Durchführung eines Datenschutz-Gutachtens

Datenschutz-Gutachten – eine Formalität von hohem Wert

Ein Datenschutz-Gutachten kann Unternehmen hilfreiche Dienste erweisen. Neben der rechtlichen Absicherung und der Erfüllung von gesetzmäßigen Pflichten bringen Gutachten im Datenschutz auch echte Wettbewerbsvorteile.

2021-03-08

Logo

Datenschutz-Gutachten erfüllen heutzutage gleich mehrere Funktionen: Sie können Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO) rechtzeitig aufdecken und zudem hohe Geldstrafen verhindern. Darüber hinaus vermitteln Unternehmen mithilfe eines Datenschutz-Zertifikates Glaubhaftigkeit und Seriosität. Was Sie bei einem Datenschutz-Gutachten erwartet und welche Vorteile dadurch für Ihr Unternehmen entstehen, lesen Sie hier.
 

Was ist ein Datenschutz-Gutachten?

Ein Datenschutz-Gutachten prüft, ob die gesetzlichen Vorgaben und geltenden Regeln im Datenschutz eingehalten werden. Je nach geprüftem Gegenstand können sie einen unterschiedlichen Umfang haben. Man unterscheidet allgemein folgende Prüfgegenstände von Datenschutz-Gutachten:

  • Einzelne Produkte

  • Bestimmte Prozessabläufe und Verfahren

  • Die Institution oder der Betrieb als Ganzes
     

Was für Datenschutz-Gutachten gibt es?

Grundsätzlich gibt es verpflichtende und freiwillige Gutachten im Datenschutz:
 

1. Vorabkontrolle (§ 4d Absatz 5 Bundesdatenschutzgesetz (BDSG))

Die Vorabkontrolle ist eine im alten Bundesdatenschutzgesetz festgelegte Rechtsnorm, die heute nicht mehr gültig ist. Sie wurde mit Inkrafttreten der DSGVO im Mai 2018 durch die Datenschutz-Folgenabschätzung nach Art. 35 abgelöst.

Die Vorabkontrolle überprüfte automatisierte Verfahren auf Risiken und Gefahren hinsichtlich der Verarbeitung besonderer Arten von personenbezogenen Daten. Hierzu zählen besonders sensible Informationen, wie zum Beispiel zur politischen Einstellung oder zur Herkunft von Personen. Aber auch, wenn eine Bewertung von Personen vorlag, erforderten die erhobenen Daten eine Vorabkontrolle. Ein typischer Fall für ein solches Datenschutz-Gutachten ist die Videoüberwachung. Die durch eine systematische umfangreiche Überwachung gesammelten Daten unterliegen einem besonderen Schutz und müssen vor der automatisierten Verarbeitung geprüft werden.
 

2. Datenschutz-Folgenabschätzung (Artikel 35 DSGVO)

Seit Einführung der DSGVO übernimmt diese Aufgabe die Datenschutz-Folgenabschätzung. Als erweiterte Risikoanalyse überprüft dieses Datenschutz-Gutachten die Erhebung und Verarbeitung personenbezogener Daten, wenn diese voraussichtlich mit einem hohen Risiko für die Freiheiten und Rechte natürlicher Personen einhergeht. Neben der Videoüberwachung können darunter zum Beispiel auch der Datentransfer in Länder außerhalb der EU/EWR, der Einsatz neuer Technologien oder biometrischer Verfahren sowie das Profiling und Scoring fallen.

Die Datenschutz-Folgenabschätzung enthält gemäß Art. 35 Abs. 7 DSGVO zumindest die folgenden Anforderungen:

  • Beschreibung der geplanten Verarbeitungstätigkeiten

  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge

  • Risiken für die Rechte und Freiheiten der betroffenen Personen

  • Geplante Abhilfemaßnahmen zur Bewältigung der Risiken
     

3. Freiwillige Gutachten

Aber auch ohne gesetzmäßige Verpflichtung kann ein Gutachten im Datenschutz-Sinn durchgeführt werden. Es liefert Klarheit darüber, ob ein Unternehmen die geltenden Datenschutz-Regelungen tatsächlich umsetzt. Angesichts hoher Geldstrafen bei Verstößen gegen die DSGVO ist die interne Kontrolle des Datenschutzes unerlässlich.
Freiwillige Gutachten können außerdem dazu dienen, die Vertrauenswürdigkeit eines Unternehmens in Sachen Datenschutz zu stärken.

Die DSGVO sieht hierfür in Art. 42 vor, dass langfristig gesehen akkreditierte Zertifizierungen, Datenschutzsiegel und -prüfzeichen als Endergebnis von Datenschutzaudits vergeben werden dürfen. Da solche Gutachten jedoch erst noch entwickelt und akkreditiert werden müssen, können in Deutschland bisher leider keine staatlich anerkannten Zertifikate im Hinblick auf den Datenschutz ausgestellt werden. Als Trust-Symbol wird daher bisher beispielsweise ein Datenschutzsiegel vergeben, das auf der Website oder in Broschüren des Unternehmens einen seriösen Eindruck hinterlässt. Das Datenschutzsiegel verschafft dem Unternehmen einen klaren Wettbewerbsvorteil gegenüber anderen Unternehmen, die das Thema Datenschutz weniger transparent behandeln.
 

Was wird durch ein Datenschutz-Gutachten überprüft?

Je nach Prüfgegenstand werden bei einem Datenschutz-Gutachten einzelne oder alle Produkte und Prozesse eines Unternehmens nach datenschutzrechtlichen Aspekten untersucht und dokumentiert. Hierbei spielen alle Unternehmensbereiche eine Rolle, die personenbezogene Daten verarbeiten, wie zum Beispiel die IT, Finanzen, der Vertrieb oder HR.
Der Prüfvorgang bei einem Datenschutz-Gutachten besteht unter anderem aus den folgenden Punkten:

  • Einordnung der Rechtsgrundlage für die Datenverarbeitung

  • Erfassung des Status Quo über das Bestehen von Auftragsverarbeitungsverträgen (AV), technischen und organisatorischen Maßnahmen des Unternehmens (TOM) und Mitarbeiterschulungen zum Thema Datenschutz

  • Analyse der verwendeten IT-Systeme und des Datensicherungskonzeptes

  • Gefahren- und Risikoanalyse

  • Ableitung eines Maßnahmenplans
     

Wer kann Datenschutz-Gutachten durchführen?

Ein Datenschutz-Gutachten wird in der Regel durch eine:n externe:n Sachverständige:n erstellt. Sie / er sollte zugelassen und unabhängig sein. Das stärkt die Glaubhaftigkeit und Seriosität des Gutachtens.

Als Unternehmen können Sie mit einem Datenschutz-Gutachten zwei Fliegen mit einer Klappe schlagen: Einerseits wenden Sie präventiv Abmahnungen durch die DSGVO ab, indem Sie den Datenschutz in Ihrem Unternehmen absichern. Andererseits vermitteln Sie Ihren Kund:innen glaubhaft, dass der Schutz personenbezogener Daten einen hohen Stellenwert in Ihrem Unternehmen hat. Das verschafft Ihnen einen klaren Wettbewerbsvorteil gegenüber Unternehmen ohne Datenschutz-Zertifizierung.

Autorin: Kathrin Strauß
Artikel veröffentlicht am: 08.03.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr