Datenschutz- und Datenschutzrichtlinie

Die Datenschutz- und Datenschutzrichtlinie (P17) legt ein umfassendes Rahmenwerk für den Schutz personenbezogener Daten und die Umsetzung von Privacy-by-Design-Prinzipien in der gesamten Organisation fest. Diese Richtlinie etabliert die verbindlichen organisatorischen und technischen Anforderungen, die erforderlich sind, um internationale Normen und sich weiterentwickelnde regulatorische Rahmenwerke einzuhalten, und stellt sicher, dass personenbezogene Daten während ihres gesamten Lebenszyklus rechtmäßig, sicher und transparent verarbeitet werden. Der Geltungsbereich erstreckt sich auf alle Organisationseinheiten, sämtliches Personal und Systeme, die personenbezogene Daten verarbeiten – unabhängig davon, ob auf physischen oder digitalen Medien – und umfasst Cloud-Dienste, SaaS-Plattformen und mobile Geräte. Die Richtlinie ist in ihrem Anwendungsbereich ausdrücklich und stellt klar, dass alle Mitarbeitenden, Auftragnehmer und Dritte ihren Anforderungen unterliegen. Alle Umgebungen, in denen personenbezogene Daten gespeichert sind – Produktion, Entwicklung, Test oder Backup – sind eingeschlossen. Die Richtlinie behandelt nicht nur die Erhebung, Speicherung und Nutzung personenbezogener Daten, sondern auch Aufbewahrung, Entsorgung, grenzüberschreitende Übermittlungen sowie die Bearbeitung von Rechten der betroffenen Personen. Ein zentrales Ziel der Richtlinie ist die Einhaltung führender Vorschriften und Normen: DSGVO (Artikel 5, 6, 12–23, 25, 28, 30, 32–34; Erwägungsgrund 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (Klauseln 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (Maßnahmen 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (verschiedene Kontrollen) und COBIT 2019 (APO12, DSS01, DSS05, MEA). Zu diesem Zweck schreibt sie die Zuweisung von Rollen und Rechenschaftsstrukturen vor: Die Geschäftsleitung stellt die strategische Aufsicht sicher; der DPO koordiniert Compliance-Prozesse, die Durchsetzung der Rechte der betroffenen Personen und die Interaktion mit Aufsichtsbehörden; und Sicherheit, Recht, Data Owners und IT setzen gemeinsam technische und organisatorische Schutzmaßnahmen um, pflegen Register und managen Datenschutzverletzungen. Die Richtlinie verlangt ein formales Privacy Governance Framework, das zur konsistenten Durchsetzung in das Informationssicherheits-Managementsystem (ISMS) der Organisation integriert ist. Sie definiert Prozesse zur Pflege von Datenschutz-Risikoregistern, zur Durchführung von DPIAs bei risikoreicher Verarbeitung und zur Sicherstellung, dass Datenschutzkontrollen (von Datenminimierung und Pseudonymisierung bis hin zu Aufbewahrungsplanung und sicherer Entsorgung) tief verankert sind. Rechtmäßige Informationsverarbeitung und dokumentierte Rechtsgrundlagen sind grundlegend, einschließlich expliziter Steuerung von Einwilligungen, Dateninventaren und grenzüberschreitenden Datenflüssen. Anfragen betroffener Personen werden innerhalb festgelegter Fristen bearbeitet und zur Nachvollziehbarkeit protokolliert; zudem werden robuste Rahmenwerke für Breach-Management, Ausnahmebehandlung und Aufsicht über Dritte detailliert beschrieben. Regelmäßige Überprüfungen, Audit-Trails sowie die Anforderung jährlicher (oder ad hoc) interner Audits stellen sicher, dass die Richtlinie wirksam bleibt und auf regulatorische Änderungen, Auditfeststellungen oder schwerwiegende Vorfälle reagiert. Jede wesentliche Aktualisierung muss von der Geschäftsleitung genehmigt und im ISMS dokumentiert werden. Diese Richtlinie ist ein integraler Bestandteil des umfassenderen Informationssicherheits- und Risikomanagementsystems der Organisation und ist eng mit ergänzenden Richtlinien zu Incident-Response, Risikomanagement, Klassifizierung, Aufbewahrung, Datenmaskierung und Audit-Überwachung verknüpft.