Database Reference
In-Depth Information
häufig eine exemplarische, auf den Anwendungsfall bezogene Vereinfachung der allgemei-
nen Regelungen aus den Richtlinien dar. Eine besondere Form der Richtlinie bilden sog.
Binding Corporate Rules (BCR). Sie schreiben einen angemessenen Datenschutzstandard
auf europäischem Niveau für alle beteiligten Konzerngesellschaften fest und ermöglichen
einen Datentransfer in Konzerngesellschaften mit Sitz in Drittstaaten. Die Einführung
solcher BCR ist sehr aufwendig und die rechtlichen Sonderregelungen für den Aufbau
von BCR erläutert dieser Praxisleitfaden daher nicht im Detail
16
[
17
,
18
]. Betriebsver-
einbarungen stellen ebenfalls eine Form der Richtlinie dar. Im vorherigen Unterkapitel
wurde bereits dargelegt, dass die Einführung von Richtlinien regelmäßig ein größeres Un-
terfangen bedeutet und nicht überstürzt angegangen werden sollte, gleiches gilt auch für
Arbeitsanweisungen. Die Erstellung von Richtlinien und Arbeitsanweisungen ist daher im
Besonderen ein Prozess, der sich zeitlich gesehen über einen Großteil des DSMS-PDCA
verteilt und meist nicht vollständig bis zum idealen Roll-out-Termin ausgeführt werden
kann. Dies muss berücksichtigt werden. Thematisch eignen sich viele Gebiete zum Ein-
satz der beiden Instrumente, wobei insbesondere eine Ergänzung bestehender Dokumente
um Datenschutzaspekte Sinn macht. Auszugsweise sollen hier zwei genauer beschrieben
werden:
•
Mit einer Social Media-Richtlinie kann den datenschutzrechtlichen Problemen in Be-
zug auf die Nutzung von Social Media vom Arbeitsplatz aus begegnet werden. Weitere
datenschutzverwandte Aspekte wie die telekommunikationsrechtlichen Aspekte der
privaten Nutzung oder aber auch Vorgaben aus dem Bereich der Unternehmenskom-
munikation lassen sich hier ebenfalls unterbringen.
•
Mit einer Arbeitsanweisung bezüglich des Umgangs mit Kundendaten lassen sich
z.B. für Marketingprozesse effektiv die Mitarbeiter auf die datenschutzkonformen
Verhaltensweisen in diesem Punkt hinweisen, da sich gerade dies als praktische Heraus-
forderung in der täglichen Arbeit darstellt. So können etwa zulässige Speichermedien
definiert oder ein Übermittlungsverbot an Dritte hervorgehoben werden.
5.2.4.3.3.6 Dokumentation der Check-Phase
Ebenfalls dokumentiert werden müssen die im Rahmen der Check-Phase des DSMS
stattfindenden
Audits und Management-Reviews
. Dies umspannt die Vorbereitung der
einschlägigen Evaluierungsmethode (etwa Fragebögen, Agenda des Review Meeting etc.)
aber auch das umfassende Audit-Programm (Abschn. 5.2.8.3) sowie die Audit-Checkliste
für die Durchführung (Screenshots, Gesprächsprotokolle etc.) bis hin zur Auswertung
(Audit-Reports, Protokoll des Review Meetings etc.). Da sich diese Termine jedoch
erst an die Do-Phase anschließen, können diese Dokumente auch erst in unmittelbarer
Vorbereitung darauf angefertigt werden.
16
Die Artikel-29-Datenschutzgruppe als Gremium zur Beratung der europäischen Kommission hat
für BCR zwei Arbeitspapiere entwickelt.
Search WWH ::
Custom Search