06

Klare Regeln

Im Inneren herrscht Ordnung, oder?! Erstellen Sie interne Richtlinien.

Im Inneren herrscht Ordnung, oder?! Erstellen Sie interne Richtlinien.

07 Auftragsvergabe
05 Sicherheit

Worum geht‘s?

Sie wissen Bescheid in Sachen Datenschutz und können sich jederzeit auf Ihre grauen Zellen verlassen? Das ist gut! Aber wie sieht es bei Ihren Beschäftigten aus und was wäre, wenn Sie ausfallen und jemand vertretungsweise Ihre Aufgaben übernehmen müsste?

Grundlage einer verlässlichen Umsetzung des Datenschutzes sind nicht nur Schulungen und die Organisation von Abläufen. Es kommt insbesondere darauf an, dass die Informationen im Unternehmen zugänglich sind. So können Sie gewährleisten, dass die für das Unternehmen aktuell geltenden Vorgaben zum Datenschutz abgerufen und umgesetzt werden können.

Hierzu sollten Sie sogenannte Unternehmensrichtlinien oder Arbeitsanweisungen erstellen, welche die Vorgaben der Geschäftsleitung in Sachen Datenschutz für das Unternehmen wiedergeben und verbindlich regeln.

Betreffende Artikel der DSGVO und Erwägungsgründe

  • Art. 5 Abs. 2 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten, hier: Rechenschaftspflicht
  • Art. 24 DSGVO – Verantwortung des für die Verarbeitung Verantwortlichen
  • Art. 32 Abs. 2 DSGVO – Sicherheit der Verarbeitung
  • Erwägungsgründe 39 und 74

Muss das denn sein?

Jein. Eine gesetzliche Verpflichtung zum Erlass von konkreten Unternehmensrichtlinien besteht nicht.

Jedoch dienen Unternehmensrichtlinien dazu, den Datenschutz im Unternehmen angemessen zu organisieren und zu fördern. Sie sind Bestandteil der technischen und organisatorischen Maßnahmen und tragen dazu bei, die gesetzlich verankerte Rechenschaftspflicht über die Einhaltung des Datenschutzes zu erfüllen.

Weiterer Vorteil: Ihre Beschäftigten arbeiten nun nicht mehr im „Blindflug“ mit schützenswerten Daten. Sollten Beschäftigte die Vorgaben gleichwohl nicht beachten, können diese ggf. abgemahnt werden. Im Fall eines Datenschutzverstoßes kann das Unternehmen zudem im Rahmen der Schuldfrage auf diese Maßnahmen verweisen. Sie können sogar zur Folge haben, dass Bußgelder ausgeschlossen oder gemindert werden.

Was ist zu tun?

Die Organisationshoheit in Sachen Datenschutz liegt in den Händen der Unternehmensleitung. Diese entscheidet, welche Vorgaben die Beschäftigten beachten müssen, wenn sie mit (personenbezogenen) Daten umgehen. Die Vorgaben werden in einer Unternehmensrichtlinie festgelegt und von der Unternehmensleitung für verbindlich erklärt. Anschließend erfahren die Beschäftigten von der Unternehmensrichtlinie. Wenn sie diese kennen, sind die Mitarbeitenden grundsätzlich in der Lage, sie zu befolgen und den Datenschutz zu erfüllen. Flankierend zur Einführung der Richtlinie(n) bieten sich Schulungen an, in denen die textlich festgelegten Vorgaben anhand von Beispielen und Übungen mit Leben gefüllt werden können.

Vorgehen für die Erstellung von Richtlinien

  1. Identifizieren Sie für das Unternehmen relevante Themen in Sachen Datenschutz (z.B. Home-Office, Internetnutzung)
  2. Legen Sie die Vorgaben in einer Unternehmensrichtlinie fest, die von der Unternehmensleitung verabschiedet wird.
  3. Die Unternehmensrichtlinie wird den Beschäftigten bekannt gemacht.
  4. Empfehlenswert sind regelmäßige Schulungen, um die Vorgaben zu erläutern und die Beschäftigten im Umgang damit zu schulen.
  5. Halten Sie die Richtlinien durch regelmäßige Überprüfung aktuell.

Spezialfall Betriebsvereinbarung

In arbeitsrechtlicher Hinsicht werden die Richtlinien aufgrund des Direktionsrechts des Arbeitgebers erlassen. Sollte ein Betriebsrat im Unternehmen aktiv sein, können die in der Richtlinie gemachten Vorgaben der Mitbestimmung des Betriebsrats unterliegen. In diesem Rahmen erlässt dann die Geschäftsleitung nicht einseitig eine Richtlinie, sondern vereinbart mit dem Betriebsrat eine sogenannte Betriebsvereinbarung.

Was sollte man bei der Erstellung von Richtlinien beachten?

Machen Sie sich verständlich

Der Adressatenkreis einer Richtlinie sind die Beschäftigten des eigenen Unternehmens. Daher sollten die von den Beschäftigten zu beachtenden Anforderungen

  • leicht zu erfassen sein,
  • übersichtlich aufbereitet und
  • in möglichst verständlicher Form dargeboten werden.

Regeln Sie die wichtigen Themen in Sachen Datenschutz

Die Richtlinien adressieren die Beschäftigten. Im Mittelpunkt stehen also die Datenschutzthemen im Unternehmen, die die Beschäftigten betreffen bzw. die relevant sind, um die Arbeitsaufgaben zu erfüllen. Das können nicht nur allgemeine Themen sein, die alle Beschäftigten gleichermaßen angehen, sondern auch Spezialthemen, die nur für eine Abteilung wichtig sind. 

Wie wär's mit einer Themenauswahl für Richtlinien?

Gängige Themen, zu denen eine Richtlinie Vorgaben an die Beschäftigten machen kann, sind folgende:

Allgemeine Richtlinien

Eine allgemeine Richtlinie enthält allgemeine datenschutzbezogene Arbeitsanweisungen für die Beschäftigten, wie weisungsgebundenes Arbeiten, Datengeheimnis, Bild-, Video- und Audioaufnahmen im Unternehmen, Umgang mit Betroffenenrechten, Umgang mit Datenschutzverletzung, Zusammenarbeit mit Dritten (Dienstleistern), Beachtung von Informationspflichten, Datenschutzfolgeabschätzungen, Archivieren und Löschen.

Allgemeine Verpflichtung auf die Vertraulichkeit

Alle Beschäftigten sollten bei Aufnahme ihrer Tätigkeit zu den datenschutzrechtlichen Anforderungen nach der DSGVO unterrrichtet und auf die Einhaltung der Vertraulichkeit verpflichtet werden. Ebenso sind Personen, die nicht als Mitarbeitende beschäftigt werden, sondern über Dienstverträge u. Ä. in die Arbeitsabläufe im Unternehmen einbezogen sind, auf das Datengeheimnis zu verpflichten. Dies betrifft z. B. Reinigungskräfte, Leiharbeitnehmer, Wartungskräfte. Bei Verstößen drohen arbeitsrechtliche Konsequenzen und ggf. Geld- oder Freiheitsstrafen.

Mit Verpflichtung erfolgt eine Belehrung über die sich ergebenden datenschutzrechtlichen Pflichten samt Informationen, was bei der täglichen Arbeit im Umgang mit Daten zu beachten ist.

Digitale Kommunikation, E-Mail- und Internetnutzung in der Firma

Im Rahmen der allgegenwärtigen digitalen Kommunikation mit Austausch von personenbezogenen Daten besteht ständig die Gefahr von Datenschutzverletzungen. Mal geht eine E-Mail versehentlich an den falschen Empfänger. Mal führt ein Klick auf einen Link oder Anhang, der Ransomware enthält, zur kompletten erpresserischen Lahmlegung des IT-Systems. Arbeitsanweisungen zum verantwortungsvollen Umgang mit digitalen Kommunikationsmitteln bieten sich hier als vorbeugendes Mittel an.

Mobiles Arbeiten

Das moderne Arbeitsleben ist von Mobilität geprägt. Nicht selten sind Menschen in Zügen zu sehen, die nicht versonnen aus dem Fenster schauen oder in einen Roman versunken sind, sondern mit Laptop und Headset ihrer Arbeit nachgehen. Hierfür ist es sinnvoll, Verhaltensregeln aufzustellen, da gerade auf Reisen ein höheres Risiko für Datenverlust und unberechtigten Zugriff besteht.

Arbeit im Homeoffice

Die Arbeit im Homeoffice stellt spätestens seit der Corona-Pandemie einen wichtigen Bestandteil im Arbeitsleben vieler Beschäftigter dar. Die Arbeitswelt wird zunehmend mobil und ist vom Einsatz mobiler Endgeräte geprägt. Es empfiehlt sich daher, diesen geänderten Anforderungen durch eine unternehmensinterne Richtlinie gerecht zu werden. Inhalte können insbesondere sein: 

  • ausschließliche Nutzung der vom Arbeitgeber bereitgestellten Hard- und Software,
  • Bedingungen für den Einsatz von Privatgeräten,
  • Sicherheit im häuslichen W-LAN,
  • Nutzung von VPN,
  • Verschlüsselung von Datenträgern und Geräten,
  • Vorgaben zur Speicherung,
  • Unterbindung von Kenntnisnahme oder Zugriff Dritter,
  • Verschluss von Geräten und Dokumenten.

Bring Your Own Device (BYOD)

Nicht jeder Arbeitgeber stellt seinen Beschäftigten Laptop, Smartphone & Co. zur Verfügung. Oft kommen auch eigene Geräte der Mitarbeitenden zum Einsatz. Eine Richtlinie stellt hier die Rahmenbedingungen zur Nutzung eigener Geräte auf.

(Video-)Überwachung & Co.

Moderne Technik ermöglicht es, zu erschwinglichen Preisen das Firmengelände mittels Überwachungstechnik abzusichern. Auch gibt es neuartige technische Möglichkeiten, die Beschäftigten oder deren Arbeit zu kartografieren, auszuwerten und letztlich zu überwachen.

Hierzu sollten entsprechende Regeln aufgestellt werden, um Klarheit und Rechtssicherheit zu schaffen.