Kurzbeschreibung
Muster aus: av.1670 AnwaltFormulare, Heidel-Pauly, 10. Aufl. 2021 (Deutscher Anwaltverlag)
Muster 12.1: Richtlinie zum Datenschutz
Organisationsanweisung Datenschutz
der _____ [Firma, Rechtsform]
Adressat: _____
Datum: _____
Datenschutzrichtlinie der _____ – Organisationsanweisung Datenschutz
Änderungshistorie
Version |
Verfasser |
Änderungen |
Datum |
0.1 |
Autor (1) |
Initiale Erstellung |
_____ |
0.2 |
Autor (2) |
Review/Überarbeitung |
_____ |
0.3 |
Autor (3) |
Weitere Überarbeitung |
_____ |
1.0 |
Geschäftsführung |
Beschlussfassung |
_____ |
Diese Datenschutzrichtlinie (Organisationsanweisung) regelt den Umgang mit personenbezogenen Daten der _____ (künftig: _____). Sie behält so lange Gültigkeit, bis sie durch eine Datenschutzrichtlinie jüngeren Datums ersetzt oder ergänzt wird.
I. Zum Umgang mit personenbezogenen Daten bei _____
Die Verarbeitung von personenbezogenen Daten ist integraler Bestandteil der betrieblichen Abläufe innerhalb der _____. Risiken für einen Missbrauch von personenbezogenen Daten oder eine datenschutzrechtlich unzulässige Verwendung der Daten sind daher weitestgehend zu minimieren.
II. Ziel dieser Organisationsanweisung
Der datenschutzkonforme Umgang mit Daten von _____ [Kunden und Geschäftspartnern] stellt einen wichtigen Wettbewerbsfaktor dar und trägt somit in großem Umfang zur Wertschöpfung bei. Der gebotene Schutz dieser Daten vor einer missbräuchlichen oder unzulässigen Verwendung kann neben entsprechenden technischen Schutzmaßnahmen nur durch einen sorgsamen Umgang mit den Daten durch alle Mitarbeiter von _____ gewährleistet werden.
Ziel dieser Datenschutzrichtlinie ist es, unter Berücksichtigung der gesetzlichen Datenschutzbestimmungen, einen einheitlichen und angemessenen Datenschutzstandard für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Kunden, Geschäftspartnern sowie Mitarbeitern zu erreichen.
Ergänzend zu dieser Organisationsanweisung können Arbeitsanweisungen erlassen werden, die im Detail die Umsetzung des Datenschutzrechts vorgeben und zugleich aufzeigen, wie die Einhaltung der Arbeitsanweisung geprüft wird.
III. Geltungsbereich der Regelung – Rechtsverbindlichkeit
Diese Organisationsanweisung gilt für die Verarbeitung personenbezogener Daten durch Mitarbeiter im gesamten Unternehmen _____. Die hier festgelegten Regelungen richten sich insbesondere an die Führungskräfte des Unternehmens. Definitionen zu den in der Organisationsanweisung verwendeten Begrifflichkeiten finden sich am Ende der Datenschutzrichtlinie.
Diese Datenschutzrichtlinie tritt mit ihrer Verabschiedung durch die Geschäftsführung und mit ihrer internen Veröffentlichung in Kraft.
IV. Grundsätze für die Verarbeitung von personenbezogenen Daten
Zum Schutz der Privatsphäre und von personenbezogenen Daten bestehen diverse gesetzliche Regelungen. Am 25.5.2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten und seit dem 25.5.2018 unmittelbar anzuwenden. Ergänzende Vorgaben zum Umgang mit personenbezogenen Daten finden sich insbesondere noch im BDSG. Diese gesetzlichen Vorgaben wollen Rechtmäßigkeit und Sicherheit der Verarbeitung von personenbezogenen Daten sicherstellen.
Folgende Grundsätze, deren konkrete Umsetzung nachfolgend erläutert wird, sind bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu berücksichtigen:
1. |
Bei der Datenverarbeitung müssen die Persönlichkeitsrechte der Betroffenen gewahrt werden. |
2. |
Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Bestimmung in einem Gesetz dies erlaubt oder wenn der Betroffene eingewilligt hat. |
3. |
Personenbezogene Daten dürfen nur im jeweils erforderlichen Umfang für die Zwecke verarbeitet werden, für die sie ursprünglich erhoben worden sind und auf die sich die Erlaubnisnorm oder die Einwilligung erstreckt. Eine Zweckänderung ist nur in dem gesetzlich vorgesehenen Umfang zulässig und entsprechend zu begründen. |
4. |
Widerspricht ein Betroffener der Nutzung seiner personenbezogenen Daten zu Marketingzwecken, dürfen die Daten für diese Zwecke nicht mehr verwendet werden und sind umgehend zu löschen bzw. zu sperren. |
5. |
Personenbezogene Daten sollen richtig und auf dem aktuellen Stand gespeichert werden. Es sind angemessene Maßnahmen zu treffen, so dass unzutreffende oder unvollständige Daten gelöscht oder berichtigt werden. |
6. |
Zugriff auf personenbezogene Daten dürfen nur Mitarbeiter haben, in deren Tätigkeitsbereich der Umgang mit diesen personenbezogenen Daten fällt. Die jeweilige Zugriffsberechtigung ist nach Art und Umfang des jeweiligen Tätigkeitsfeldes zu begrenzen. |
7. |
Daten, die für die ursprünglich vorgesehenen Geschäftszwecke nicht mehr benötigt werden, sind zu löschen. Sofern die Daten aufgrund gesetzlicher Aufbewahrungspflichten (beispielsweise aus dem Handels- oder Steuerrecht) nicht gelöscht werden dürfen, sind sie zu sperren. |
8. |
Bei der Verarbeitung von personenbezogenen Daten müssen Integrität und Vertraulichkeit gewahrt werden. Insbesondere sind Vorkehrungen zu treffen, um eine unbefugte oder unrechtmäßige Datenverarbeitung zu unterb... |