Richtlinien zum Datenschutz

Richtlinien zum Datenschutz

Jeder Verantwortliche, der personenbezogene Daten verarbeitet, muss neben technischen auch organisatorische Maßnahmen zur Sicherheit und zum Schutzes dieser Daten ergreifen. Das bedeutet, dass folglich u. a. entsprechende Richtlinien zum Datenschutz existieren sollten.

Wozu?

Richtlinien dienen dem Verantwortlichen einerseits als Nachweis, dass er Maßnahmen zum Schutz und zur Sicherheit personenbezogener Daten ergriffen hat. Zum anderen bieten sie den Beschäftigten die Möglichkeit, sich darüber zu informieren, welche Vorgaben umzusetzen sind, um eine unbefugte Verarbeitung von personenbezogenen Daten zu vermeiden. Folglich muss ein Verantwortlicher natürlich auch sicherstellen, dass die Beschäftigten jederzeit auf die Richtlinien zugreifen können. Dabei bietet sich die Bereitstellung schriftlicher oder/und digitaler Dokumentationen, Grafiken etc. an.

Wir finden sie im organisatorischen Bereich eines sogenannten Datenschutz-Management-Systems – also der Gesamtheit aller Maßnahmen, Dokumente, Verträge etc. zum Datenschutz in einer Einrichtung. In der DSGVO gibt es keine direkten Angaben zur Erstellung und Dokumentation von Richtlinien. Die Erstellung dieser Dokumente ergibt sich indirekt aus der Pflicht, technische und organisatorische Maßnahmen gemäß Art. 32 Abs. 4 DSGVO, Art. 24 Abs. 1 DSGVO zu ergreifen, und dem Erwägungsgrund 74 über Verantwortung und Haftung des Verantwortlichen. Demnach hat ein Verantwortlicher die Pflicht, sicherzustellen, dass ihm unterstellte natürliche Personen mit Zugang zu personenbezogenen Daten diese nur weisungsgemäß verarbeiten dürfen, sofern das Unionsrecht oder das der Mitgliedstaaten keinen Vorrang haben. Diese Anweisungen sollten aus Nachweisgründen in den Richtlinien zu finden.

Für welche Bereiche?

Wenn es um die Frage geht, wofür es Richtlinien in einem Unternehmen, einem Verein, einer Arztpraxis, einem Krankenhaus etc. geben sollte, gibt es keine ausdrücklichen oder abschließende Vorgaben. Nicht jede Einrichtung ist gleich. Somit muss jede Einrichtung für sich selbst bzw. gern auch in Zusammenarbeit mit ihrem Datenschutzbeauftragten betrachten, welche Richtlinien nötig sind. So kann es vorkommen, dass für u. a. folgende Bereiche Richtlinien existieren müssen:

1)  Richtlinie zum Umgang mit der (mobilen) IT-Einrichtung,

2)  Richtlinie zur Erstellung von Passwörtern und zum Passwortschutz – mehr zu diesem Thema finden Sie auch hier -,

3)  Richtlinie zur Vernichtung von Datenträgern,

4)  Richtlinie zur Nutzung sozialer Medien,

5)  Richtlinie zur Nutzung von Kommunikationsdiensten (z. B. Telefon, Faxgerät, E-Mail, SMS, Messenger-Dienste, Briefpost, soziale Medien etc.),

6)  Richtlinie zur Nutzung mobiler IT-Systeme,

7)  Richtlinie zum Umgang mit personenbezogenen Daten (z. B. Kunden, Beschäftigte, Patienten etc.),

8)  Richtlinie zur Arbeit im Homeoffice sowie

9)  Richtlinie für Fälle, wenn betroffene Personen von ihren Rechten nach Artt. 15 – 21 DSGVO Gebrauch machen und

10) Richtlinien zum Verhalten bei (etwaigen) Datenschutzvorfällen etc.

Bestandteil der Datenschutzdokumentation

So manche Stelle, die personenbezogene Daten verarbeitet, denkt, es reiche aus, die Datenschutzinformation für die Webseite und für Kunden zu erstellen und eventuell noch etwaige notwendige Auftragsverarbeitungsverträge gemäß Art. 28 Abs. 3 DSGVO abzuschließen. Zu einer möglichst vollständigen Datenschutzdokumentation gehören aber neben den Richtlinien auch Datenschutzinformationen für andere Gruppe betroffener Person, mit denen der Verantwortliche in Kontakt kommt. Dies können Lieferanten, Geschäftspartner, Bewerber etc. sein. Aber auch die Aufzeichnungen zu den implementierten technischen und organisatorischen Maßnahmen dürfen nicht fehlen. Ein Verzeichnis von Verarbeitungstätigkeiten ist zu führen. So hat ein Verantwortlicher einen Überblick, in welchen Bereichen der Einrichtung personenbezogene Daten verarbeitet werden. Auch kann er dann überprüfen, auf welcher Rechtsgrundlage er die Verarbeitung stützt und ob diese schlüssig ist. Vertraulichkeitsverpflichtungen sind abzuschließen. Etwaige Einwilligungen sind aus Nachweisgründen schriftlich festzuhalten.

Diese Aufzählung ist nicht abschließend und kann je nach Einrichtung variieren.

Fazit

Dass nicht jeder Verantwortliche die Zeit, das Wissen und die Erfahrung hat, sich selbst darum zu kümmern, ein Datenschutz-Management-System mit der notwendigen Dokumentation aufzubauen, ist allen bewusst. Damit können Sie uns aber beauftragen. Kontaktieren Sie uns für ein unverbindliches Angebot. So können wir Sie dabei unterstützen, etwaigen Prüfungen durch die Datenschutzaufsichtsbehörden standzuhalten. Wir können Sie bei der raschen Bearbeitung und Beantwortung von Betroffenenanfragen beraten. Des Weiteren können wir Ihnen helfen, möglichst keine Angriffsfläche für Abmahnungen zu bieten. So besteht die Möglichkeit, Bußgelder, Schadensersatzansprüche und etwaige andere unerwartete Zusatzkosten zu vermeiden. Zusätzlich bilden Sie damit auch eine der Grundlagen für etwaige Zertifizierungen.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.