Fachbeitrag | Information
16.12.2014

Was ist eine Datenschutzrichtlinie?

Von Richtlinien spricht man in vielen Bereichen. Kein Wunder, ohne Richtlinien können Organisationen oder Projekte nicht gelingen. Was aber hat es mit Datenschutzrichtlinien auf sich?

Datenschutzrichtlinien© voyager624 /​ iStock /​ Thinkstock

Wichtig ist – nicht nur bei Datenschutzrichtlinien –, dass es nicht um eine Empfehlung für das richtige Verhalten geht, sondern um eine verbindliche Vorgabe. Ihre Einhaltung gehört zur Erfüllung des Arbeitsvertrags.

Den Rahmen für die Datenschutzrichtlinien bildet die interne Organisation, also die jeweilige Unternehmenspolitik. Deshalb ist es wichtig, die Datenschutzrichtlinien mit der Unternehmensleitung anzugehen.

Was regeln Datenschutzrichtlinien?

Den Richtlinien für Datenschutz und Datensicherheit kommt eine zentrale Bedeutung in der Datenschutzorganisation zu, denn sie regeln,

  • wo (in welchen Unternehmensbereich, an welchem Ort)
  • wer (Betroffener, Zuständigkeiten, Verantwortung)
  • was (betroffene Datenkategorien und IT-Systeme)
  • wann (Zeitpunkt, unter welchen Umständen)
  • wie (Sicherheitsmaßnahmen, Sicherheitslösungen) und
  • warum (Datenrisiken, Schutzziele)

im Bereich personenbezogener Daten und Datensicherheit zu tun und zu lassen hat.

Struktur der Datenschutzrichtlinien

Gültigkeitsbereich

Datenschutzrichtlinien müssen genau angeben, für welchen Bereich sie gelten. Zum einen müssen alle Leser der Richtlinien genau wissen, wo sie Gültigkeit haben. Zum anderen ist es möglich, die Datenschutzrichtlinien auf bestimmte Bereiche, Abteilungen oder Mitarbeitergruppen zu beschränken.

Verantwortlichkeit

Auch für die einzelnen Datenschutzrichtlinien muss es Verantwortliche geben, die genannt sein müssen, am besten über ihre Rolle im Unternehmen und nicht namentlich.

Zweck und Ziele

Viele Anweisungen erfolgen ohne Nennung der Ziele und des Zwecks. So sinkt jedoch die Motivation, eine Anweisung auszuführen, massiv. Die Datenschutzrichtlinien sollten deshalb ihren Zweck nennen.

Betroffene Datenkategorien und Systeme

Nicht umsonst fordern die Datenschutzgesetze Maßnahmen, die im Verhältnis zum Schutzziel stehen. Daher ist eine sinnvolle Auswahl gefragt. Wenn sich die geforderten Maßnahmen der Datensicherheit nur auf bestimmte schutzbedürftige Datenkategorien und IT-Systeme beschränken, können sich die Nutzer und Budgets darauf konzentrieren.

Verweis auf begleitende Dokumente

Datenschutzrichtlinien müssen für sich genommen verständlich und vollständig sein. Trotzdem kann es hilfreich sein, auf andere Dokumente zu verweisen, z.B. auf das Unternehmensleitbild.

Sicherheitsvorgaben

Nun kommt das Zentrum der Datenschutzrichtlinien, die konkreten Anweisungen zum sicheren Verhalten und zur datenschutzgerechten Vorgehensweise.

Sanktionen

Sanktionen sollten nicht die einzige Antriebsfeder sein, um Datenschutzrichtlinien durchzusetzen. Aber ein Hinweis auf Sanktionen darf nicht fehlen.

Autoren: Oliver Schonschek , , Ricarda Veidt

Produkte und Veranstaltungen

Produktempfehlungen