Datenschutzweisung: Praktischer Leitfaden zur Erstellung

Warum eine Datenschutzweisung erstellen?

Eine Datenschutzweisung ist ein internes Regelwerk, das den Umgang mit Personendaten im Unternehmen verbindlich festlegt. Sie schützt nicht nur die Betroffenen, sondern auch das Unternehmen selbst. Die Missachtung der DSG-Vorgaben kann disziplinarische, zivil- und strafrechtliche Folgen haben. Mit einer klaren Weisung schaffen Sie Rechtssicherheit und demonstrieren gleichzeitig Ihre Compliance-Bemühungen.

Das DSG enthält keine explizite Verpflichtung eine Datenschutzweisung zu erstellen, enthält aber verschiedene Regelungen, deren Verletzung mit einer Weisung begegnet werden kann. Ein Beispiel: Der Grundsatz der Zweckbindung einer Bearbeitung verlangt, dass ein solcher Zweck durch eine Person beim Verantwortlichen definiert wird. Die Datenschutzweisung kann sodann definieren, wie die internen Verantwortlichkeiten festgelegt sind. 

Kernelemente einer Datenschutzweisung

Gerade für KMU ist es wichtig, dass eine Datenschutzweisung an die Zielgruppe, nämlich die eigenen Mitarbeitenden, angepasst wird. Umfang, Sprache und Inhalt sollten so gestaltet sein, dass die Weisung gelesen und verstanden wird. Die nachfolgenden Kernelemente sollten in jeder Datenschutzweisung beinhaltet sein:

• Festgelegte Verantwortlichkeiten
• Definition Datenschutzorganisation
• Grundsätzlicher Umgang mit Personendaten
• Beschreibung oder Verweis für Meldung von Verletzungen

Klare Verantwortlichkeiten zuweisen

Für jede einzelne durch das Unternehmen durchgeführte Datenbearbeitung muss eine verantwortliche Person benannt werden. Dies ist typischerweise der "Business-Owner" der betreffenden Aktivität – beispielsweise der HR-Leiter für Personaldaten. Diese Person trägt die Verantwortung für die Einhaltung der Datenschutzvorschriften in ihrem Bereich. Dies bedeutet auch, dass diese Person sicherzustellen hat, dass die intern vorhandenen Informationen zur Datenbearbeitung jeweils aktuell und korrekt sind.

Ob die verantwortliche Person namentlich erwähnt oder funktionsbezogen definiert wird, ist grundsätzlich nebensächlich. Der Vorteil die Verantwortlichkeit funktionsbezogen auszugestalten ist, dass bei einem Wechsel der verantwortlichen Person die Weisung  aktuell bleibt .

Definition der Datenschutzorganisation

Um den internen verantwortlichen Personen datenschutzrechtlich Unterstützung zur Seite zu stellen, sollte die gewählte interne Datenschutzorganisation in der Weisung skizziert werden. Die Bildung einer internen Datenschutzstelle ist in einem Unternehmen jeder Grösse vorteilhaft. Diese Datenschutzstelle, aufgrund der vorhandenen und zu machenden Erfahrungen, kann die Umsetzung überwachen und einheitlich umsetzen lassen. In kleinen KMU kann diese Datenschutzstelle mit den verantwortlichen Personen deckungsgleich sein.

Wichtig hierbei ist, dass die Befugnisse der Datenschutzstelle ebenfalls festgeschrieben werden. Die Datenschutzstelle wirkt grundsätzlich lediglich unterstützend und beratend bei der Umsetzung des Datenschutzes mit. Die definitiven Entscheidungsbefugnisse verbleiben  beim «Business-Owner» oder bei der Geschäftsleitung. In der Praxis zeigt sich oft, dass dieser Punkt in gewissen Unternehmen nicht abschliessend diskutiert wurde. Sie setzen damit Mitarbeitende, welche mit der Datenschutzstelle betraut wurden, zum Teil ungewollt einem möglichen Strafbarkeitsrisiko aus.

Regelung der Datenbearbeitung

Ihre Weisung sollte festlegen, wie Mitarbeitende mit Personendaten umgehen müssen. Dies kann bedeuten, dass die Weisung eine Einleitung bietet, was unter Personendaten verstanden wird und auch praktische Beispiele dazu gibt.

Weiter können in der Weisung grundsätzliche Massnahmen für den Schutz der Personendaten festgehalten werden. Themen, welche regelmässig festgehalten werden, sind: Speicherung und Vernichtung von Personendaten, Weitergabe an Dritte, Umfang mit Endgeräten.

Prozesse für Betroffenenrechte

Gerade Mitarbeitende mit direktem Kundenkontakt schätzen es in der Praxis, wenn die Weisung Hinweise enthält, wie mit möglichen Anliegen von betroffenen Personen umgegangen werden soll. Entweder kann die Weisung selbst detailliert sein oder es findet ein Verweis auf den entsprechenden internen Prozess statt. Im zweiten Fall dient die Datenschutzweisung sodann nur als allgemeiner Startpunkt.

Umgang mit Datensicherheitsverletzungen

Hilfreich ist regelmässig, wenn die Datenschutzweisung einen klaren Prozess für die interne Meldung von Datenschutzverletzungen beinhaltet. Die Angestellten sollten wissen, an wen und unter welchen Kontaktinformationen sie die Meldung abgeben müssen. Zudem sollten Mitarbeitende wissen, welche unmittelbaren Massnahmen zu ergreifen sind.

Dieser Meldeprozess für Datenschutzverletzungen kann entweder in der Weisung selbst detailliert beschrieben werden oder wie bereits bezüglich Betroffenenrechte ausgeführt, mit einem Verweis auf den entsprechenden Prozess. 

Ergänzende Thematiken

Nebst den vorgenannten Kernthemen werden in der Praxis oft auch die Themen Aufbewahrungsdauer, Mitarbeiterdaten oder die datenschutzrechtlichen Grundwerte eines Unternehmens thematisiert. Jedes Unternehmen ist hier frei die für sich noch anbietenden Themen in der Weisung zu ergänzen und den Mitarbeitenden als Rüstwerkzeug mitzugeben.

Schreiben, prüfen und absegnen

Für Datenschutzweisungen sind viele Vorlagen frei oder für wenig Geld verfügbar oder werden von den Datenschutzberatern im Rahmen des Umsetzungsprojekts zur Verfügung gestellt. Unternehmen müssen folglich selbständig entscheiden, mit welchem Muster sie beginnen möchten. Wichtig ist hierbei zu prüfen, dass bereits das gewählte Muster die Anforderungen bezüglich Verständlichkeit erfüllt.

Ist eine erste Version der Datenschutzweisung erstellt, bietet es sich an, diese mit den einzelnen verantwortlichen Personen zu besprechen. Dabei sollten die Fragen Verständlichkeit, Umsetzung und Vollständigkeit im Zentrum stehen. Oft zeigt sich in diesem Stadium, dass in gewissen Abteilungen die gleichen Fragen immer wieder aufkommen, welche in diesem Zeitpunkt noch in die Weisung aufgenommen werden können. Ist die Weisung wenig verständlich, so sollte diese dringend angepasst werden.

Da die für die Weisung zuständige Datenschutzstelle grundsätzlich keine Entscheidungsbefugnisse haben soll, wird die finale Weisung meist von der Geschäftsleitung genehmigt und in Kraft gesetzt. Diese Genehmigung ist auch für die verantwortlichen Personen wichtig, da die definierten Inhalte zwar verbindlich werden, gleichzeitig aber auch als Abgrenzung der Kompetenzen dienen.

Vermittlung der Weisung an Mitarbeitende

Obwohl die Weisung erstellt und von der Geschäftsleitung in Kraft gesetzt wurde, ist deren Einhaltung noch nicht garantiert. Da es sich beim Inhalt für viele Mitarbeitende oft um abstrakte Vorgaben handelt, bietet es sich in der Praxis an, die Abgabe der Weisung mit einem kleinen Workshop zu verbinden. Dies insbesondere mit den Mitarbeitenden/Abteilungen, die sich intensiv mit Personendaten auseinandersetzen.

Der Workshop soll vor allem dazu genutzt werden, mögliche Berührungsängste mit dem Thema Datenschutz auszuräumen, die interne Organisation vorzustellen und mögliche offene Fragen proaktiv anzugehen und verständlich zu klären. In meiner Beratungstätigkeit hat sich gezeigt, dass ein solches Vorgehen zu einer hohen Akzeptanz führt, weil man mit dem Thema «nicht allein gelassen wird».

Fazit

Eine durchdachte Datenschutzweisung ist kein bürokratischer Selbstzweck, sondern ein praktisches Hilfsmittel zur Einhaltung des Datenschutzgesetzes. Sie schafft Klarheit für Mitarbeitende und minimiert Risiken für Ihr Unternehmen. Mit den oben genannten Elementen und Tipps können Sie eine massgeschneiderte Weisung erstellen, die sowohl den gesetzlichen Anforderungen entspricht als auch in der Praxis funktioniert. Leider werden nie sämtliche Datenschutzverstösse dadurch verhindert werden, doch werden sich diese minimieren.

Das Wichtigste in Kürze

• Weisung unterstützt bei Umsetzung und Einhaltung des Datenschutzes
• Weisung soll die interne Organisation aufzeigen
• Weisung muss auf das Unternehmen angepasst sein
• Verteilung der Verantwortlichkeit als wichtigstes Kernelement

Praxis Tipps

1. Benutzen Sie Vorlagen als Startpunkt
2. Weisung sollte kurz, prägnant und verständlich sein
3. Verknüpfen Sie sie mit anderen Dokumenten, um die Weisung übersichtlich zu halten
4. Machen Sie die Weisung verbindlich
5. Erklären Sie die Weisung Ihren Mitarbeitenden