihrer Schutzpolitik

    Die Datenschutzpolitik ist kein eigenständiger Text. Wie bereits erwähnt, ist sie Teil einer Sammlung interner Richtlinien und Verfahren zur Durchsetzung der DSGVO, einschließlich der Schutzpolitik des Unternehmens, die von entscheidender Bedeutung ist. Daher ist es wichtig, eine logische Verbindung zwischen Ihrer Datenschutzpolitik und der Schutzpolitik Ihres Unternehmens herzustellen, insbesondere bei organisatorischen Schutzmaßnahmen wie Passwortschutz, Zugangskontrollen, Clean Desk Policy usw.

    Machen Sie die Politik zu Ihrer eigenen

    Sie können mit einer Datenschutzrichtlinie für die Vorlage beginnen, aber bedenken Sie, dass Ihre Datenschutzrichtlinie Ihre eigene ist und dass die Vorlage entsprechend angepasst wird. Die Richtlinie sollte im Einklang mit der Datenschutz-Grundverordnung erstellt werden, aber das, was bereits darin enthalten ist, sollte nicht unbedingt übernommen werden.

    Verschiedene Organisationen haben mit unterschiedlichen Details zu tun. Je nach den Verarbeitungstätigkeiten, die Ihre Organisation durchführt und die den Bedürfnissen Ihres Unternehmens entsprechen sollten, sollten Sie Ihre Richtlinie anpassen und dabei auch die geltenden Datenschutzgesetze einhalten.

    Überarbeiten, aktualisieren, schulen

    Im Einklang mit den sich entwickelnden Aktivitäten Ihres Unternehmens, den Empfehlungen der Aufsichtsbehörden und den bewährten Praktiken der Branche muss Ihre Datenschutzpolitik möglicherweise überarbeitet werden. Denken Sie also von Zeit zu Zeit daran, Ihre Strategie zu überprüfen.

    Für die Umsetzung Ihrer Politik ist die tägliche Schulung und Bewertung der Mitarbeiter unerlässlich. Vergessen Sie nicht, ein Protokoll über alle Schulungen zu führen; Kontinuität und Verantwortlichkeit sind von großem Vorteil.