5 Gründe warum Ihr Unternehmen eine interne Datenschutz-Policy haben muss! (nicht: Datensicherheits-Richtlinie)

Photo by dylan nolte on Unsplash
Dr. Thomas Helbing

Eine Datenschutz-Policy (oder Datenschutzrichtlinie) ist eine Arbeitsanweisung, die Verantwortlichkeiten und Prozesse zur Einhaltung der DSGVO im Unternehmen festlegt und die Mitarbeiter über die Datenschutzanforderungen informiert. Sie regelt weit mehr als nur Datensicherheit.

In mittleren und größeren ist eine Datenschutz-Policy aus meiner Sicht das wichtigste und am häufig vernachlässigte Datenschutzmaßnahme.

  1. Die DSGVO verlangt ausdrücklich, dass Unternehmen geeignete organisatorische Maßnahmen treffen, um die DSGVO einzuhalten. Zudem muss das Unternehmen die Einhaltung der DSGVO nachweisen können (Rechenschaftspflicht, Art. 5 Abs. 2  und Art. 24 Abs. 1 DSGVO). Ohne Datenschutz-Richtlinie ist das unmöglich.
  2. Das Datenschutzrecht ist schwer verständlich und die Umsetzung komplex. Prozesse auf Zuruf und gegoogeltes Wissen werden der Bedeutung nicht gerecht. Eine fehlende Datenschutz-Policy begründet jedenfalls bei mittleren und größeren Unternehmen ein Organisationsverschulden.
  3. Nur eine gute Datenschutz-Policy kann Haftungsrisiken der Unternehmensführung und Führungsebene minimieren. Fragen nach Datenschutz-Prozessen sind Standard bei Kontrollen durch Aufsichtsbehörden.
  4. Wenn beim Datenschutz mal was schiefgeht aber das große Ganze in Form einer ordentlichen und überwachten Datenschutz-Policy passt, sinkt das Bußgeldrisiko.
  5. Eine Datenschutz-Policy ist Basis-Voraussetzung für Audits um den Ist- mit dem Soll-Zustand zu vergleichen (Revision, Datenschutzbeauftragter, Externe).

Die Festlegung einer Datenschutz-Policy ist übrigens nicht Aufgabe der Datenschutzbeauftragten. Sie  berät und kontrolliert das Unternehmen. Die Datenschutzbeauftragte hat also das Unternehmen auf fehlende Policies hinzuweisen oder bestehende zu prüfen, muss diese aber nicht entwerfen oder gar implementieren.

Mein kostenloses Muster für eine Datenschutz-Policy samt Anleitung zur Umsetzung, Checkliste und Übersicht finden Sie auf meiner Webseite („DSGVO Sinfonie“ Paket).

Rechtsgebiet
Datenschutzrecht