7 Dinge, die Sie bei der Erstellung einer Datenschutzrichtlinie wissen sollten

Den Datenschutz darf kein Unternehmen auf die leichte Schulter nehmen. Wie wir immer wieder in den Nachrichten sehen, kommt es immer wieder zu großen Datenskandalen, selbst bei den größten Unternehmen. Die Folgen für ein Versagen in dieser Hinsicht können schwerwiegend sein: Verlorener Umsatz, Schädigung des Rufs und rechtliche Forderungen sowohl von unzufriedenen Kunden als auch von Regulierungsbehörden.

Einer der zurzeit größten Treiber für viele Unternehmen in Sachen Verbesserung ihres Datenschutzes ist die Einführung der DSGVO, die viel klarere Regeln darüber aufgestellt hat, was von den Unternehmen im Umgang mit personenbezogenen Daten sowohl ihrer Kunden als auch ihrer Mitarbeiter erwartet wird.

Auch wenn diese Verordnung von der EU kommt, hat sie weltweite Auswirkungen, da jedes Unternehmen, das Informationen über einen EU-Bürger besitzt, sich an diese Regeln halten muss - also ist jedes in Europa tätige Unternehmen daran gebunden. Darin werden die Höchststrafen für schwerwiegende Datenschutzverletzungen von 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes eines Unternehmens - je nachdem, was höher ist - festgelegt, was erhebliche Auswirkungen auf jedes Unternehmen haben würde, das von einer Datenschutzverletzung betroffen ist.

So wurde beispielsweise das britische Telekommunikationsunternehmen TalkTalk vor ein paar Jahren von seiner lokalen Regulierungsbehörde, dem Information Commissioner's Office, mit einer Geldstrafe von 400.000 Pfund belegt, nachdem Hacker sich Zugang zu seinen Kundendaten verschafft hatten. Dies war eine der größten im Vereinigten Königreich verzeichneten Datenschutzstrafen, aber eine Analyse deutet darauf hin, dass die Strafe für dieses Versagen 59 Millionen Pfund betragen hätte, wenn die DSGVO zu diesem Zeitpunkt schon in Kraft gewesen wäre.

Daher ist es eine absolute Notwendigkeit, über eine klare Datenschutzrichtlinie zum Schutz vor Verstößen zu verfügen. Aber was müssen Sie beachten, um diese erfolgreich umzusetzen? Hier sind einige der wichtigsten Fragen, die Sie beantworten müssen.

Worum geht es und wozu brauchen Sie eine?

Die erste Frage, die viele Geschäftsführer ihrer IT-Abteilung stellen mögen, ist, warum sie überhaupt eine formale Richtlinie benötigen. Dies ist keine gesetzliche Anforderung der Datenschutzgesetzgebung, aber es gibt mehrere wichtige Gründe, diese Dokumentation zu haben.

Zusätzlich zur Festlegung der wichtigsten Sicherheitspraktiken wird in einer guten Datenschutzrichtlinie dargelegt, wie das Unternehmen auf einen Vorfall reagieren wird, einschließlich Kontaktaufnahme und Beantwortung der Anfragen von Mitarbeitern und Kunden sowie dem Ergreifen von Maßnahmen zur Minimierung negativer Medienresonanz. Damit kann auch die gesetzliche Haftung verringert werden, indem nachgewiesen wird, dass angemessene Maßnahmen ergriffen wurden, um einen Verstoß zu vermeiden.

Wann müssen Sie auf Ihre Richtlinien verweisen?

Es gibt mehrere wichtige Anlässe, zu denen Ihr Unternehmen auf seine Datenschutzrichtlinie hinweisen sollte. Dazu gehören:

• Informieren von Mitarbeitern und Kunden über die Verwendung ihrer personenbezogenen Daten.
• Schulung der Mitarbeiter über ihre Verantwortung im Umgang mit Daten.
• Sicherstellung der Einhaltung aller Rechtsvorschriften.

Welche Arten von Daten müssen einbezogen werden?

In der Richtlinie muss genau aufgeführt werden, welche Arten personenbezogener Daten erhoben werden und wie damit umgegangen wird. Um die Einhaltung der Vorschriften zu gewährleisten, muss die Datenerfassung und -speicherung auf ein Minimum beschränkt werden. Trotzdem sammeln sich bei den meisten Unternehmen im Laufe der Zeit große Mengen personenbezogener Daten an, die der Regulierung unterliegen. Dazu gehören unter anderen:

• Persönlich identifizierbare Informationen (z.B. Namen, Adressen und Telefonnummern von Mitarbeitern und Kunden)
• Sensible personenbezogene Daten (z.B. Informationen über die politischen und religiösen Überzeugungen einer Person, ihre ethnische Herkunft, Gesundheitsprobleme, Strafregister usw.)
• Biographische/tätigkeitsbezogene Daten (z.B. Aktivitätsprotokolle, Leistungsnachweise, Einkaufshistorien etc.)

Datenschutzrichtlinien müssen genau festlegen, welche Arten von Informationen ein Unternehmen besitzt

Wer hat die Verantwortung für die Daten?

Eine weitere sich auf die Datenschutzrichtlinien auswirkende Anforderung der DSGVO ist die Einsetzung eines Datenschutzbeauftragten (DSB). Eine solche Ernennung ist für Behörden sowie für Unternehmen obligatorisch, bei denen die Haupttätigkeit des für die Daten Verantwortlichen oder Datenverarbeiters in der „regelmäßigen und systematischen Überwachung von Personen mit ihren Daten in großem Umfang“ besteht.

Diese Person ist für die Überwachung der gesamten Datenschutzstrategie des Unternehmens verantwortlich, einschließlich Schulung der Mitarbeiter, Durchführung von Audits zur Sicherstellung der Compliance und Agieren als Kontaktstelle zwischen dem Unternehmen und den Aufsichtsbehörden. All dies muss in der Richtlinie ausführlich beschrieben werden.

Wie werden die Daten innerhalb des Unternehmens verwendet?

Bei der Kommunikation mit einem Kunden ist eine von der Richtlinie genau zu beantwortende Schlüsselfrage, wie seine personenbezogenen Daten verwendet werden. Die Vorschriften setzen den Unternehmen klare Grenzen für den Umgang mit Daten; sie dürfen nur für bestimmte in der Richtlinie klar zu formulierende Zwecke verwendet und eingeholt werden. Die Daten müssen korrekt und relevant sein sowie gelöscht werden, wenn sie nicht mehr benötigt werden.

In diesem Abschnitt der Datenschutzerklärung ist auch anzugeben, welche Rechte die Nutzer in Bezug auf ihre eigenen Daten haben, sowie die Verfahren, die für eine solche Anfrage einzuhalten sind.

Was tun im Falle eines Verstoßes?

Obwohl eine gut durchdachte Datenschutzrichtlinie einen großen Beitrag dazu leisten sollte, das Risiko eines Unternehmensverstoßes dagegen zu verringern, können selbst die besten Pläne nicht jeden Umstand berücksichtigen, so dass der Abschnitt mit der Beschreibung der in einem solchen Fall zu treffenden Maßnahmen sehr wichtig ist.

Mit der Einführung der DSGVO hat die Benachrichtigung der betroffenen Parteien deutlich an Bedeutung gewonnen. In der Vergangenheit sind viele Unternehmen wegen erheblicher Verzögerungen zwischen der Aufdeckung einer Verletzung und der Meldung an die Kunden und Aufsichtsbehörden in die Kritik geraten. Aber unter der DSGVO ist dies jetzt strikt geworden - die Datenverantwortlichen müssen Verstöße innerhalb von 72 Stunden nach ihrer Entdeckung melden. Die diesbezüglichen Verfahren müssen daher Teil jeder Datenschutzrichtlinie sein und festlegen, wann und wie ein Verstoß gemeldet werden muss.

Halten Sie Ihre Richtlinie zugänglich und aktuell.

Eine Datenschutzrichtlinie nützt niemandem, wenn sie einfach ausgefüllt wird, damit ihre Kontrollkästchen markiert werden und dann in einer Schublade verschwindet, um nie wieder gesehen zu werden. Die Richtlinie muss leicht verständlich und für jedermann zugänglich sein, damit sich die Mitarbeiter darauf beziehen können, wenn sie Rat brauchen. Sie ist außerdem Teil Ihres Onboarding-Programms.

Die Datenschutzrichtlinie muss regelmäßig überprüft werden, um Veränderungen in der Normenlandschaft oder in den Geschäftsgebaren des Unternehmens zu berücksichtigen. Immer wenn ein Unternehmen seine Prozesse in Bezug auf die Datenverwendung anpasst, muss die Schutzrichtlinie überprüft und aktualisiert werden.