Entwicklung einer"Datenschutz-Richtlinie"
Neben der IT-Sicherheitsrichtlinie lohnt sich häufig auch die Entwicklung einer "Datenschutz-Richtlinie". In dieser können die datenschutzrelevanten Prozesse in einem Unternehmen zusammengefasst werden. So können zum Beispiel die folgenden Bereiche erfasst werden:
Wer ist innerbetrieblich für welches Datenschutzthema in welcher Form verantwortlich (Geschäftsleitung, IT-Leitung, Vertriebsleitung, Datenschutzbeauftragter etc.)?
Welcher Prozess ist beim Einsatz neuer Dritt-Dienstleister einzuhalten? (Verwendung vertraglicher Standards; Absprache mit verantwortlichen Personen etc.).
Festlegung eines Prozesses zur Neueinführung von IT-Systemen.
Wie ist mit Auskunftsbegehren von Betroffenen umzugehen (Wer ist verantwortlich? Wer stellt welche Informationen zur Verfügung? Wer kommuniziert mit dem Betroffenen?).
Behandlung von Anfragen der Datenschutz-Aufsichtsbehörden (Wer ist zu informieren? Wer beantwortet das Schreiben?).
In welcher Form und in welchem Rhythmus sind die Beschäftigten hinsichtlich des sicheren Umgangs mit Daten und der unternehmensinternen Vorgaben zu schulen?
Umgang mit Datenpannen: wie kann ein möglicher Datenverlust erkannt werden und wer ist unternehmensintern in diesem Fall zu informieren?
Königsdisziplin "Datenschutz-Philosophie"
Als"Königsdisziplin" können Unternehmen zudem eine eigene Datenschutz-Philosophie zum betriebsinternen Umgang mit dem Thema Datenschutz entwickeln und schriftlich festhalten, wenn das Thema Datenschutz für das Unternehmen von besonderer Bedeutung ist - z.B. wenn besonders vertrauliche Daten verarbeitet werden oder wenn die Verarbeitung personenbezogener Daten den Gegenstand des eigenen Geschäftsmodells bildet.
Eine solche Datenschutz-Philosophie kann zum Beispiel der Unterstützung des Vertriebs gegenüber den Kunden dienen oder zur Dokumentation des Umgangs mit dem Thema Datenschutz gegenüber Pressevertretern eingesetzt werden.
Fazit
Unternehmen die sich mit dem Thema Datenschutz auseinandersetzen, sollten gerade in Anbetracht der häufig unklaren Regelungslage einen Perspektivenwechsel vornehmen und sich die Frage stellen: Welche Maßnahmen machen aus Sicht des Unternehmens Sinn, um Informationen im Unternehmen zu schützen?
Die Praxis zeigt, dass das Thema "Datenschutz" keine reine Compliance-Angelegenheit darstellt, sondern häufig von strategischer Relevanz sein kann. Datenschutz-Maßnahmen dienen nicht nur dem Schutz personenbezogener Daten sondern der Sicherung sämtlicher innerbetrieblicher Informationen.
Die in dem Beitrag dargestellten Vorschläge bilden einen Handlungsrahmen für konkrete Maßnahmen, die unabhängig von den jeweils geltenden datenschutzrechtlichen Regelungen im Eigeninteresse der Unternehmen verfolgt werden sollten. (rb)