Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) veröffentlicht im Rahmen der Einführung der EU-Datenschutzgrundverordnung eine Reihe von Praxishilfen, die dabei helfen sollen, sich rechtskonform für die Datenschutzgrundverordnung im Mai 2018 aufzustellen. Teil 8 soll dabei helfen eine Unternehmensrichtlinie zur Datenschutzorganisation zu erstellen.

MUSTERVORLAGE

Die Umsetzung der DS-GVO und weiterer datenschutzrechtlicher Vorgaben macht es erforderlich, von Seiten der Geschäftsleitung klare Anweisungen zu erteilen. Wie ist mit personenbezogenen Daten zu verfahren, welches Selbstbild hat das Unternehmen bei der Datenverarbeitung und welche konkreten Ziele werden bei der Datenschutzorganisation verfolgt? Das GDD-Muster stellt einen Vorschlag dar. Details können und sollen unternehmensspezifisch ergänzt werden. So verweist das Muster auf mehrere Anlagen, die ggf.
noch vom jeweiligen Unternehmen selbst erstellt werden könnten oder sollten:
• Anlage 1 – Checkliste zur Beachtung der Anforderungen an Privacy-by Design/Privacy-by-Default
• Anlage 2 – Risikominimierung durch Datenschutz-Folgenabschätzung
• Anlage 3 – Verhaltensmaßnahmen bei einer Datenpanne
• Anlage 4 – Datenportabilität
• Anlage 5 – Umgang mit personenbezogene Daten/Erlaubnistatbestände der DS-GVO
• Anlage 6 – Kompatibilitätscheck bei Zweckänderung
• Arbeitsanweisungen zur Datensicherheit (siehe Punkt 9.3)

INHALTE

Die Muster-Richtlinie geht zuerst auf die Grundsätze ein, klärt dann Stellung und Aufgaben des DSB, beschreibt einzuhaltende Verfahren zur Beschaffung von Hard- und Software und die Verpflichtung bzw. Schulung der Mitarbeiter. Weitere Punkte die in der Richtlinie geregelt werden sind die Transparenz in der Datenverarbeitung, Regeln für die Erhebung und Verarbeitung personenbezogener Daten, deren Speicherung, Übermittlung und Löschung, sowie die Themen Auftragsverarbeitung und Wartung durch externe Dienstleister und die Sicherheit der Verarbeitung. Den letzten Punkt der Richtlinie nehmen die Rechenschafts- und Dokumentationspflichten ein.

SINNVOLLES MUSTER

Die Selbstreflexion auf den unternehmenseigenen Umgang mit personenbezogenen Daten stellt einen wichtigen Schritt dar um mit den geltenden bzw. bald geltenden Datenschutzregelungen compliant zu werden. Das GDD-Muster gibt Anregungen welche Punkte besonders wichtig sind und wie man diese beispielsweise intern regeln kann. So kann mit reduziertem Aufwand eine Richtlinie entstehen, die auch tatsächlich so im Unternehmen gelebt wird, denn nur dann macht diese Richtlinie überhaupt nur einen Sinn.