Menü
Sie wissen Bescheid in Sachen Datenschutz und können sich jederzeit auf Ihre grauen Zellen verlassen? Das ist gut! Aber wie sieht es bei Ihren Beschäftigten aus und was wäre, wenn Sie ausfallen und jemand vertretungsweise Ihre Aufgaben übernehmen müsste?
Grundlage einer verlässlichen Umsetzung des Datenschutzes sind nicht nur Schulungen und die Organisation von Abläufen. Es kommt insbesondere darauf an, dass die Informationen im Unternehmen zugänglich sind. So können Sie gewährleisten, dass die für das Unternehmen aktuell geltenden Vorgaben zum Datenschutz abgerufen und umgesetzt werden können.
Hierzu sollten Sie sogenannte Unternehmensrichtlinien oder Arbeitsanweisungen erstellen, welche die Vorgaben der Geschäftsleitung in Sachen Datenschutz für das Unternehmen wiedergeben und verbindlich regeln.
Jein. Eine gesetzliche Verpflichtung zum Erlass von konkreten Unternehmensrichtlinien besteht nicht.
Jedoch dienen Unternehmensrichtlinien dazu, den Datenschutz im Unternehmen angemessen zu organisieren und zu fördern. Sie sind Bestandteil der technischen und organisatorischen Maßnahmen und tragen dazu bei, die gesetzlich verankerte Rechenschaftspflicht über die Einhaltung des Datenschutzes zu erfüllen.
Weiterer Vorteil: Ihre Beschäftigten arbeiten nun nicht mehr im „Blindflug“ mit schützenswerten Daten. Sollten Beschäftigte die Vorgaben gleichwohl nicht beachten, können diese ggf. abgemahnt werden. Im Fall eines Datenschutzverstoßes kann das Unternehmen zudem im Rahmen der Schuldfrage auf diese Maßnahmen verweisen. Sie können sogar zur Folge haben, dass Bußgelder ausgeschlossen oder gemindert werden.
Die Organisationshoheit in Sachen Datenschutz liegt in den Händen der Unternehmensleitung. Diese entscheidet, welche Vorgaben die Beschäftigten beachten müssen, wenn sie mit (personenbezogenen) Daten umgehen. Die Vorgaben werden in einer Unternehmensrichtlinie festgelegt und von der Unternehmensleitung für verbindlich erklärt. Anschließend erfahren die Beschäftigten von der Unternehmensrichtlinie. Wenn sie diese kennen, sind die Mitarbeitenden grundsätzlich in der Lage, sie zu befolgen und den Datenschutz zu erfüllen. Flankierend zur Einführung der Richtlinie(n) bieten sich Schulungen an, in denen die textlich festgelegten Vorgaben anhand von Beispielen und Übungen mit Leben gefüllt werden können.
Der Adressatenkreis einer Richtlinie sind die Beschäftigten des eigenen Unternehmens. Daher sollten die von den Beschäftigten zu beachtenden Anforderungen
Die Richtlinien adressieren die Beschäftigten. Im Mittelpunkt stehen also die Datenschutzthemen im Unternehmen, die die Beschäftigten betreffen bzw. die relevant sind, um die Arbeitsaufgaben zu erfüllen. Das können nicht nur allgemeine Themen sein, die alle Beschäftigten gleichermaßen angehen, sondern auch Spezialthemen, die nur für eine Abteilung wichtig sind.
Gängige Themen, zu denen eine Richtlinie Vorgaben an die Beschäftigten machen kann, sind folgende:
Eine allgemeine Richtlinie enthält allgemeine datenschutzbezogene Arbeitsanweisungen für die Beschäftigten, wie weisungsgebundenes Arbeiten, Datengeheimnis, Bild-, Video- und Audioaufnahmen im Unternehmen, Umgang mit Betroffenenrechten, Umgang mit Datenschutzverletzung, Zusammenarbeit mit Dritten (Dienstleistern), Beachtung von Informationspflichten, Datenschutzfolgeabschätzungen, Archivieren und Löschen.
Alle Beschäftigten sollten bei Aufnahme ihrer Tätigkeit zu den datenschutzrechtlichen Anforderungen nach der DSGVO unterrrichtet und auf die Einhaltung der Vertraulichkeit verpflichtet werden. Ebenso sind Personen, die nicht als Mitarbeitende beschäftigt werden, sondern über Dienstverträge u. Ä. in die Arbeitsabläufe im Unternehmen einbezogen sind, auf das Datengeheimnis zu verpflichten. Dies betrifft z. B. Reinigungskräfte, Leiharbeitnehmer, Wartungskräfte. Bei Verstößen drohen arbeitsrechtliche Konsequenzen und ggf. Geld- oder Freiheitsstrafen.
Mit Verpflichtung erfolgt eine Belehrung über die sich ergebenden datenschutzrechtlichen Pflichten samt Informationen, was bei der täglichen Arbeit im Umgang mit Daten zu beachten ist.
Im Rahmen der allgegenwärtigen digitalen Kommunikation mit Austausch von personenbezogenen Daten besteht ständig die Gefahr von Datenschutzverletzungen. Mal geht eine E-Mail versehentlich an den falschen Empfänger. Mal führt ein Klick auf einen Link oder Anhang, der Ransomware enthält, zur kompletten erpresserischen Lahmlegung des IT-Systems. Arbeitsanweisungen zum verantwortungsvollen Umgang mit digitalen Kommunikationsmitteln bieten sich hier als vorbeugendes Mittel an.
Das moderne Arbeitsleben ist von Mobilität geprägt. Nicht selten sind Menschen in Zügen zu sehen, die nicht versonnen aus dem Fenster schauen oder in einen Roman versunken sind, sondern mit Laptop und Headset ihrer Arbeit nachgehen. Hierfür ist es sinnvoll, Verhaltensregeln aufzustellen, da gerade auf Reisen ein höheres Risiko für Datenverlust und unberechtigten Zugriff besteht.
Die Arbeit im Homeoffice stellt spätestens seit der Corona-Pandemie einen wichtigen Bestandteil im Arbeitsleben vieler Beschäftigter dar. Die Arbeitswelt wird zunehmend mobil und ist vom Einsatz mobiler Endgeräte geprägt. Es empfiehlt sich daher, diesen geänderten Anforderungen durch eine unternehmensinterne Richtlinie gerecht zu werden. Inhalte können insbesondere sein:
Nicht jeder Arbeitgeber stellt seinen Beschäftigten Laptop, Smartphone & Co. zur Verfügung. Oft kommen auch eigene Geräte der Mitarbeitenden zum Einsatz. Eine Richtlinie stellt hier die Rahmenbedingungen zur Nutzung eigener Geräte auf.
Moderne Technik ermöglicht es, zu erschwinglichen Preisen das Firmengelände mittels Überwachungstechnik abzusichern. Auch gibt es neuartige technische Möglichkeiten, die Beschäftigten oder deren Arbeit zu kartografieren, auszuwerten und letztlich zu überwachen.
Hierzu sollten entsprechende Regeln aufgestellt werden, um Klarheit und Rechtssicherheit zu schaffen.