INFORMATIONEN

Datenschutzbericht – eine wertvolle Formalität

Ein Datenschutzgutachten kann für Unternehmen von großem Nutzen sein. Eine fachkundige Beratung im Bereich des Datenschutzes bietet neben der rechtlichen Absicherung und der Erfüllung gesetzlicher Pflichten echte Wettbewerbsvorteile.

Datenschutzberichte dienen heute vielen Zwecken: Sie können Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO) rechtzeitig aufdecken und verhindern und hohe Geldstrafen vermeiden. Außerdem verleiht ein Datenschutzzertifikat den Unternehmen Legitimität und Seriosität.

Was ist ein Datenschutzbericht?

In einem Datenschutzbericht wird überprüft, ob die rechtlichen Anforderungen und die geltenden Datenschutzstandards eingehalten werden. Der Umfang der Inspektion variiert je nach Gegenstand der Inspektion.

Generell werden die folgenden Prüfobjekte von Datenschutzberichten unterschieden:

  • Einzelne Produkte
  • Bestimmte Flussdiagramme und Verfahren
  • Institutionen oder Unternehmen als Ganzes

    • Welche Datenschutzberichte gibt es?

    Im Bereich des Datenschutzes gibt es zwei Arten von Gutachten: obligatorische und freiwillige Gutachten:

    1. Vorläufige Prüfung

    Mit dem Inkrafttreten der DSGVO im Mai 2018 wurde eine rechtliche Notwendigkeit für die Datenschutz-Folgenabschätzung gemäß Art. 35.

    Bei der letzten Prüfung wurden Risiken und Gefahren im Zusammenhang mit der Verarbeitung bestimmter Arten personenbezogener Daten untersucht. Diese enthalten besonders sensible Informationen wie politische Meinungen oder die Abstammung einer Person.

    Selbst wenn eine menschliche Bewertung zur Verfügung stand, mussten die erstellten Daten zunächst doppelt geprüft werden. Die Videoüberwachung ist ein häufiger Anwendungsfall für einen solchen Datenschutzbericht. Daten, die durch systematische, umfassende Überwachung gewonnen werden, unterliegen zusätzlichen Sicherheitsvorkehrungen und müssen vor der automatischen Verarbeitung doppelt überprüft werden.

    2. Folgenabschätzung für den Datenschutz (Artikel 35 DSGVO)

    Die Datenschutz-Folgenabschätzung hat diese Verantwortung seit der Umsetzung der Datenschutz-Grundverordnung übernommen. In diesem Datenschutzbericht wird im Rahmen einer ausführlichen Risikoanalyse bewertet, ob die Erhebung und Verarbeitung personenbezogener Daten wahrscheinlich mit einem hohen Risiko für die Freiheiten und Rechte natürlicher Personen verbunden ist.

    Dies kann neben der Videoüberwachung auch die Datenübermittlung in Länder außerhalb der EU/des EWR, den Einsatz neuer Technologien oder biometrischer Verfahren sowie Profiling und Scoring umfassen.

    Die Datenschutz-Folgenabschätzung muss gemäß Artikel 35 Absatz 7 der Datenschutz-Grundverordnung mindestens die folgenden Bedingungen erfüllen:

  • Eine Beschreibung der geplanten Verarbeitungstätigkeiten
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungstätigkeiten
  • Risiken für die Rechte und Freiheiten der betroffenen Personen
  • Geplante Abhilfemaßnahmen zur Beseitigung der Risiken

    • 3. Selbsteinschätzung

    Aber auch wenn es keine gesetzliche Vorschrift gibt, kann im Interesse des Datenschutzes ein Gutachten eingeholt werden. Es zeigt, ob ein Unternehmen die notwendigen Datenschutzanforderungen einhält. Interne Datenschutzvorkehrungen sind in Anbetracht der hohen Strafen der DSGVO von entscheidender Bedeutung.

    Auch freiwillige Berichte können die Vertrauenswürdigkeit eines Unternehmens im Bereich des Datenschutzes fördern. Als Ergebnis von Datenschutzaudits können gemäß Artikel 42 der DSGVO langfristig anerkannte Zertifizierungen, Datenschutzsiegel und Prüfzeichen vergeben werden.

    Da solche Berichte aber erst noch erstellt und genehmigt werden müssen, können derzeit noch keine staatlich anerkannten Datenschutzzertifikate vergeben werden. Ein Vertrauenssiegel wurde beispielsweise für ein Datenschutzsiegel vergeben, das auf der Website des Unternehmens oder in Broschüren einen seriösen Eindruck macht. Das Datenschutzlogo verschafft dem Unternehmen einen klaren Wettbewerbsvorteil gegenüber Konkurrenten, die es mit dem Datenschutz nicht so genau nehmen.

    Was wird in einem Datenschutzbericht geprüft?

    Ein Datenschutzbericht untersucht und dokumentiert je nach Prüfgegenstand einzelne oder alle Produkte und Verfahren eines Unternehmens nach datenschutzrechtlichen Gesichtspunkten. An der Verarbeitung personenbezogener Daten sind IT, Finanzen, Vertrieb und Personalwesen beteiligt.

    Die folgenden Punkte sind Teil des Überprüfungsprozesses für einen Datenschutzbericht:

  • Einstufung der Rechtsgrundlage für die Datenverarbeitung
  • Verfolgung der aktuellen Situation in Bezug auf das Bestehen von Datenverarbeitungsverträgen, die technischen und organisatorischen Maßnahmen (TOM) des Unternehmens und die Datenschutzschulung des Personals.
  • Analyse der eingesetzten IT-Systeme und des Datensicherungskonzepts
  • Gefahren- und Risikoanalyse:
  • Die Ableitung eines Aktionsplans

    • Wer ist für die Durchführung von Datenschutzberichten qualifiziert?

    Ein externer Sachverständiger erstellt in der Regel ein Datenschutzgutachten. Er oder sie sollte lizenziert und unabhängig sein. Dies erhöht die Legitimität und Seriosität des Berichts.

    Mit einem Datenschutzbericht können Sie als Unternehmen zwei Fliegen mit einer Klappe schlagen: Einerseits vermeiden Sie DSGVO-Warnungen, indem Sie die Datensicherheit in Ihrem Unternehmen gewährleisten. Andererseits kommunizieren Sie Ihren Verbrauchern effektiv, dass der Schutz personenbezogener Daten in Ihrem Unternehmen ein wichtiges Anliegen ist. Dies verschafft Ihnen einen deutlichen Wettbewerbsvorteil gegenüber Unternehmen, die nicht für den Datenschutz zertifiziert sind.