Database Reference
In-Depth Information
•
Jede Policy muss ihren
Anwendungsbereich
klar beschreiben. Der Anwendungsbe-
reich der Policy muss nicht mit dem DSMS-Anwendungsbereich (Abschn. 4.2.1.2.5)
übereinstimmen. Letzterer ist regelmäßig enger gefasst und soll lediglich die risikobe-
hafteten Prozesse listen, während eine Datenschutz-Policy üblicherweise das gesamte
Unternehmen oder einen Großteil davon erfasst. Eine Anwendung jeweils eigener
Policies für einzelne Unternehmensbereiche, etwa bei sehr unterschiedlichen legis-
latorischen Anforderungen, ist generell kritisch zu bewerten: Es besteht die Gefahr,
dass durch die unterschiedlichen Mindeststandards der einzelnen Policies ein unnötig
hoher Koordinationsaufwand erzeugt wird. Was beispielsweise in einer Tochtergesell-
schaft möglich ist, ist in der anderen aufgrund einer anderen Policy untersagt. Diese
Differenzierung sollte nicht auf Policy-Ebene, sondern vielmehr über eigene Richt-
linien mit unterschiedlichen Adressatenkreisen gelöst werden. Auch zeigt sich hier,
wie wichtig die Ermittlung eines geeigneten Leading Law ist: Sofern dieses eine gewisse
Strenge aufweist, lässt damit regelmäßig ein großer Anwendungsbereich für eine an den
gesetzlichen Zielsetzungen ausgerichtete Policy festsetzen. Zudem verlangen die Anfor-
derungen an moderne IT-Systeme und die damit einhergehenden immer komplexeren
Datenströme gleichwohl eine Harmonisierung, da das europäische Datenschutzrecht
ein unternehmensweites Mindestniveau für Datenübermittlungen einfordert. Deshalb
ist eine einzige Datenschutz-Policy sinnvoller. Die wenigen Ausnahmen, in denen
Spezialgesetze strengere Anforderungen als diese Universal-Policy aufstellen, können
über eine entsprechende Klausel, nach der strengeres Recht immer Vorrang genießt,
abgedeckt werden.
•
Ein weiterer wichtiger inhaltlicher Punkt der Policy ist, dass sie das ermittelte
Go-
vernance Model (Abschn. 5.2.1.2) festschreibt
und so die Verantwortlichkeiten zu
den festgelegten Zielen gleich mitliefert. Etwaige interne Widerstände bezüglich die-
ser Zuweisung werden durch die Policy endgültig überwunden, da eine von der
Geschäftsleitung verabschiedete Policy von allen Managern berücksichtigt werden
muss.
•
Jede Policy benötigt einen
Eigentümer
, welcher deren Inhalte kommuniziert sowie
sich für deren Durchsetzung und regelmäßige Revision verantwortlich zeichnet. Dies
kann der Verantwortliche für den Datenschutz oder ein Mitglied der Geschäftsleitung
sein, da der Eigentümer in größeren Unternehmen die Kompetenz und die Ressourcen
benötigt, die Überwachung der Umsetzung der Policy an das entsprechende Personal
vor Ort zu delegieren.
•
Da die Policy die Datenschutzziele des Unternehmens festschreibt und diese sich meist
aus den einschlägigen Gesetzen ableiten, kann ein Hinweis auf diese
Gesetze
die Ein-
ordnung der Datenschutzziele erleichtern, da nicht alle Adressaten der Policy in die
Zielfindungmiteinbezogenwordensind. DieseKlarstellungsfunktion, warumdiePolicy
bestimmte Vorgaben enthält, unterstützt ihre Akzeptanz bei den Mitarbeitern.
•
Die Policy kann zudem Hinweise auf
Konsequenzen bei Verstößen
enthalten.
•
Der
Adressatenkreis
der Policy sollte bestimmt werden. Wie bereits erwähnt, dient die
Policy in erster Linie internen Zwecken und damit primär der Fixierung der von der
Search WWH ::
Custom Search