5 Reasons Why Your Company Must Have an internal Data Protection Policy
Dr. Thomas Helbing
Tuesday, July 9, 2019 - 09:14
A Data Protection Policy (or SOP) is a work instruction that sets out responsibilities and processes to ensure compliance with the GDPR in your company and informs your employees about data protection requirements. It covers much more than just data security.
In my opinion, a Data Protection Policy is the most important and often neglected data protection instrument in medium and large-sized companies.
- 1) The GDPR expressly requires that companies take appropriate organizational measures to comply with the GDPR. In addition, the company must be able to demonstrate compliance with the GDPR (accountability principle, Art. 5 para. 2 and Art. 24 para. 1 GDPR). This is impossible without the Data Protection Policy.
- 2) Data protection law is difficult to understand and its implementation complex. Unclear processes and “googled “knowledge fails to meet the importance of data protection. In any case, a lack of a Data Protection Policy is reason for organizational fault in medium-sized and larger companies.
- 3 Only a good Data Protection Policy can minimize liability risks for the management. Questions about data protection processes are standard for controls by supervisory authorities.
- 4. If something goes wrong with data protection but the big picture fits in the form of a proper and monitored Data Protection Policy, the risk of fines decreases.
- 5. A Data Protection Policy is a basic requirement for audits in order to compare the actual with the target state.
By the way, drafting a Data Protection Policy is not the task of the data protection officer (DPO). DPOs advise and control the company. The DPO therefore has to inform the company about missing policies or review existing ones, but does not have to design or even implement them.
You can find here my free template of a Data Protection Policy including instructions for implementation, a checklist and overview in German language ("DSGVO Sinfonie" package). For English a language version and advice, please contact me.
Rechtsgebiet
Data Protection Law
Über den Autor
Dieser Blogbeitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte“ im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Fachinformationen
Ratgeber, Muster und Checklisten
