Eine interne Datenschutzrichtlinie sollte von jedem Verantwortlichen der Verarbeitung personenbezogener Daten erstellt werden. Die Richtlinie ist ein wichtiger Teil des Datenschutz-Management-Systems und muss einige Kriterien erfüllen. Wir geben eine kurze Übersicht über die wichtigsten Punkte.
Was ist bei der Erstellung der Richtlinie zu beachten?
Umfang
Einerseits soll die Datenschutzrichtlinie über die erforderlichen Aspekte eines Datenschutz-Management-Systems informieren, andererseits aus Gründen der Transparenz und Verständlichkeit möglichst kurz gehalten sein. Bei der Frage nach dem Umfang spielen auch Größe, Struktur und Branche des Unternehmens sowie die Art der verarbeiteten personenbezogenen Daten eine wichtige Rolle. Ein Umfang von ca. 5 bis 15 Seiten ist in der Regel sinnvoll.
Sprache und Form
Art. 12 Abs. 1 S. 1 DSGVO stellt Anforderungen an Sprache bei den Informationspflichten: Präzise, transparent, verständlich, in leicht zugänglicher Form sowie in klarer und einfacher Sprache. Es ist sinnvoll diese Anforderungen auch bei der Datenschutzrichtlinie anzuwenden.
Struktur
Um den Geboten der Verständlichkeit und Transparenz gerecht zu werden, ist eine übersichtliche Struktur der Datenschutzrichtlinie unerlässlich. Ein Inhaltsverzeichnis, eine Präambel, die über Sinn und Zweck sowie über den Geltungsbereich aufklärt, ggf. auch Definitionen verwendeter Fachbegriffe sind für die Strukturierung der Richtlinie sinnvoll.
Inhalt
Eine Datenschutzrichtlinie sollte im Wesentlichen enthalten:
- alle Bestandteile des Datenschutz-Management-Systems
- die Datenschutzorganisation im Unternehmen, insbesondere Prozesse zur Einbindung des Datenschutzbeauftragten bei allen Verarbeitungsvorgängen personenbezogener Daten sowie bei Datenschutzvorfällen
- Prozesse bei Datenschutzvorfällen
Die genannten Punkte enthalten einige Hinweise, die bei der Erstellung der internen Datenschutzrichtlinie helfen sollen. Wenn Sie weitere Fragen oder Anmerkungen dazu haben, freuen wir uns von Ihnen zu hören.