D:Datenschutzstruktur im Unternehmen

Rubrik: Nachrichten
R. Olschewski - 2B Advice GmbH - the privacy benchmark

Die verschiedenen datenschutzrechtlichen Begriffe und deren systematische Einordnung sind häufig nicht klar besetzt. Daher ist eine entsprechende Verständigung und systematische Einordnung sinnvoll und erforderlich, zumal es an einer formalgesetzlichen Definition fehlt.

Die Einführung des Datenschutzmanagements im Unternehmen bedarf eines umfassenden Datenschutzkonzepts. Dieses richtet sich an die Unternehmensleitung und den Datenschutzbeauftragten. Es wird nach einer umfassenden Bestandsaufnahme der Ist-Situation im Unternehmen und mittels klarer Definition der zu erreichenden Soll-Ziele schriftlich niedergelegt. Laut § 9a BDSG kann dieses Datenschutzkonzept Gegenstand einer Überprüfung durch die Aufsichtsbehörden sein.

 

Teil des Datenschutzkonzepts bzw. dessen notwendige Folge, ist die Verfassung und Bekanntgabe einer Datenschutzpolicy oder Datenschutzrichtlinie. Dieses noch eher allgemein gehaltene Papier enthält in Kurzform die Grundaussagen des Unternehmens zum Datenschutz, macht beispielsweise den Datenschutzbeauftragten bekannt. Sie richtet sich an alle Mitarbeiter der Belegschaft und kann sich auch nach außen richten. Mit der Datenschutzpolicy wird somit auch gegenüber den Kunden und der Öffentlichkeit, als Bekenntnis zu den Grundaussagen des Datenschutzes.

 

Die Datenschutzordnung folgt der Datenschutzpolicy und richtet sich stärker nach innen. Adressat der Datenschutzordnung sind alle Mitarbeiter des Unternehmens im Allgemeinen. Sie regelt Zuständigkeiten und Verfahrensanweisungen an die Belegschaft. Es wird beispielweise eine Verfahrensanweisung im Sinne von § 42 a BDSG bekannt gemacht und Zuständigkeiten des Datenschutzbeauftragten oder Ansprechpartner für Datenschutzfragen publiziert.

 

Die Arbeitsanweisungen Datenschutz konkretisieren die vorgenannte Regelung mit unmittelbarer Wirkung für den Mitarbeiter. Beispielsweise die Regelungen zur Gestaltung und Änderung von Passworten oder Verschwiegenheitsverpflichtungen sind Beispiele für allgemeingültige Arbeitsanweisungen.

 

Spezielle Arbeitsanweisungen Datenschutz richten sich nur an Abteilungen bzw. Mitarbeiter von datenschutzrechtlichen Gefährdungslagen. Beispielsweise wären insofern die Personal oder IT-Abteilung zu nennen. Diese benötigen konkrete Arbeitsanweisungen zum Umfang mit personenbezogenen Daten oder zum Umgang mit Administratorenpassworten.

 

Spezielle Handreichungen zum Datenschutz werden vom Datenschutzbeauftragten zur Verfügung gestellt, so dass beispielsweise die arbeitsvertraglichen Klauseln zum § 5 BDSG (Verpflichtung auf das Datengeheimnis) nebst entsprechenden Informationsbroschüren im Rahmen von Arbeitsanweisungen eingebracht und umgesetzt werden.

 

(659 mal gelesen)