I. Allgemeines 

Neben den gesetzlichen Vorgaben kann und sollte der Datenschutz auch als Qualitätsmerkmal fungieren, denn es ist oftmals schwierig auf den ersten Blick zu erkennen, ob die datenschutzrechtlichen Standards eingehalten werden.

Diese Überlegungen treten noch mehr in den Fokus, wenn die Neuerungen der Europäischen Datenschutz-Grundverordnung Anwendung finden. Es ist eine Pflicht die Rechtsanforderungen zu erfüllen, aber zusätzlich kann ein Unternehmen / eine Behörde von einer offensiven Vorgehensweise bei der Einhaltung der neuen datenschutzrechtlichen Regelungen profitieren. Grundsätzlich sollte der Kunde / Bürger abgeholt werden und die rechtliche Betrachtung verständlich kommuniziert werden.

Zudem werden die Betroffenenrechte mit einer transparenten Datenschutzkommunikation unterstützt.

II. Erste Schritte zur Datenschutz-Kommunikation

Wir möchten Ihnen hier ein paar praktische Tipps geben, wie Sie in Ihrem Unternehmen / Ihrer Behörde eine offene Datenschutz-Kommunikation unterstützen.

Die Stiftung Datenschutz gibt Handreichungen[1] und Muster[2] heraus, wie eine solche Datenschutzkommunikation erreicht werden kann. In diesem Zusammenhang wird als Hilfsmittel auch die Darstellungsform einer Tabelle gewählt, in welcher Details zur Gestaltung der Datenverarbeitung auf der Internetseite eingepflegt werden können. Es wird beispielhaft differenziert in die Verwendung im Rahmen des Opt-In-Verfahrens von Kontaktdaten, Cookies, Finanzdaten, Kaufinformationen, Aktivitäten auf der Internetseite usw. Zukünftig wird es auch erforderlich sein, dass der Datenschutzbeauftragte als Ansprechpartner benannt werden muss und die Möglichkeit einer verschlüsselten E-Mail-Kommunikation nach dem Stand der Technik vorgehalten werden sollte.

Intern bedeutet dies, dass eine aktive Kommunikation mit dem Datenschutzbeauftragten und eine frühzeitige Einbeziehung in die Planung, z.B. bei neuer Software etabliert werden muss.

Weiterhin kann auch durch die Bereitstellung von Verzeichnissen von Verarbeitungstätigkeiten, gleichwohl keine Pflicht zur Veröffentlichung besteht, eine transparente Darstellung der Datenverarbeitung erreicht werden.

Die Festlegung von unternehmensinternen Vorgaben „Code of Conduct“, also verbindlicher Selbstverpflichtungen, kann auch zu einer Verbreitung der datenschutzrechtlichen Grundlagen führen, indem die Werte und Geschäftspraktiken den Datenschutz als Bestandteil einbeziehen.

Zudem sollte in der unternehmensinternen Praxis auch in der Büroorganisation die Einhaltung des Datenschutzes erkennbar sein. Das fängt bereits mit der Einteilung in Betriebs- und Publikumsbereiche an. In dem Sinne, dass in den zugänglichen Bereichen keine Einblicke in personenbezogene Daten genommen werden können, Hinweisschilder bei einer Videoüberwachung angebracht werden und Besucherregelungen existieren.

Daneben sollten auch die Kunden, Geschäftspartner und Dienstleister zur Ausgestaltung der Neuerungen einbezogen werden und eine gemeinsamen Vorgehensweise (z.B. zur Erneuerung der datenschutzrechtlichen Vertragsgrundlagen) erarbeitet werden.

Neben der rechtlichen Notwendigkeit der Umsetzungen der Datenschutzgesetze, sollte zudem also immer auch die positive Ausstrahlung des Datenschutzes genutzt werden.

Gerne stehen wir Ihnen für Rückfragen zur Verfügung.

[1] https://stiftungdatenschutz.org/fileadmin/Redaktion/Datenschutzkommunikation/stiftungdatenschutz_ds-kommunikation_20170619_01.pdf

[2] https://stiftungdatenschutz.org/themen/datenschutzkommunikation/beispiele/