Database Reference
In-Depth Information
aufstellt. Mit der Datenschutz-Policy drückt die Geschäftsleitung ihre Verantwortung für
denDatenschutzausundhältdieoberstenDatenschutzzielefürdasUnternehmenfest. Ent-
sprechend ist die Wirkung der Policy zuallererst nach innen gerichtet. Mit Einführung der
Policy werden die festgelegten Datenschutzziele zu einem Teil des Unternehmensleitbildes
und müssen von allen Mitarbeitern angestrebt werden. Die Policy gibt den strategischen
Rahmen vor, welchen das DSMS operativ umzusetzen versucht. Demzufolge werden im
Rahmen des DSMS weitere Dokumente erforderlich, um diese „Übersetzung“ von Strate-
gie in Praxis konkret zu bewerkstelligen (siehe dazu auch in grafischer Darstellung: Kap.
Abschn. 5.2.4.3). Eine Policy enthält daher keine detaillierten Arbeitsschritte. Die ope-
rative Ergänzung zur Policy stellt primär das DSMS-Handbuch dar, welches auf weitere
erforderliche Dokumente verweist.
Weiterhin müssen bei der Erstellung einer Policy beachtet werden:
Die Einbeziehung der Geschäftsleitung ist an dieser Stelle besonders wichtig, da die
Policy als Leitdokument auf sie zurückfällt. Es kann sich als mühsame Aufgabe heraus-
stellen, die Geschäftsleitung von ihrer Vorbildfunktion im Datenschutz zu überzeugen,
insbesondere wenn sie in der bisherigen DSMS-Implementierung kaum Engagement
gezeigt hat. Eine nur halbherzig formulierte oder auch gar nicht verabschiedete Policy
kann sich jedoch rächen: Bekennt sich schon die Geschäftsleitung nicht ausdrücklich
zum Datenschutz, so wird es schwer, diesen im weiteren Verlauf intern an die Be-
schäftigten zu vermitteln. Die Geschäftsleitung und die Managementverantwortlichen
insgesamt müssen aktiv mit gutem Beispiel vorangehen, was sich nicht zuletzt über die
Verabschiedung der Datenschutz-Policy zeigt.
Vielfach stößt bereits die Verwendung des Begriffs einer „Policy“ auf interne
Widerstände, da mit dem Begriff zuvorderst Nachteile und Einschränkun-
gen verbunden werden. Zum einen kann dem über eine Abwandlung des
Begriffs hin zu einer „Leitlinie“, „Leitbild“ oder „Absichtserklärung“ für den Da-
tenschutz begegnet werden. Zum anderen sollte die Policy in den meisten
Fällen kein separates Dokument mehrseitiger Ausführungen sein. Es genügt
in vielen Fällen, eine knappe Ergänzung der Unternehmensleitlinie um die
Datenschutzziele vorzunehmen und hierbei die Erfahrungen aus Gesprächen
mit der Geschäftsleitung über deren Vorstellungen zum Datenschutz als Vor-
lage zu nehmen. Gerade die Einnahme einer Führungsperspektive ist bei der
Erstellung einer Datenschutz-Policy eminent wichtig. Folglich sind in einer Po-
licy keine technischen Spezifika oder Details aufzuführen, wohl aber Aspekte
der allgemeinen Kommunikationskultur im Unternehmen (bspw. eine direk-
te Ansprache der Mitarbeiter) zu berücksichtigen. Nicht zuletzt haben gerade
größere Unternehmen eigens definierte Vorgehensweisen bei der Erstellung
von Policies, die an dieser Stelle nicht vernachlässigt werden dürfen. Eine
Datenschutz-Policy sollte sich daher am bestehenden Rahmenwerk für ver-
gleichbareSelbstverpflichtungenderGeschäftsleitungorientierenundindieses
integriert werden.
Search WWH ::




Custom Search