Datenschutz-Gutachten erfüllen heutzutage gleich mehrere Funktionen: Sie können Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO) rechtzeitig aufdecken und zudem hohe Geldstrafen verhindern. Darüber hinaus vermitteln Unternehmen mithilfe eines Datenschutz-Zertifikates Glaubhaftigkeit und Seriosität. Was Sie bei einem Datenschutz-Gutachten erwartet und welche Vorteile dadurch für Ihr Unternehmen entstehen, lesen Sie hier.
Was ist ein Datenschutz-Gutachten?
Ein Datenschutz-Gutachten prüft, ob die gesetzlichen Vorgaben und geltenden Regeln im Datenschutz eingehalten werden. Je nach geprüftem Gegenstand können sie einen unterschiedlichen Umfang haben. Man unterscheidet allgemein folgende Prüfgegenstände von Datenschutz-Gutachten:
Einzelne Produkte
Bestimmte Prozessabläufe und Verfahren
Die Institution oder der Betrieb als Ganzes
Was für Datenschutz-Gutachten gibt es?
Grundsätzlich gibt es verpflichtende und freiwillige Gutachten im Datenschutz:
1. Vorabkontrolle (§ 4d Absatz 5 Bundesdatenschutzgesetz (BDSG))
Die Vorabkontrolle ist eine im alten Bundesdatenschutzgesetz festgelegte Rechtsnorm, die heute nicht mehr gültig ist. Sie wurde mit Inkrafttreten der DSGVO im Mai 2018 durch die Datenschutz-Folgenabschätzung nach Art. 35 abgelöst.
Die Vorabkontrolle überprüfte automatisierte Verfahren auf Risiken und Gefahren hinsichtlich der Verarbeitung besonderer Arten von personenbezogenen Daten. Hierzu zählen besonders sensible Informationen, wie zum Beispiel zur politischen Einstellung oder zur Herkunft von Personen. Aber auch, wenn eine Bewertung von Personen vorlag, erforderten die erhobenen Daten eine Vorabkontrolle. Ein typischer Fall für ein solches Datenschutz-Gutachten ist die Videoüberwachung. Die durch eine systematische umfangreiche Überwachung gesammelten Daten unterliegen einem besonderen Schutz und müssen vor der automatisierten Verarbeitung geprüft werden.
2. Datenschutz-Folgenabschätzung (Artikel 35 DSGVO)
Seit Einführung der DSGVO übernimmt diese Aufgabe die Datenschutz-Folgenabschätzung. Als erweiterte Risikoanalyse überprüft dieses Datenschutz-Gutachten die Erhebung und Verarbeitung personenbezogener Daten, wenn diese voraussichtlich mit einem hohen Risiko für die Freiheiten und Rechte natürlicher Personen einhergeht. Neben der Videoüberwachung können darunter zum Beispiel auch der Datentransfer in Länder außerhalb der EU/EWR, der Einsatz neuer Technologien oder biometrischer Verfahren sowie das Profiling und Scoring fallen.
Die Datenschutz-Folgenabschätzung enthält gemäß Art. 35 Abs. 7 DSGVO zumindest die folgenden Anforderungen:
Beschreibung der geplanten Verarbeitungstätigkeiten
Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
Risiken für die Rechte und Freiheiten der betroffenen Personen
Geplante Abhilfemaßnahmen zur Bewältigung der Risiken
3. Freiwillige Gutachten
Aber auch ohne gesetzmäßige Verpflichtung kann ein Gutachten im Datenschutz-Sinn durchgeführt werden. Es liefert Klarheit darüber, ob ein Unternehmen die geltenden Datenschutz-Regelungen tatsächlich umsetzt. Angesichts hoher Geldstrafen bei Verstößen gegen die DSGVO ist die interne Kontrolle des Datenschutzes unerlässlich.
Freiwillige Gutachten können außerdem dazu dienen, die Vertrauenswürdigkeit eines Unternehmens in Sachen Datenschutz zu stärken.
Die DSGVO sieht hierfür in Art. 42 vor, dass langfristig gesehen akkreditierte Zertifizierungen, Datenschutzsiegel und -prüfzeichen als Endergebnis von Datenschutzaudits vergeben werden dürfen. Da solche Gutachten jedoch erst noch entwickelt und akkreditiert werden müssen, können in Deutschland bisher leider keine staatlich anerkannten Zertifikate im Hinblick auf den Datenschutz ausgestellt werden. Als Trust-Symbol wird daher bisher beispielsweise ein Datenschutzsiegel vergeben, das auf der Website oder in Broschüren des Unternehmens einen seriösen Eindruck hinterlässt. Das Datenschutzsiegel verschafft dem Unternehmen einen klaren Wettbewerbsvorteil gegenüber anderen Unternehmen, die das Thema Datenschutz weniger transparent behandeln.
Was wird durch ein Datenschutz-Gutachten überprüft?
Je nach Prüfgegenstand werden bei einem Datenschutz-Gutachten einzelne oder alle Produkte und Prozesse eines Unternehmens nach datenschutzrechtlichen Aspekten untersucht und dokumentiert. Hierbei spielen alle Unternehmensbereiche eine Rolle, die personenbezogene Daten verarbeiten, wie zum Beispiel die IT, Finanzen, der Vertrieb oder HR.
Der Prüfvorgang bei einem Datenschutz-Gutachten besteht unter anderem aus den folgenden Punkten:
Einordnung der Rechtsgrundlage für die Datenverarbeitung
Erfassung des Status Quo über das Bestehen von Auftragsverarbeitungsverträgen (AV), technischen und organisatorischen Maßnahmen des Unternehmens (TOM) und Mitarbeiterschulungen zum Thema Datenschutz
Analyse der verwendeten IT-Systeme und des Datensicherungskonzeptes
Gefahren- und Risikoanalyse
Ableitung eines Maßnahmenplans
Wer kann Datenschutz-Gutachten durchführen?
Ein Datenschutz-Gutachten wird in der Regel durch eine:n externe:n Sachverständige:n erstellt. Sie / er sollte zugelassen und unabhängig sein. Das stärkt die Glaubhaftigkeit und Seriosität des Gutachtens.
Als Unternehmen können Sie mit einem Datenschutz-Gutachten zwei Fliegen mit einer Klappe schlagen: Einerseits wenden Sie präventiv Abmahnungen durch die DSGVO ab, indem Sie den Datenschutz in Ihrem Unternehmen absichern. Andererseits vermitteln Sie Ihren Kund:innen glaubhaft, dass der Schutz personenbezogener Daten einen hohen Stellenwert in Ihrem Unternehmen hat. Das verschafft Ihnen einen klaren Wettbewerbsvorteil gegenüber Unternehmen ohne Datenschutz-Zertifizierung.
Autorin: Kathrin Strauß
Artikel veröffentlicht am: 08.03.2021