Die interne Datenschutzrichtlinie

Der Datenschutzhinweis ist ein externes Dokument, das sich an Betroffene – also Kunden, Mitarbeiter usw. – richtet. Es informiert transparent darüber, welche personenbezogenen Daten zu welchem Zweck, auf welcher Rechtsgrundlage und für wie lange verarbeitet werden, welche Rechte die Betroffenen haben und an wen sie sich bei Datenschutzfragen oder Beschwerden wenden können. Die Veröffentlichung erfolgt meist auf der Website oder im Rahmen von Verträgen. Wichtig hierbei: Bei einem Datenschutzhinweis handelt es sich rein um eine Information gegenüber der betroffenen Person und nicht um einen Vertrag. Dies wird oft verwechselt.

Die Datenschutzrichtlinie ist ein unternehmensinternes Dokument, das die Regeln, Verantwortlichkeiten und Abläufe für den Umgang mit personenbezogenen Daten innerhalb des Unternehmens festlegt. Sie richtet sich an die Mitarbeitenden und dient als verbindliche Handlungsanweisung dazu, wie Datenschutz im Arbeitsalltag praktisch umgesetzt wird.

Eine interne Datenschutzrichtlinie dient dazu, die gesetzlichen Datenschutzanforderungen (z. B. DSGVO) in konkrete, unternehmensspezifische Vorgaben zu übersetzen. Sie definiert:

• Regeln für den Umgang mit personenbezogenen Daten, damit Mitarbeiter wissen, wie sie datenschutzkonform handeln.
• Klare Prozesse und Verantwortlichkeiten, um schnelle Abläufe und eine geringe Fehlerhäufigkeit zu ermöglichen. Vorteile einer internen Datenschutzrichtlinie sind:
• Sie dient als Nachweis der Compliance, da das Unternehmen im Fall einer Prüfung durch die Aufsichtsbehörde zeigen kann, dass es organisatorische Maßnahmen ergriffen hat. Es ist auch aus Sicht der Haftung der Geschäftsführung wichtig.
• Sie fördert, richtig kommuniziert, das Bewusstsein für Datenschutz im Unternehmen.

Eine interne Datenschutzrichtlinie geht inhaltlich nicht ins Detail, sondern ist als strategisches Dokument zu verstehen. Es wird die Grundrichtung, in die sich das Unternehmen aus Datenschutzsicht entwickeln soll, beschrieben. Folgende Punkte sollten zumindest abgedeckt sein:

• Zweck und Geltungsbereich (Was ist das Ziel der Datenschutzrichtlinie und für wen gilt sie?) Grundsätze der Datenverarbeitung (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit)
• Verantwortlichkeiten (Wer ist für was zuständig?)
• Verfahren zur Datenerhebung, -verarbeitung und -löschung
• Technische und organisatorische Maßnahmen
• Umgang mit Betroffenenrechten
• Meldungen bei Datenschutzvorfällen (Was ist bei einer Datenpanne zu tun?)
• Schulungen und Sensibilisierungen (Wie werden Mitarbeitende informiert und weitergebildet?)
• Sanktionen (Was passiert bei Verstößen gegen die Richtlinie?)

Idealerweise wird die Datenschutzrichtlinie jedem Mitarbeiter nachweislich (z. B. per Unterschrift oder mithilfe eines Consent-Tracking-Tools) kommuniziert. Wichtig ist dabei, dass die Datenschutzrichtlinie für alle Mitarbeiter frei zugänglich ist und sie wissen, wie sie sie einsehen können. Ein dezidiertes Ansprechpartner für Datenschutzfragen ist von Vorteil und die Kontaktmöglichkeiten sollten jedem Mitarbeiter bekannt sein.

Über dezidierte Datenschutzschulungen, die sich an den Inhalten der Datenschutzrichtlinie orientieren, wird sichergestellt, dass die Mitarbeiter die Inhalte auch verstanden haben.

Wir arbeiten mit Metasoul derzeit an einer Möglichkeit zur Erstellung einer internen, auf dein Unternehmen zugeschnittenen Datenschutzrichtlinie. Die Funktion wird im Metasoul Business-Paket ohne Mehrkosten verfügbar sein.