10.11.2020

Warum Datenschutz-Richtlinien so wichtig sind

Ohne konkrete Regelungen können Datenschutz-Management und -Organisation nicht gelingen. Datenschutz-Richtlinien legen fest, wer was wann und wie tut, um personenbezogene Daten DSGVO-konform zu verarbeiten. Lesen Sie, wie Sie zu wirksamen und sinnvollen Richtlinien kommen.

Datenschutz-Richtlinien

Warum Datenschutz-Richtlinien?

Die Datenschutz-Grundverordnung (DSGVO) verlangt in Artikel 24 DSGVO von der Unternehmensleitung, sicherzustellen, dass die Verarbeitung personenbezogener Daten DSGVO-konform erfolgt.

Das muss die Unternehmensleitung auch jederzeit nachweisen können.

Damit das funktioniert, müssen Verantwortliche „geeignete technische und organisatorische Maßnahmen“ umsetzen. Diese Maßnahmen müssen sie regelmäßig überprüfen und gegebenenfalls aktualisieren.

Wie die geeigneten technischen und organisatorischen Maßnahmen genau aussehen, legen Datenschutz-Richtlinien fest. Es reicht nicht, nur auf die DSGVO zu verweisen. Auch sich lediglich pauschal auf die Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO zu beziehen, reicht nicht aus.

Was leisten die Richtlinien?

Datenschutz-Richtlinien leisten etwas, das keine Verordnung und kein Gesetz kann: Sie liefern den Beschäftigten im Unternehmen konkrete, zum Unternehmen und zu den Verfahren passende Vorgaben. Sie sind eine Anleitung, wie eine datenschutzgerechte Verarbeitung personenbezogener Daten aussieht.

Die Richtlinien berücksichtigen dabei die aktuelle Entwicklung der IT und der Datenrisiken.

Datenschutz-Richtlinien sind ein zentraler Bestandteil der Datenschutz-Organisation sowie der Datenschutz-Dokumentation. Sie dienen damit auch der Rechenschaftspflicht des Verantwortlichen.

  • Durch die konkrete Beschreibung der Datenschutz-Maßnahmen sind Datenschutz-Richtlinien darüber hinaus die Basis, um  Beschäftigte zu unterweisen und zu schulen.
  • Ebenso sind die Richtlinien die Grundlage, um den Datenschutz zu kontrollieren und zu überwachen. Denn sie bilden die „Soll-Werte“ ab, mit denen sich die „Ist-Werte“ im Datenschutz vergleichen lassen.
Innerhalb des Geltungsbereichs, also meist innerhalb des betreffenden Unternehmens, sind Richtlinien  innerbetriebliche Vorschriften. Die Richtlinien einzuhalten, gehört damit zur Erfüllung des Arbeitsvertrags.

Was können Datenschutz-Richtlinien regeln?

Die Richtlinien für den Datenschutz regeln,

  • wo (in welchen Unternehmensbereich, an welchem Ort)
  • von wem und für wen (Betroffener, Zuständigkeiten, Verantwortung)
  • wobei (betroffene Datenkategorien und IT-Systeme)
  • wann (Zeitpunkt, unter welchen Umständen)
  • wie (Sicherheitsmaßnahmen, Sicherheitslösungen) und
  • warum (Datenrisiken, Schutzziele)

jemand bestimmte Maßnahmen bei der Verarbeitung personenbezogener Daten ergreifen soll.

Eine Richtlinie für die Datensicherheit muss deshalb den folgenden Ansprüchen genügen:

  • Durchführbarkeit: keine Vorgaben, die Beschäftigte sich in der Praxis nicht einhalten können
  • klare, nicht zu komplexe Beschreibungen: keine ausufernden Konzepte, sondern eindeutige Hinweise und Regeln
  • Richtlinien dürfen sich nicht widersprechen: z.B. keine unterschiedlichen Vorgaben zum Verschlüsselungsverfahren, wenn es unternehmensweit eingesetzt werden soll
  • Einhaltung muss nachprüfbar sein: auf mögliche Kontrollen hinweisen

Welche Richtlinien sind sinnvoll?

Grundsätzlich müssen Datenschutz-Richtlinien zur Verarbeitung personenbezogener Daten im jeweiligen Unternehmen und damit zum speziellen Unternehmen passen.

Trotzdem gibt es Bereiche, die jeder Verantwortliche regeln muss. Sie eignen sich deshalb für Datenschutz-Richtlinien. Hierzu einige Beispiele:

  • Aktenvernichtung: Immer wieder finden sich vertrauliche Unterlagen im Müllcontainer, statt dass die Mitarbeiter Akten datenschutzgerecht vernichten.
  • Antiviren-Lösungen: Attacken mit Schad-Programmen werden immer raffinierter. Sie lassen sich nur mit aktueller und professioneller Antiviren-Software abwehren.
  • Spam: Die Mehrzahl aller elektronischen Nachrichten ist Spam. Damit verbunden sind konkrete Gefahren durch verseuchte Links und Dateianhänge.
  • Backups: Die Datensicherung ist in vielen Betrieben immer noch lückenhaft.
  • Betriebliche Nutzung von Privatgeräten (Bring your own Device, BYOD): Unter anderem aus Kostengründen erlauben Unternehmen manchen Mitarbeitern, private Geräte im Betrieb zu nutzen. Sie riskieren damit Lücken in der Datensicherheit. Die zunehmende Tätigkeit in Homeoffices hat dies verstärkt.
  • Reaktion bei Datenpannen: Datenpannen füllen die Schlagzeilen und gefährden den Unternehmensruf. Das gilt besonders dann, wenn Verantwortliche bei Datenpannen falsch reagieren.
  • E-Mail-Kommunikation: E-Mail bleibt der wichtigste elektronische Kommunikationsweg und einer der wichtigsten Angriffswege der Datendiebe.
  • Internetnutzung und Browser: Browser werden zunehmend zum Fenster in die Unternehmens-IT, leider auch für Datendiebe.
  • Umgang mit USB-Sticks und mobilen Endgeräten: Beschäftigte verlieren USB-Sticks, Notebooks und Smartphones. Mit ihnengehen die vertraulichen, häufig ungeschützten Daten verloren.
  • Passwörter: Sie sind der Zugangsschutz Nummer 1 und gleichzeitig eine der größten Schwachstellen in der Datensicherheit.
  • Löschen personenbezogener Daten: Daten werden nicht fristgerecht gelöscht und dann zweckentfremdet. Das gilt es zu verhindern.
  • Verschlüsselung nach dem Stand der Technik: Hacker knacken immer wieder Verschlüsselungs-Lösungen. Ist eine Verschlüsselung veraltet, schützt sie nicht.
  • Zutrittskontrolle: Unbefugte bewegen sich frei im Gebäude und stehlen Daten, die Türen stehen ihnen offen.

Anzeige

Praxissoftware UnternehmensrichtlinienTipp: Praxissoftware Unternehmensrichtlinien

Ohne großen Aufwand erstellen Sie mit der modernen Softwarelösung individuelle Richtlinien für die zentralen Bereiche Ihres Unternehmens und sorgen nachhaltig für mehr Verbindlichkeit und Rechtssicherheit.

Praxissoftware UnternehmensrichtlinienGleich testen


Reichen Standard- oder Musterrichtlinien aus?

Viele Unternehmen verweisen in ihren Datenschutz-Richtlinien nur auf Sicherheitsstandards und die DSGVO, ohne die Vorgaben konkret an die eigene Situation anzupassen. Als Folge finden sich weder Unternehmensleitung noch Mitarbeiter in den Richtlinien wieder.

Das birgt die Gefahr, dass niemand die Vorgaben versteht und die Mitarbeiter sie als praxisfern betrachten. Richtlinien, die die Beschäftigten innerlich ablehnen, müssen scheitern.

Um die Richtlinien zu individualisieren, sind folgende Informationen wichtig:

  • die Organisationsstruktur: Bereiche, Abteilungen, Zuständigkeiten
  • die IT-Struktur: IT-Systeme, Sicherheitslösungen
  • die Verfahren, mit denen die Beschäftigten personenbezogene Daten verarbeiten: Verzeichnis von Verarbeitungstätigkeiten
  • die Datenrisiken (Hinweise zu den aktuellen Risiken)

Je nach identifizierten Risiken und Schutzbedarf der betroffenen Daten führt die jeweilige Richtlinie dann bestimmte Maßnahmen auf, die die Anwender umsetzen müssen, um die vorgegebenen Schutzziele zu erreichen.

Was macht erfolgreiche Datenschutz-Richtlinien aus?

Damit Datenschutz-Richtlinien ihren Zweck erfüllen, achten Sie auf folgende Punkte:

  • Die Richtlinien sind nicht veraltet.
  • Die Richtlinien blockieren nicht, sondern entsprechen dem Schutzbedarf und damit dem Regelungsbedarf im Unternehmen.
  • Sie verhindern Missverständnisse, sind klar verständlich und widerspruchsfrei.
  • Sie sind keine Empfehlungen, sondern verbindliche Anweisungen.
  • Die Richtlinien lassen sich umsetzen, und ihre Einhaltung lässt sich überprüfen.
  • Die Richtlinien haben definierte Verantwortliche.
  • Sie sind keine zahnlosen Tiger, vielmehr werden Kontrollen und mögliche Sanktionen angekündigt.
  • Neue und geänderte Richtlinien lernen die Beschäftigten in einer regelmäßigen Unterweisung kennen.
  • Sicherheitsvorfällen und Datenpannen führen dazu, dass das Unternehmen die betreffende Richtlinie prüft.
  • Der Verantwortliche kontrolliert die Richtlinien regelmäßig.
  • Ausnahmen von Richtlinien sind begründet, dokumentiert und begrenzt.
Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)