Datenschutz-Gutachten: Wann es erstellt werden sollte

Datenschutz-Gutachten: Wann es erstellt werden sollte

    Datenpannen, Datenverlust und Hacker-Angriffe auf Datenbanken sind keine Seltenheit. Doch sie lassen sich vermeiden. Sobald mit personenbezogenen Daten gearbeitet wird, kann ein Datenschutz-Gutachten hilfreich sein.

    Im Umgang mit Daten ist die Gesellschaft sensibel geworden. Ein Grund dafür ist die steigende Zahl der Cyberangriffe. Meldungen, wie beispielsweise der Diebstahl von Millionen Daten von Bankkunden sind keine Seltenheit. Aber auch soziale Netzwerke sind in der Vergangenheit Opfer von Datenklau geworden und haben Schwachstellen ihren Systemen.

    Öffentliche Institutionen und Unternehmen müssen mittlerweile zahlreiche Vorschriften im Umgang mit personenbezogenen Daten beachten. Nicht immer ist es leicht, den Überblick im Daten-Vorschriften-Dschungel zu behalten.

    Um Bußgelder in Millionenhöhe zu vermeiden, kann die Erstellung eines Datenschutz-Gutachtens helfen. Im Folgenden soll unter anderem auf die Vorzüge eines solchen Gutachtens eingegangen werden.

    Vorschriften zum Datenschutz im Bundesdatenschutzgesetz

    Die Vorschriften zur Erhebung und Verarbeitung personenbezogener Daten sind im  Bundesdatenschutzgesetz (BDSG) manifestiert. Das Gesetz gilt für alle öffentliche und nicht öffentliche Institutionen sowie für Wirtschaftsunternehmen.

    Der Datenschutz geht mit einem hohen bürokratischen Aufwand einher. In Großkonzernen, öffentlichen und nicht öffentlichen Institutionen gibt es in der Regel einen Datenschutzbeauftragten, der auf die Einhaltung der Vorschriften des BDSG achtet.

    In kleinen und mittelständischen Unternehmen (KMU) dagegen gestaltet sich die Situation anders. Aufgrund personeller Ressourcen und einem hohen bürokratischen Aufwand, können vor allem kleine Firmen nicht immer abschätzen, ob sie vorschriftsgemäß handeln.

    Datenschutz-Gutachten prüft regelkonforme Einhaltung des Datenschutzes

    An dieser Stelle kann ein Datenschutz-Gutachten hilfreich sein. Dieses prüft, ob die geltenden Regelungen eingehalten werden. Das Gutachten ist nicht nur für KMU, sondern auch für Großkonzerne und Behörden hilfreich.

    Vor dem Hintergrund der europäischen Datenschutzgrundverordnung (DSGVO) ist ein solches Gutachten ebenfalls sinnvoll, da die Vorschriften zur Einhaltung des Datenschutzes zum Teil nochmal verschärft wurden.

    Beispiele für ein Datenschutz-Gutachten

    Ein Datenschutz-Gutachten ist unterschiedlich im Umfang. Wichtig ist die Festlegung dessen, was einer Prüfung unterzogen werden soll. Dafür gibt es verschiedene Beispiele:

    • Der Datenschutz kann in Bezug auf einzelne Produkte begutachtet werden.
    • Einzelne Abläufe und Verfahren können im Datenschutz-Gutachten behandelt werden.
    • Die gesamte Institution oder der Betrieb können im Datenschutz-Gutachten unter die Lupe genommen werden.

    Verschiedene Formen der Datenschutz-Gutachten

    Datenschutz-Gutachten können auf verschiedene Weise ausfallen. Im Folgenden sollen diese näher vorgestellt werden.

    Vorabkontrolle

    Nach § 4 Absatz 5 BDSG ist eine Vorabkontrolle für vollautomatisierte Prozesse vorgesehen. Konkret bedeutet dies: In bestimmten Fällen muss das Datenschutz-Gutachten erstellt werden, bevor mit der Verarbeitung personenbezogener Daten begonnen wird.

    Im Rahmen der Vorabkontrolle soll das Gutachten prüfen, ob sich bei der Datenverarbeitung Risiken für die Rechte und Freiheiten der Personen ergeben, deren Daten betroffen sind.

    Die Vorabkontrolle wird auch dann durchgeführt, wenn die Persönlichkeit der Person bewertet wird. Dies schließt die Fähigkeiten und seine Leistung mit ein. Das beste Beispiel für eine Vorabkontrolle ist beispielsweise die Videoüberwachung in einem Unternehmen oder in einer Behörde.

    Wichtig: Unter besonderen Arten bei personenbezogen Daten werden sensible Informationen verstanden. Diese unterliegen einem besonderen Schutz. Angaben zu politischen Meinungen von Personen gehören beispielsweise dazu.

    Datenschutz-Folgenabschätzung

    Die DSGVO ist am 25. Mai 2018 in Kraft getreten. Im Zuge dessen haben sich auch Änderungen bei der Erstellung des Datenschutz-Gutachtens ergeben.

    Laut Artikel 35 DSGVO wird die Erstellung eines Gutachtens notwendig, um die Folgen bei der Erhebung und Verarbeitung personenbezogener Daten abschätzen zu können.

    Die Bewertung der Persönlichkeit sowie die Verwendung besonderer Arten personenbezogener Daten stehen im Fokus der Datenschutz-Folgeabschätzung. Das Gutachten enthält in diesem Fall Angaben zur Überwachung öffentlich zugänglicher Bereiche – beispielsweise durch Videoaufzeichnung.

    Freiwillige Erstellung eines Datenschutz-Gutachtens

    Sowohl Behörden und nicht öffentliche Institutionen als auch KMU und Großkonzerne sind auf der sicheren Seite, wenn sie das Datenschutz-Gutachten freiwillig und ohne Verpflichtung erstellen. Somit wird sichergestellt, dass die Bestimmungen zum Datenschutz auch vollständig eingehalten werden.

    Bei Nichteinhaltung der Vorschriften der DSGVO drohen Sanktionen von bis zu 20 Millionen Euro. Für KMU können Bußgelder in dieser Höhe den wirtschaftlichen Ruin bedeuten. Um dies zu vermeiden, sollten vor allem kleine Firmen auf die freiwillige Erstellung eines Datenschutz-Gutachtens setzen. Die Investition in die Erstellung ist gleichzeitig eine Investition in die Zukunft.

    Wichtig: Egal ob freiwillig oder verpflichtend. Das Datenschutz-Gutachten analysiert, welche Bestimmungen der DSGVO bereits umgesetzt sind und wo Handlungsbedarf entsteht. Anhand der aufgeführten Schwachstellen kann nachgebessert werden.

    Sollten Defizite vorhanden sein, kann ein Handlungsplan erstellt werden, der die Prioritäten für die Umsetzung der einzelnen Punkte festlegt. Durch das Datenschutz-Gutachten wird sichergestellt, dass das geltende Recht zum Datenschutz eingehalten wird.

    Externe Sachverständige hinzuziehen

    In der Regel erstellt ein externer Sachverständiger das Datenschutz-Gutachten. Wird dieser beauftragt, sollte dieser zertifiziert und zugelassen sein. Darüber hinaus muss ein externer Sachverständiger unabhängig sein.

    Eine Liste unabhängiger Sachverständiger bieten beispielsweise die Industrie- und Handelskammern in den Bundesländern an. Darüber hinaus können sich Institutionen und Unternehmen an den Bundesverband Deutscher Sachverständiger und Fachgutachter wenden.

    Die Erstellung eines Gutachtens durch einen Sachverständigen wird Audit genannt. Weist das Gutachten keine gravierenden Mängel in Bezug auf den Datenschutz auf, ist das Audit erfolgreich verlaufen. Das Ergebnis kann als Zertifikat dienen. Für Kunden eines Unternehmens ist es ein wichtiger Anhaltspunkt für die Vertrauenswürdigkeit und Seriosität.

    Wichtig: In Bezug auf einzelne Produkte, Dienstleistungen oder ein ganzes Unternehmen wird das Audit durchgeführt. Das Verfahren ist der Zertifizierungsprozess für den Erhalt des Zertifikats zum Datenschutz. Das Prüfverfahren wird nach einem einheitlichen Anforderungskatalog durchgeführt.

    Bislang gibt es allerdings noch kein Gesetz, dass die näheren Bedingungen für den Datenschutzaudit festlegt. Als Rechtsgrundlage wird das BDSG angewandt.

    Fazit: Datenschutz-Gutachten zur Vorbeugung schwerer Datenpannen

    Ein Datenschutz-Gutachten ist nicht verpflichtend. Es kann jedoch aus mehreren Gründen sehr sinnvoll sein. Einerseits prüft es, ob die geltenden Regelungen und Bestimmungen eingehalten werden. Andererseits macht das Gutachten auf Mängel aufmerksam, die im Zuge der Erhebung und Verarbeitung personenbezogener Daten entstehen. Ein weiterer Grund, warum ein Datenschutz-Gutachten gebraucht wird: Es wirkt präventiv. Harte Sanktionen können damit abgewiesen werden.

    Einen einhundertprozentigen Schutz vor Datenpannen bietet ein Gutachten allerdings nicht. Durch plötzliche Cyberangriffe kann es jederzeit zu einem Datenverlust oder gar zu einer Datenpanne kommen.

    Die Sicherheit in der digitalen Welt wird zwar ständig erhöht und technisch verbessert. Angriffe sind dennoch nicht ausgeschlossen. Der Schrecken ist groß, wenn Datenbanken großer Warenhäuser oder Banken gehackt werden.

    Allerdings gibt ein Datenschutz-Gutachten erste Hinweise auf Schwachstellen beim Datenschutz. Werden diese Defizite rechtzeitig ausgeglichen, können größere Datenpannen vermieden werden.