Wie gut ist unser Unternehmen im Datenschutz eigentlich aufgestellt? Erfüllen wir die Vorgaben der DSGVO? Kommen wir allen Informationspflichten nach? Oder lauern irgendwo unentdeckte Datenschutzhaftungsrisiken? Welche könnten dies sein und was wäre notwendig, um sie schnell und zum Schutz des eigenen Geschäftsmodells nachhaltig zu minimieren? Eine Datenschutzbestandsaufnahme ist das Mittel der Wahl, um einen ersten guten Überblick zu bekommen. Wir erklären, was sich dahinter verbirgt.
Das Wichtigste in Kürze
- Die Datenschutzbestandsaufnahme verschafft einen ersten schnellen Überblick über mögliche Datenschutzschwachstellen und Haftungsrisiken.
- Als Grundlage für die Zusammenarbeit mit einem externen Datenschutzbeauftragten ist Datenschutzbestandsaufnahme eine Notwendigkeit, vorgeschrieben ist sie nicht.
- Anders als ein Audit geht die Datenschutzbestandsaufnahme nicht in die Tiefe und wird nur einmal durchgeführt.
- Was bei der Datenschutzbestandsaufnahme unter die Lupe genommen wird, hängt von der Art, dem Geschäftsmodell sowie dem Kundenkreis eines Unternehmens ab.
- Im Rahmen des Erstgesprächs ist die Datenschutzbestandsaufnahmen bei DataGuard gratis.
In diesem Beitrag
- Was ist eine Datenschutzbestandsaufnahme?
- Worin besteht der Unterschied zu einem Audit?
- Welche Aspekte und Haftungsrisiken werden bei der Datenschutzbestandaufnahme betrachtet?
- Welche Mängel oder Datenschutzhaftungsrisiken kann die Bestandsaufnahme aufdecken?
- Ist eine Datenschutzbestandsaufnahme Pflicht – und wenn ja, für wen?
- Wie können Unternehmen möglichst schnell einen Überblick über ihre Datensicherheit und ihre Datenschutzhaftungsrisiken gewinnen?
- Sollten Datenschutzbestandsaufnahmen regelmäßig durchgeführt werden?
- Wie sieht das Vorgehen aus, was muss unbedingt abgefragt werden?
- Was geschieht, wenn die Datenschutzschwächen ermittelt worden sind?
- Ist die Datenschutzbestandsaufnahme bei DataGuard kostenlos?
- Wie lautet das Fazit?
Was ist eine Datenschutzbestandsaufnahme?
Ziel einer Datenschutzbestandsaufnahme ist es, die Datenschutzhaftungsrisiken in einem Unternehmen zu erkennen. Wichtig zu wissen: Die Datenschutzbestandsaufnahme taucht als Begriff in keinem Gesetz auf, sie ist also nicht vorgeschrieben. Sinnvoll ist sie aber allemal, denn erst durch eine Datenschutzbestandsaufnahme werden der Bedarf eines Unternehmens und mögliche Haftungsrisiken aufgedeckt. Deswegen führen wir bei interessierten Unternehmen im Zuge des Erstgesprächs eine Datenschutzbestandsaufnahme durch. Auf Grundlage der Ergebnisse können wir dann zielgenaue Maßnahmen vorschlagen und potenziellen Kunden eine passgenaue und daher auch preiswerte Lösung anbieten.
Worin besteht der Unterschied zu einem Audit?
Verglichen mit einem Audit beschreibt die Datenschutzbestandsaufnahme den Status quo recht oberflächlich. Dafür gibt sie Unternehmen schnell Gewissheit, denn sie deckt Schwachstellen und Mängel auf und macht damit verbundene Datenschutzhaftungsrisiken sichtbar. Darauf kommt es an, schließlich haften Geschäftsführer bei Verstößen gegen den Datenschutz im Zweifelsfall mit ihrem Privatvermögen. Deshalb ist es so wichtig, die eigenen Herausforderungen im Unternehmen zu kennen, Maßnahmen zu ergreifen und die Datenschutzhaftungsrisiken zu minimieren.
Audits gehen wesentlich tiefer. Entscheidet sich ein Kunde für die Zusammenarbeit mit uns, führen wir ein Audit durch. Dabei werden sämtliche Verarbeitungstätigkeiten und daraus resultierende Datenströme im Unternehmen erfasst, die komplette Technik und auch die Organisation. Sprich: Bei einem Audit drehen wir wirklich jeden Stein um und machen uns ein genaues Bild von der Datenschutzsituation und den Erfordernissen. Dies ist auch der erste Schritt, um für ein Unternehmen das gesetzlich vorgeschriebene Verzeichnis der Verarbeitungstätigkeiten (VVT) erstellen zu können.
Vielleicht trägt zum Verständnis der Vergleich mit einem Zahnarztbesuch bei: Die Datenschutzbestandsaufnahme entspricht dem Anfertigen eines Röntgenbilds. Beim Audit gehen wir an die Wurzel und behandeln auch. Nur, dass unsere Audits nicht weh tun und ganz ohne Betäubung überstanden werden!
Welche Aspekte und Haftungsrisiken werden bei der Datenschutzbestandaufnahme betrachtet?
Das ist sehr unterschiedlich und davon abhängig, um was für ein Unternehmen es sich handelt. Im ersten Schritt wird deshalb ermittelt, worin die geschäftliche Tätigkeit besteht. In welcher Branche ist der potenzielle Kunde tätig? Welche Leistungen oder Produkte bietet er an? Handelt es sich um einen Handwerksbetrieb, der personenbezogene Daten sicher behandeln muss und will, um das Vertrauen seiner Kunden zu stärken und sich Vorteile im Wettbewerb zu verschaffen? Oder haben wir es mit einem Marktforschungsunternehmen zu tun, das im Kern seiner Geschäftstätigkeit mit personenbezogenen Daten arbeitet? Je nach Antwort unterscheiden sich die Haftungsrisiken und Datenschutzanforderungen erheblich. Auch der Kundenkreis spielt eine zentrale Rolle: Hat ein Unternehmen überwiegend andere Unternehmen als Kunden (B2B) oder richtet es seine Angebote an private Verbraucher (B2C) – zum Beispiel als Händler über einen Onlineshop? Diese und weitere Fakten, darunter die technischen Rahmenbedingungen, werden im Rahmen der Datenschutzbestandsaufnahme ermittelt und im Hinblick auf die Datenschutzanforderungen und Haftungsrisiken bewertet.
Welche Mängel oder Datenschutzhaftungsrisiken kann die Bestandsaufnahme aufdecken?
Das ist ein weites Feld. Viele Unternehmen denken: „Bei uns ist in Sachen Datenschutz alles in bester Ordnung. Eigentlich brauchen wir keine Hilfe von externen Spezialisten, aber gut: eine professionelle Datenschutzbestandsaufnahmen kann ja nicht schaden.“ In fast allen Fällen lohnt sich das genaue Hinsehen, zumal bei einer Datenschutzbestandsaufnahme mehr als nur digitale Daten unter die Lupe genommen wird. Wichtig ist auch der Umgang mit personenbezogenen Daten in physischer Form. Krankmeldungen oder Kündigungen zum Beispiel, die als Brief offen in der Personalabteilung herumliegen. Häufig geht es darum, überhaupt erst ein Gespür für Datenschutzbelange zu schaffen. Zum Beispiel im Hinblick auf Bewerbungsverfahren: Da werden nicht selten persönliche Informationen abgefragt, die ein Unternehmen unter Datenschutzaspekten besser nicht haben sollte. Zumal sie für die Bewerberauswahl am Ende nicht relevant sind oder es zumindest nicht sein sollten.
Ist eine Datenschutzbestandsaufnahme Pflicht – und wenn ja, für wen?
Die klassische Datenschutzbestandsaufnahme ist der erste Schritt, um einem Unternehmen überhaupt eine passgenaue Datenschutzlösung anbieten zu können. Denn erfolgen sollte dies nur mit dem Wissen um die tatsächliche Situation. Die Datenschutzbestandsaufnahme ist daher keine Pflicht, aber eine Notwendigkeit für beide Seiten.
Wie können Unternehmen möglichst schnell einen Überblick über ihre Datensicherheit und ihre Datenschutzhaftungsrisiken gewinnen?
Am besten gelingt dies mithilfe der Datenschutzbestandsaufnahme. Wer sich aber in Eigenregie einen ersten Überblick verschaffen möchte, sollte sich zunächst bewusst machen, dass es beim Datenschutz nach DSGVO um die Sicherheit personenbezogener Daten geht. Wer mit diesem Bewusstsein und der Frage „Wie gehen wir mit diesen Daten um“ durch den eigenen Betrieb läuft, wird vermutlich selbst viele Vorgänge und Situationen entdecken, in denen es Optimierungsbedarf gibt. Ein Klassiker sind Bildschirmarbeitsplätze ohne Logout-Screen. Der Mitarbeiter ist kurz mal nicht am Platz und hat seinen Rechner ungesichert zurückgelassen. Jeder kann nun einen Blick auf den Bildschirm werfen und beispielsweise die geöffneten E-Mails lesen. Achten Sie auch darauf, ob Papierdokumente offen herumliegen und von jedem eingesehen werden können. Die DSGVO gilt auch für die analoge Welt aus Papier und Bleistift und nicht nur für in Computersystemen verarbeitete Daten.
Beim Thema Datenschutz auf dem Laufenden bleiben?
In unserem monatlichen Newsletter erfahren Sie mehr über aktuelle Themen Rund um den Datenschutz. Registrieren Sie sich jetzt kostenlos und bleiben Sie stets auf dem Laufenden!
Sollten Datenschutzbestandsaufnahmen regelmäßig durchgeführt werden?
Die Datenschutzbestandsaufnahme führen wir als externe Datenschutzbeauftragte nur einmal durch – bevor ein Unternehmen bei uns Kunde wird. Audits finden aber regelmäßig statt. Nur so lassen sich die Haftungsrisiken kontrollieren. Denn um es mit einem Satz von Meister Joda aus Starwars zu sagen: „Die Zukunft ist in ständiger Bewegung“. Datenschutz ist auch in ständiger Bewegung. Dies zeigt etwa das jüngste EuGH-Urteil zum EU-US-Privacy-Shield. Die rechtlichen Vorgaben entwickeln sich ständig weiter, genauso wie die Situation in den Unternehmen selbst. Diesen Wandel müssen wir im Hinblick auf die Haftungsrisiken genau verfolgen und entsprechend handeln. Der Job für den Datenschutzbeauftragten ist also ein Ongoing-Job. Es ist eine Daueraufgabe, die mit der Datenschutzbestandsaufnahme startet. Dann kommen das erste große Audit, die tägliche Betreuung und alle ein bis zwei Jahre ein Folgeaudit.
Wie sieht das Vorgehen aus, was muss unbedingt abgefragt werden?
Das ist bei einem Audit ebenfalls je nach Unternehmen sehr unterschiedlich. Grundsätzlich wird aber geschaut, welche personenbezogenen Daten wie und zu welchen Zwecken erfasst werden. Ein weiterer wichtiger Aspekt ist die technische und organisatorische Ausstattung des Unternehmens. Im Zuge eines Audits wird überprüft, ob diesbezüglich alles auf dem neuesten Stand ist und den Vorgaben entspricht. Der dritte große Prüfbereich blickt auf die Wege, die personenbezogene Daten innerhalb eines Unternehmens nehmen – und darüber hinaus. Gibt es beispielsweise sogenannte Auftragsdatenverarbeiter? Sprich: Werden personenbezogenen Daten an externe Dienstleister weitergereicht, und wenn ja, wie sind die Verantwortlichkeiten geregelt?
Was geschieht, wenn die Datenschutzschwächen ermittelt worden sind?
Hier gilt der gute alte Satz: Gefahr erkannt, Gefahr gebannt. Wer um seine Schwachstellen und Haftungsrisiken weiß, ist schon auf dem besten Weg zur Lösung. Denn nach der Datenschutzbestandsaufnahme weisen wir unsere Kunden auf Probleme hin und finden als externe Datenschutzbeauftragte eine Lösung. Das können sehr schnelle und einfache Lösungen sein: beispielsweise indem wir das Protokoll einer Website von http auf https umstellen. Manchmal werden aber auch strukturelle Änderungen notwendig, die mit höherem Aufwand verbunden sind. Unsere Kunst als externe Datenschutzbeauftragte besteht darin, den Datenschutz und die Haftungsrisiken so zu optimieren, dass die Geschäftsprozesse des Unternehmens möglichst reibungslos weiterlaufen. Das Ziel sind optimierte, DSGVO-konforme Strukturen, die das Geschäftsmodell langfristig sichern.
Ist die Datenschutzbestandsaufnahme bei DataGuard kostenlos?
Im Rahmen eines Erstgesprächs ist die Datenschutzbestandsaufnahme gratis. Anhand der Ergebnisse lässt sich dann bei Bedarf das individuell beste Leistungspaket zusammenstellen. Anschließend kann es direkt losgehen mit der Zusammenarbeit für mehr Datensicherheit und minimierte Haftungsrisiken.
Wie lautet das Fazit?
Die Datenschutzbestandsaufnahme ist ein sehr wertvolles Instrument – gerade im Hinblick auf die Haftungsrisiken für ein Unternehmen und dessen Geschäftsführer. Oftmals deckt sie Schwachstellen und Herausforderungen auf, die bisher noch gar nicht gesehen wurden. Und das mit vergleichsweise geringem Aufwand und völlig unverbindlich. Kurz: Die Datenschutzbestandsaufnahme ist eine klare Empfehlung und lohnt sich in jedem Fall.
Sie haben Fragen zur Einhaltung der DSGVO oder zu weiteren Datenschutzspezifischen Themen?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: