Database Reference
In-Depth Information
Geschäftsleitung beschlossenen Datenschutzziele in Form einer Selbstverpflichtung.
In den meisten Fällen richtet sich die Policy zudem an die Beschäftigten, um ihnen
die Datenschutzziele zu kommunizieren. Global agierende Unternehmen sollten in
solchen Fällen entsprechende Übersetzungen vornehmen. Nichtsdestotrotz kann der
Adressatenkreis auch auf externe Stellen erweitert werden, etwa durch eine zusätzliche,
um Betriebsinterna gekürzte Version:
- ADV-Dienstleister können als Adressaten in Frage kommen. Denn es ist nur kon-
sequent, wenn auch diese in ihrer Tätigkeit für das Unternehmen mindestens die
gleichen Datenschutzziele umzusetzen bereit sind, wie das Unternehmen als verant-
wortliche Stelle selbst. Dementsprechend kann eine rechtlich abgesicherte Version
als Vertragsbestandteil im Auftragsgeschäft angewandt werden oder zumindest
wichtige Eingaben für entsprechende AGB liefern.
- Auch Kunden und Betroffenen gegenüber können die Datenschutzziele kommuni-
ziert werden. Damit kann die Datenschutz-Policy als Werbeinstrument eingesetzt
werden. Dies funktioniert umso erfolgreicher, je glaubwürdiger und ambitio-
nierter die gesetzten Ziele sind. Hierbei sollte jedoch berücksichtigt werden,
dass der werbende Einsatz einer scheinbar unverbindlichen „Selbstverpflichtung“
in bestimmten Rechtssystemen, wie etwa den USA, den unternehmensexternen
Adressaten einklagbare Ansprüche einräumen kann.
Die Datenschutz-Policy ist entgegen der häufig synonymen Begriffsverwen-
dung nicht zu verwechseln mit der Datenschutzerklärung nach
§
13 TMG,
die auf dem Internetauftritt des Unternehmens zu finden sein sollte. Letzte-
re bezieht sich nur auf die datenschutzrechtlichen Aspekte des Internetauftritts
selbst, während die Policy die Selbstverpflichtung des Unternehmens und so-
mit zugleich ein strategisches Instrument darstellt. Entsprechend sollte die
Datenschutz-Policy zu dieser Datenschutzerklärung abgegrenzt werden, sofern
eine Veröffentlichung im Internet angestrebt wird.
Eine Policy könnte demnach folgende Struktur aufweisen:
•
Kurzbeschreibung der Policy (Selbstverpflichtung zur Umsetzung der Datenschutzzie-
le)
•
Einführung / Motivation
•
Anwendungsbereich
•
Benennung der wichtigsten, einschlägigen Gesetze und sonstiger Grundlagen für die
Ableitung der Datenschutzziele
•
Datenschutzziele des Unternehmens
•
Governance Model
•
Verweis auf das DSMS als operative Umsetzung der Policy
• Konsequenzen bei Verstößen
•
Dokumentenlenkung: Eigentümer, Revisionszyklen, Definitionen etc.
Search WWH ::
Custom Search