Umsetzung von Datenschutz im Unternehmen sicherstellen

Datenschutzrichtlinien sind wesentlicher Bestandteil der organisatorischen Maßnahmen von Unternehmen und sozialen Einrichtungen. Richtlinien definieren Vorgaben und Prozesse und geben Mitarbeitern damit klare Handlungsanweisungen zur Umsetzung der Regelungen. Dadurch kann Datenschutz innerhalb der Organisation effektiv umgesetzt werden, insbesondere dann, wenn die Vorgaben technisch nicht erzwungen werden können und die Organisation dadurch auf das umsichtige Handeln jedes einzelnen Mitarbeiters angewiesen ist. Datenschutzrichtlinien und deren Umsetzung sind also wesentlich zur Einhaltung von datenschutzrechtlichen Vorgaben.

Datenschutzrichtlinien müssen stets individuell auf die Organisation zugeschnitten werden. In Richtlinien können alle denkbaren Sachverhalte geregelt werden. Gängige Richtlinien sind beispielsweise Passwortrichtlinien, Richtlinien zum Umgang mit Endgeräten, Clean Desk Policies, Leitfäden zum Umgang mit Betroffenenrechten oder Leitfäden zum Umgang mit Datenschutzverletzungen.

Warum ist es so wichtig, die Umsetzung von Datenschutzrichtlinien zu überprüfen?

Sie haben beim Lesen der oben genannten Richtlinien vielleicht gedanklich eine Checkliste abgehakt und festgestellt, dass Sie diese Richtlinien intern bereits erarbeitet und verabschiedet haben. Das ist schon mal gut. Nun aber die Frage: Ist auch sichergestellt, dass die Mitarbeiter und Mitarbeiterinnen die Richtlinien kennen und umsetzen?

An dieser Stelle werden Sie vielleicht nachdenklich. Erfahrungsgemäß ist in vielen Organisationen die Antwort häufig „Nein“ oder höchstens „Teilweise“. Oft sind Organisationen nicht davon überzeugt, dass die mühsam erarbeiteten und verabschiedeten Richtlinien tatsächlich ihre beabsichtigte Wirkung entfalten. Die Regelungen sind Mitarbeitern oft gar nicht präsent oder es wird unabhängig von dokumentierten Richtlinien auf den „gelebten Prozess“ verwiesen. Das führt dazu, dass Mitarbeiter die Vorgaben (i.d.R. unwissentlich) umgehen und dadurch wichtige Sicherheitsmaßnahmen unterschritten werden. Dabei sind Regelungen und Vorgaben ja gerade dazu da, um eingehalten, und nicht gebrochen, zu werden. Wenn die Wirksamkeit einer Maßnahme, also die Wirksamkeit von Datenschutzrichtlinien, nicht sichergestellt ist, ist die Richtlinie nicht das Papier wert, auf dem Sie steht. Vielmehr drohen Bußgelder, wenn Datenschutzverstöße entstehen, weil Datenschutzrichtlinien nicht umgesetzt werden.

Wie stellen Sie die die Wirksamkeit von Datenschutzrichtlinien sicher?

Logisch ist, dass Datenschutzrichtlinien grundsätzlich nur dann wirksam sein können, wenn sie den Mitarbeitern und Mitarbeiterinnen bekannt sind. Allerdings sollten es Organisationen vermeiden, Richtlinien lediglich im Intranet zu veröffentlichen und per E-Mail darum zu bitten, die Richtlinie zu lesen. Im Arbeitsalltag ist eine solche Information eine von vielen, außerdem benötigt man zum Lesen der Richtlinie Zeit. Es ist sehr wahrscheinlich, dass die Information in den Weiten des Intranets oder des E-Mail-Postfaches untergeht.

Selbst wenn jemand die Richtlinie aufmerksam durchliest, ist die Wirksamkeit dadurch nicht zwingend sichergestellt. Das kann viele Gründe haben:

  • Die Richtlinie bleibt nicht nachhaltig in den Köpfen.
  • Sie ist zu kompliziert geschrieben oder widersprüchlich.
  • Die Mitarbeiterin entwickelt kein Verständnis für die Maßnahmen und sieht keinen Sinn darin, die Vorgaben einzuhalten.

Das reine Veröffentlichen einer Datenschutzrichtlinie und die Aufforderung zum selbstständigen Durcharbeiten ist daher häufig keine geeignete Maßnahme, die Wirksamkeit sicherzustellen. Für das Sicherstellen der Wirksamkeit sind folgende Maßnahmen sinnvoll:

  1. Sensibilisieren, um die Wirksamkeit von Datenschutzrichtlinien zu erhöhen

Neben der reinen Veröffentlichung und der Aufforderung zum selbstständigen Lesen von verabschiedeten Richtlinien, ist es empfehlenswert, zusätzliche Sensibilisierungsmaßnahmen zu ergreifen. In speziellen Schulungen können Sinn und Zweck einer Richtlinie sowie die konkreten Vorgaben ausführlich erläutert werden. Das hat den Vorteil, dass Mitarbeiter und Mitarbeiterinnen Verständnisfragen dazu direkt ansprechen können.

Bei der Sensibilisierung sollte darauf hingewirkt werden, dass Beschäftigte nicht nur ein Verständnis für die Motivation der Organisation für den Regelungsbedarf entwickeln, sondern auch zu der Überzeugung gelangen, dass die Vorgaben und Regelungen sinnvoll sind. Wenn Mitarbeiter und Mitarbeiterinnen verstehen, warum etwas zu tun oder zu lassen ist und hiervon auch überzeugt sind, dann fällt es ihnen leichter, sich an Datenschutzrichtlinien zu halten. Organisationen reduzieren dadurch das Risiko, dass Beschäftigte die Vorgaben – dann womöglich auch bewusst – umgehen.

  1. Überprüfung

Nachdem die Richtlinien ausgerollt und implementiert sind und innerhalb der Organisation ein hoher Sensibilisierungsgrad herrscht, sollten Organisationen überprüfen, ob die Maßnahmen gefruchtet haben. In speziellen Datenschutzaudits kann in Interviews verifiziert werden, ob die Beschäftigten die Richtlinien kennen, verstanden haben und umsetzen.

Je nach Gegenstand der Richtlinie können auch Notfallübungen sinnvoll sein. Um zu überprüfen, ob beispielsweise der Prozess zum Umgang mit Betroffenenanfragen oder Datenschutzverletzungen funktioniert, könnten z.B. ein Auskunftsanspruch oder eine Datenpanne simuliert werden.

  1. Kontinuierliche Verbesserung

Nach der Überprüfung sollten Organisationen auswerten, ob die Datenschutzrichtlinie wirksam ist oder nicht. Je nach Ergebnis der Auswertungen müssen Organisationen dann die Ursachen erforschen und entsprechende Maßnahmen zur kontinuierlichen Verbesserung ableiten und umsetzen.

  1. Wiederholung

Das Sicherstellen der Wirksamkeit von Datenschutzrichtlinien ist ein fortlaufender Kreislauf. Wie in jedem Management-Zyklus sollten Organisationen die Maßnahmen zur Sensibilisierung stets wiederholen und die Wirksamkeit der Maßnahmen regelmäßig überprüfen und verbessern (PDCA-Zyklus).

Fazit: Datenschutzrichtlinien sind nur wirksam, wenn Organisationen dazu sensibilisieren, sie prüfen, sie verbessern und dies regelmäßig wiederholen

Datenschutzrichtlinien sind wesentliche organisatorische Maßnahmen, um Datenschutz innerhalb einer Organisation zu gewährleisten. Dabei ist es jedoch essentiell, dass die Wirksamkeit von Datenschutzrichtlinien sichergestellt ist. Es reicht nicht aus, die Richtlinien einfach nur zu verabschieden und zu veröffentlichen. Stellen Sie sicher, dass die Beschäftigten die Richtlinien auch umsetzen. Hierfür sollten sie darüber sensibilisieren, sie regelmäßig überprüfen, sie verbessern und diesen Zyklus regelmäßig wiederholen.

Sie benötigen die Unterstützung eines erfahrenen Datenschutzberaters, um die Wirksamkeit Ihrer Datenschutzrichtlinien sicherzustellen? Dann kontaktieren Sie uns, wir unterstützen Sie gerne.

von Bastian Maute

Bildquelle:

Hinweis: Personenbezüge in männlicher Form schließen alle Geschlechter mit ein. Die Lesbarkeit soll durch die Verwendung der männlichen Form erleichtert werden.

Sie interessieren sich für weitere unserer Blogbeiträge? Abonnieren Sie unseren Newsletter, dann informieren wir Sie automatisch über neue Beiträge.

*Pflichtangabe

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert