Datenschutzpolitik
Ziel der Datenschutzpolitik
Das Ziel der Datenschutzpolitik ist es, die datenschutzrechtlichen Aspekte in einem zusammenfassenden Dokument darzustellen. Sie kann auch als Grundlage für gesetzliche Datenschutzkontrollen, z.B. durch den Kunden im Rahmen der Auftragsverarbeitung, genutzt werden. Damit soll nicht nur die Einhaltung der Europäischen Datenschutzgrundverordnung (GDPR) und des Datenschutzgesetzes (DSGVO) 2018 sichergestellt, sondern auch der Nachweis der Einhaltung erbracht werden.
Präambel
Kurze Beschreibung des Unternehmens und Motivation zur Einhaltung des Datenschutzes.
Sicherheitspolitik und Verantwortlichkeiten im Unternehmen
- Für ein Unternehmen sind zusätzlich zu den bestehenden Unternehmenszielen die obersten Datenschutzziele zu definieren und zu dokumentieren. Die Datenschutzziele basieren auf den Datenschutzprinzipien und müssen für jedes Unternehmen individuell angepasst werden.
- Festlegung von Rollen und Verantwortlichkeiten (z. B. Unternehmensvertreter, betriebliche Datenschutzbeauftragte, Koordinatoren oder Datenschutzteam und betriebliche Führungskräfte)
- Verpflichtung zur kontinuierlichen Verbesserung eines Datenschutzmanagementsystems
- Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter/innen
Rechtlicher Rahmen im Unternehmen
- Branchenspezifische Rechts- oder Verhaltensvorschriften für den Umgang mit personenbezogenen Daten
- Anforderungen von internen und externen Parteien
- Geltende Gesetze, ggf. mit speziellen lokalen Regelungen
Dokumentation
- Durchgeführte interne und externe Inspektionen
- Datenschutzbedarf: Ermittlung des Schutzbedarfs in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit
Vorhandene technische und organisatorische Maßnahmen (TOM)
Geeignete technische und organisatorische Maßnahmen, die umgesetzt und begründet werden müssen, wobei unter anderem der Zweck der Verarbeitung, der Stand der Technik und die Umsetzungskosten berücksichtigt werden.
Die Beschreibung der umgesetzten TOM kann sich z.B. an der Struktur der ISO/IEC 27002 orientieren, wobei die ISO/IEC 29151 (Richtlinien zum Schutz personenbezogener Daten) zu berücksichtigen ist. Die jeweiligen Kapitel sollten durch Verweise auf die bestehenden Richtlinien untermauert werden.
Beispiele für solche Richtlinien sind:
- Leitfaden für die Rechte der betroffenen Personen
- Zugangskontrolle
- Klassifizierung von Informationen (und deren Handhabung)
- Physische und umweltbezogene Sicherheit für Endnutzer/innen wie:
- Zulässige Verwendung von Werten
- Richtlinie für die Informationsweitergabe aufgrund der Arbeitsumgebung und Bildschirmsperren
- Mobile Geräte und Telearbeit
- Einschränkung der Installation und Nutzung von Software
- Datensicherung
- Übertragung von Informationen
- Schutz vor Malware
- Umgang mit technischen Schwachstellen
- Kryptografische Maßnahmen
- Sicherheit der Kommunikation
- Privatsphäre und Schutz von persönlichen Informationen
- Lieferantenbeziehungen: Kenntnisnahme der regelmäßigen Überprüfung und Bewertung der Datenverarbeitung, insbesondere der Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen.