5 Gründe warum Ihr Unternehmen eine interne Datenschutz-Policy haben muss! (nicht: Datensicherheits-Richtlinie)
Dr. Thomas Helbing
Montag, 8. Juli 2019 - 11:15
Eine Datenschutz-Policy (oder Datenschutzrichtlinie) ist eine Arbeitsanweisung, die Verantwortlichkeiten und Prozesse zur Einhaltung der DSGVO im Unternehmen festlegt und die Mitarbeiter über die Datenschutzanforderungen informiert. Sie regelt weit mehr als nur Datensicherheit.
In mittleren und größeren ist eine Datenschutz-Policy aus meiner Sicht das wichtigste und am häufig vernachlässigte Datenschutzmaßnahme.
- Die DSGVO verlangt ausdrücklich, dass Unternehmen geeignete organisatorische Maßnahmen treffen, um die DSGVO einzuhalten. Zudem muss das Unternehmen die Einhaltung der DSGVO nachweisen können (Rechenschaftspflicht, Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO). Ohne Datenschutz-Richtlinie ist das unmöglich.
- Das Datenschutzrecht ist schwer verständlich und die Umsetzung komplex. Prozesse auf Zuruf und gegoogeltes Wissen werden der Bedeutung nicht gerecht. Eine fehlende Datenschutz-Policy begründet jedenfalls bei mittleren und größeren Unternehmen ein Organisationsverschulden.
- Nur eine gute Datenschutz-Policy kann Haftungsrisiken der Unternehmensführung und Führungsebene minimieren. Fragen nach Datenschutz-Prozessen sind Standard bei Kontrollen durch Aufsichtsbehörden.
- Wenn beim Datenschutz mal was schiefgeht aber das große Ganze in Form einer ordentlichen und überwachten Datenschutz-Policy passt, sinkt das Bußgeldrisiko.
- Eine Datenschutz-Policy ist Basis-Voraussetzung für Audits um den Ist- mit dem Soll-Zustand zu vergleichen (Revision, Datenschutzbeauftragter, Externe).
Die Festlegung einer Datenschutz-Policy ist übrigens nicht Aufgabe der Datenschutzbeauftragten. Sie berät und kontrolliert das Unternehmen. Die Datenschutzbeauftragte hat also das Unternehmen auf fehlende Policies hinzuweisen oder bestehende zu prüfen, muss diese aber nicht entwerfen oder gar implementieren.
Mein kostenloses Muster für eine Datenschutz-Policy samt Anleitung zur Umsetzung, Checkliste und Übersicht finden Sie auf meiner Webseite („DSGVO Sinfonie“ Paket).
Rechtsgebiet
Datenschutzrecht
Über den Autor
Dieser Blogbeitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte“ im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Weitere Blog-Artikel von Dr. Thomas Helbing
Fachinformationen
Ratgeber, Muster und Checklisten
