Datenschutzbestandaufnahme: Datenschutzhaftungsrisiken erkennen

Wie gut ist unser Unternehmen im Datenschutz eigentlich aufgestellt? Erfüllen wir die Vorgaben der DSGVO? Kommen wir allen Informationspflichten nach? Oder lauern irgendwo unentdeckte Datenschutzhaftungsrisiken? Welche könnten dies sein und was wäre notwendig, um sie schnell und zum Schutz des eigenen Geschäftsmodells nachhaltig zu minimieren? Eine Datenschutzbestandsaufnahme ist das Mittel der Wahl, um einen ersten guten Überblick zu bekommen. Wir erklären, was sich dahinter verbirgt. 

 

Das Wichtigste in Kürze

  • Die Datenschutzbestandsaufnahme verschafft einen ersten schnellen Überblick über mögliche Datenschutzschwachstellen und Haftungsrisiken.
  • Als Grundlage für die Zusammenarbeit mit einem externen Datenschutzbeauftragten ist Datenschutzbestandsaufnahme eine Notwendigkeit, vorgeschrieben ist sie nicht.
  • Anders als ein Audit geht die Datenschutzbestandsaufnahme nicht in die Tiefe und wird nur einmal durchgeführt. 
  • Was bei der Datenschutzbestandsaufnahme unter die Lupe genommen wird, hängt von der Art, dem Geschäftsmodell sowie dem Kundenkreis eines Unternehmens ab.
  • Im Rahmen des Erstgesprächs ist die Datenschutzbestandsaufnahmen bei DataGuard gratis.

In diesem Beitrag

  1. Was ist eine Datenschutzbestandsaufnahme?
  2. Worin besteht der Unterschied zu einem Audit?
  3. Welche Aspekte und Haftungsrisiken werden bei der Datenschutzbestandaufnahme betrachtet?
  4. Welche Mängel oder Datenschutzhaftungsrisiken kann die Bestandsaufnahme aufdecken?
  5. Ist eine Datenschutzbestandsaufnahme Pflicht – und wenn ja, für wen?
  6. Wie können Unternehmen möglichst schnell einen Überblick über ihre Datensicherheit und ihre Datenschutzhaftungsrisiken gewinnen?
  7. Sollten Datenschutzbestandsaufnahmen regelmäßig durchgeführt werden? 
  8. Wie sieht das Vorgehen aus, was muss unbedingt abgefragt werden?
  9. Was geschieht, wenn die Datenschutzschwächen ermittelt worden sind?
  10. Ist die Datenschutzbestandsaufnahme bei DataGuard kostenlos?
  11. Wie lautet das Fazit?

Was ist eine Datenschutzbestandsaufnahme?

Ziel einer Datenschutzbestandsaufnahme ist es, die Datenschutzhaftungsrisiken in einem Unternehmen zu erkennen. Wichtig zu wissen: Die Datenschutzbestandsaufnahme taucht als Begriff in keinem Gesetz auf, sie ist also nicht vorgeschrieben. Sinnvoll ist sie aber allemal, denn erst durch eine Datenschutzbestandsaufnahme werden der Bedarf eines Unternehmens und mögliche Haftungsrisiken aufgedeckt. Deswegen führen wir bei interessierten Unternehmen im Zuge des Erstgesprächs eine Datenschutzbestandsaufnahme durch. Auf Grundlage der Ergebnisse können wir dann zielgenaue Maßnahmen vorschlagen und potenziellen Kunden eine passgenaue und daher auch preiswerte Lösung anbieten. 

Worin besteht der Unterschied zu einem Audit?

Verglichen mit einem Audit beschreibt die Datenschutzbestandsaufnahme den Status quo recht oberflächlich. Dafür gibt sie Unternehmen schnell Gewissheit, denn sie deckt Schwachstellen und Mängel auf und macht damit verbundene Datenschutzhaftungsrisiken sichtbar. Darauf kommt es an, schließlich haften Geschäftsführer bei Verstößen gegen den Datenschutz im Zweifelsfall mit ihrem Privatvermögen. Deshalb ist es so wichtig, die eigenen Herausforderungen im Unternehmen zu kennen, Maßnahmen zu ergreifen und die Datenschutzhaftungsrisiken zu minimieren. 

Audits gehen wesentlich tiefer. Entscheidet sich ein Kunde für die Zusammenarbeit mit uns, führen wir ein Audit durch. Dabei werden sämtliche Verarbeitungstätigkeiten und daraus resultierende Datenströme im Unternehmen erfasst, die komplette Technik und auch die Organisation. Sprich: Bei einem Audit drehen wir wirklich jeden Stein um und machen uns ein genaues Bild von der Datenschutzsituation und den Erfordernissen. Dies ist auch der erste Schritt, um für ein Unternehmen das gesetzlich vorgeschriebene Verzeichnis der Verarbeitungstätigkeiten (VVT) erstellen zu können.

Vielleicht trägt zum Verständnis der Vergleich mit einem Zahnarztbesuch bei: Die Datenschutzbestandsaufnahme entspricht dem Anfertigen eines Röntgenbilds. Beim Audit gehen wir an die Wurzel und behandeln auch. Nur, dass unsere Audits nicht weh tun und ganz ohne Betäubung überstanden werden! 

DSGVO Beratung

Welche Aspekte und Haftungsrisiken werden bei der Datenschutzbestandaufnahme betrachtet?

Das ist sehr unterschiedlich und davon abhängig, um was für ein Unternehmen es sich handelt. Im ersten Schritt wird deshalb ermittelt, worin die geschäftliche Tätigkeit besteht. In welcher Branche ist der potenzielle Kunde tätig? Welche Leistungen oder Produkte bietet er an? Handelt es sich um einen Handwerksbetrieb, der personenbezogene Daten sicher behandeln muss und will, um das Vertrauen seiner Kunden zu stärken und sich Vorteile im Wettbewerb zu verschaffen? Oder haben wir es mit einem Marktforschungsunternehmen zu tun, das im Kern seiner Geschäftstätigkeit mit personenbezogenen Daten arbeitet? Je nach Antwort unterscheiden sich die Haftungsrisiken und Datenschutzanforderungen erheblich. Auch der Kundenkreis spielt eine zentrale Rolle: Hat ein Unternehmen überwiegend andere Unternehmen als Kunden (B2B) oder richtet es seine Angebote an private Verbraucher (B2C) – zum Beispiel als Händler über einen Onlineshop? Diese und weitere Fakten, darunter die technischen Rahmenbedingungen, werden im Rahmen der Datenschutzbestandsaufnahme ermittelt und im Hinblick auf die Datenschutzanforderungen und Haftungsrisiken bewertet.

Welche Mängel oder Datenschutzhaftungsrisiken kann die Bestandsaufnahme aufdecken?

Das ist ein weites Feld. Viele Unternehmen denken: „Bei uns ist in Sachen Datenschutz alles in bester Ordnung. Eigentlich brauchen wir keine Hilfe von externen Spezialisten, aber gut: eine professionelle Datenschutzbestandsaufnahmen kann ja nicht schaden.“ In fast allen Fällen lohnt sich das genaue Hinsehen, zumal bei einer Datenschutzbestandsaufnahme mehr als nur digitale Daten unter die Lupe genommen wird. Wichtig ist auch der Umgang mit personenbezogenen Daten in physischer Form. Krankmeldungen oder Kündigungen zum Beispiel, die als Brief offen in der Personalabteilung herumliegen. Häufig geht es darum, überhaupt erst ein Gespür für Datenschutzbelange zu schaffen. Zum Beispiel im Hinblick auf Bewerbungsverfahren: Da werden nicht selten persönliche Informationen abgefragt, die ein Unternehmen unter Datenschutzaspekten besser nicht haben sollte. Zumal sie für die Bewerberauswahl am Ende nicht relevant sind oder es zumindest nicht sein sollten. 

Ist eine Datenschutzbestandsaufnahme Pflicht – und wenn ja, für wen?

Die klassische Datenschutzbestandsaufnahme ist der erste Schritt, um einem Unternehmen überhaupt eine passgenaue Datenschutzlösung anbieten zu können. Denn erfolgen sollte dies nur mit dem Wissen um die tatsächliche Situation. Die Datenschutzbestandsaufnahme ist daher keine Pflicht, aber eine Notwendigkeit für beide Seiten. 

Wie können Unternehmen möglichst schnell einen Überblick über ihre Datensicherheit und ihre Datenschutzhaftungsrisiken gewinnen?

Am besten gelingt dies mithilfe der Datenschutzbestandsaufnahme. Wer sich aber in Eigenregie einen ersten Überblick verschaffen möchte, sollte sich zunächst bewusst machen, dass es beim Datenschutz nach DSGVO um die Sicherheit personenbezogener Daten geht. Wer mit diesem Bewusstsein und der Frage „Wie gehen wir mit diesen Daten um“ durch den eigenen Betrieb läuft, wird vermutlich selbst viele Vorgänge und Situationen entdecken, in denen es Optimierungsbedarf gibt. Ein Klassiker sind Bildschirmarbeitsplätze ohne Logout-Screen. Der Mitarbeiter ist kurz mal nicht am Platz und hat seinen Rechner ungesichert zurückgelassen. Jeder kann nun einen Blick auf den Bildschirm werfen und beispielsweise die geöffneten E-Mails lesen. Achten Sie auch darauf, ob Papierdokumente offen herumliegen und von jedem eingesehen werden können. Die DSGVO gilt auch für die analoge Welt aus Papier und Bleistift und nicht nur für in Computersystemen verarbeitete Daten.

Newsletter

Beim Thema Datenschutz auf dem Laufenden bleiben?

In unserem monatlichen Newsletter erfahren Sie mehr über aktuelle Themen Rund um den Datenschutz. Registrieren Sie sich jetzt kostenlos und bleiben Sie stets auf dem Laufenden!

Sollten Datenschutzbestandsaufnahmen regelmäßig durchgeführt werden? 

Die Datenschutzbestandsaufnahme führen wir als externe Datenschutzbeauftragte nur einmal durch – bevor ein Unternehmen bei uns Kunde wird. Audits finden aber regelmäßig statt. Nur so lassen sich die Haftungsrisiken kontrollieren. Denn um es mit einem Satz von Meister Joda aus Starwars zu sagen: „Die Zukunft ist in ständiger Bewegung“. Datenschutz ist auch in ständiger Bewegung. Dies zeigt etwa das jüngste EuGH-Urteil zum EU-US-Privacy-Shield. Die rechtlichen Vorgaben entwickeln sich ständig weiter, genauso wie die Situation in den Unternehmen selbst. Diesen Wandel müssen wir im Hinblick auf die Haftungsrisiken genau verfolgen und entsprechend handeln. Der Job für den Datenschutzbeauftragten ist also ein Ongoing-Job. Es ist eine Daueraufgabe, die mit der Datenschutzbestandsaufnahme startet. Dann kommen das erste große Audit, die tägliche Betreuung und alle ein bis zwei Jahre ein Folgeaudit.

Wie sieht das Vorgehen aus, was muss unbedingt abgefragt werden?

Das ist bei einem Audit ebenfalls je nach Unternehmen sehr unterschiedlich. Grundsätzlich wird aber geschaut, welche personenbezogenen Daten wie und zu welchen Zwecken erfasst werden. Ein weiterer wichtiger Aspekt ist die technische und organisatorische Ausstattung des Unternehmens. Im Zuge eines Audits wird überprüft, ob diesbezüglich alles auf dem neuesten Stand ist und den Vorgaben entspricht. Der dritte große Prüfbereich blickt auf die Wege, die personenbezogene Daten innerhalb eines Unternehmens nehmen – und darüber hinaus. Gibt es beispielsweise sogenannte  Auftragsdatenverarbeiter? Sprich: Werden personenbezogenen Daten an externe Dienstleister weitergereicht, und wenn ja, wie sind die Verantwortlichkeiten geregelt? 

Was geschieht, wenn die Datenschutzschwächen ermittelt worden sind?

Hier gilt der gute alte Satz: Gefahr erkannt, Gefahr gebannt. Wer um seine Schwachstellen und Haftungsrisiken weiß, ist schon auf dem besten Weg zur Lösung. Denn nach der Datenschutzbestandsaufnahme weisen wir unsere Kunden auf Probleme hin und finden als externe Datenschutzbeauftragte eine Lösung. Das können sehr schnelle und einfache Lösungen sein: beispielsweise indem wir das Protokoll einer Website von http auf https umstellen. Manchmal werden aber auch strukturelle Änderungen notwendig, die mit höherem Aufwand verbunden sind. Unsere Kunst als externe Datenschutzbeauftragte besteht darin, den Datenschutz und die Haftungsrisiken so zu optimieren, dass die Geschäftsprozesse des Unternehmens möglichst reibungslos weiterlaufen. Das Ziel sind optimierte, DSGVO-konforme Strukturen, die das Geschäftsmodell langfristig sichern. 

Ist die Datenschutzbestandsaufnahme bei DataGuard kostenlos?

Im Rahmen eines Erstgesprächs ist die Datenschutzbestandsaufnahme gratis. Anhand der Ergebnisse lässt sich dann bei Bedarf das individuell beste Leistungspaket zusammenstellen. Anschließend kann es direkt losgehen mit der Zusammenarbeit für mehr Datensicherheit und minimierte Haftungsrisiken. 

Wie lautet das Fazit?

Die Datenschutzbestandsaufnahme ist ein sehr wertvolles Instrument – gerade im Hinblick auf die Haftungsrisiken für ein Unternehmen und dessen Geschäftsführer. Oftmals deckt sie Schwachstellen und Herausforderungen auf, die bisher noch gar nicht gesehen wurden. Und das mit vergleichsweise geringem Aufwand und völlig unverbindlich. Kurz: Die Datenschutzbestandsaufnahme ist eine klare Empfehlung und lohnt sich in jedem Fall. 

Sie haben Fragen zur Einhaltung der DSGVO oder zu weiteren Datenschutzspezifischen Themen?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Andreas Riehn Andreas Riehn
Andreas Riehn

Als Senior Consultant für Datenschutz betreut Andreas Riehn bei DataGuard Kunden von Medien- und Marketingunternehmen bis zum Autohandel. Schon in der Anfangsphase der Digitalisierung entdeckte der Volljurist das Potenzial der Informationstechnologie für sich. Nach seinem Jurastudium gründete und programmierte er 1997 das erste rein webbasierte Repetitorium für angehende Juristen: „Ohne zu wissen, was ein Mainboard ist. Von Computertechnik hatte ich einfach keine Ahnung, hat trotzdem funktioniert.“ Es folgten eine mehrjährige Tätigkeit als Manager für Marketingkommunikation sowie als Rechtsanwalt für die Bereiche IT und Datenschutz. Wenn er sich nicht mit Datenschutz, Big Data oder Machine Learning befasst, ist Andreas passionierter Autor und hat bereits einen Mystery-Thriller verfasst.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren