Datentschutzaudit

Datenschutzkonzept

erstellt am 19.07.19

    Die Datenschutzgrundverordnung (DSGVO) verlangt seit dem 25.05.2018 einiges von datenverarbeitenden Unternehmen ab. Geltende Vorschriften müssen strikt eingehalten werden, Maßnahmen müssen entsprechend umgesetzt werden und die drohenden Strafen sind höher als zuvor. Wir klären Sie über die Umsetzung der Datenschutzorganisation auf und informieren Sie über die Vorteile eines Datenschutzaudits.

    Was ist ein Datenschutzaudit?

    Die DSGVO sowie das Bundesdatenschutzgesetz-neu verlangen die korrekte Umsetzung im Hinblick auf die geltenden Vorschriften für Datenschutz und Datensicherheit in Unternehmen. Hier sind nicht nur die Fähigkeiten und Kenntnisse der Verantwortlichen gefragt, die neuen Regelungen sorgen auch für viele offene Fragen, was die neuen Datenschutzrichtlinien betrifft.

    Ein Datenschutzaudit kann dabei helfen, eine gerade Linie in die Datenschutzorganisation zu bringen und alle notwendigen Punkte ordnungsgemäß umzusetzen und anzupassen. Professionelle Auditoren nehmen Ihre firmeninternen Prozesse genau unter die Lupe und überprüfen, inwieweit die DSGVO eingehalten wird oder ob Verbesserungsbedarf besteht.

    Anhand einer Datenschutzaudit-Checkliste können Sie mit den Experten gemeinsam an der Umsetzung arbeiten und sich anschließend sogar durch das Datenschutzaudit zertifizieren lassen.

    Welchen Vorteil hat ein Datenschutzaudit?

    Einer der großen Vorteile, den ein Datenschutzaudit mit sich bringt, ist das Vertrauen, das Sie Kunden und Geschäftspartnern vermitteln, wenn sie sehen, dass laut Zertifikat alle personenbezogenen Daten sicher bei Ihnen aufgehoben sind. Das kann das Unternehmen unter Umständen sogar eindeutig von der Konkurrenz abheben, was Ihnen einen enormen Wettbewerbsvorteil verschaffen könnte.

    Doch auch gegenüber Aufsichtsbehörden haben Sie mit dem Datenschutzaudit-Zertifikat einen Nachweis in der Hand, um Ihre Bemühungen in Bezug auf die DSGVO-Anforderungen belegen zu können. Bei möglichen Verstößen könnte sich das positiv auf drohende Sanktionen auswirken. Als zertifiziertes Unternehmen können Sie öffentlich nachweisen, dass Sie alle europäischen Datenschutz-Standards einhalten und bieten Ihren Kunden und Geschäftspartnern somit eine gewisse Transparenz.

    Auch Ihrem Marketing könnte ein solches Audit zugutekommen, da ausschließlich zugelassene und unabhängige Prüfstellen die entsprechenden Zertifikate vergeben dürfen.

    Wann ist ein Datenschutzaudit sinnvoll?

    Generell ist die Durchführung eines Datenschutzaudits freiwillig und keine Grundvoraussetzung, um die Vorgaben der DSGVO einzuhalten. Da diese nun jedoch sehr umfangreich sind und zahlreiche Nachweispflichten bestehen, kann es durchaus sinnvoll sein, an einem Datenschutzaudit teilzunehmen.

    Wenn Sie sichergehen möchten, dass in Ihrem Betrieb alles datenschutzkonform gehandhabt wird, kann Ihnen ein Datenschutzaudit dabei helfen, dies zu überprüfen und dient somit gleichzeitig auch der Sicherheit des Unternehmens.

    Wann sollte ein Datenschutzaudit durchgeführt werden?

    Am besten erst dann, wenn auch alle Anforderungen der Datenschutzgrundverordnung weitestgehend in die Tat umgesetzt worden sind. Dies trifft vor allem auf die Unternehmen zu, die direkt ein Zertifikat anstreben. Denn die Prüfer sehen sich in erster Linie den Ist-Zustand der Prozesse an. Stimmen einige Punkte nicht überein oder liegen bestimmte Mängel vor, ist die Prüfstelle nicht befugt, ein entsprechendes Zertifikat auszustellen. Hier kann es im Vorfeld hilfreich sein, sich an eine Datenschutzberatung zu wenden, um schon vor dem Audit alle Punkte abzuarbeiten.

    Wer darf ein Datenschutzaudit durchführen?

    Neben der für Sie zuständigen Aufsichtsbehörde für Datenschutz dürfen Datenschutzaudits nur von Gutachtern durchgeführt werden, die auf Datenschutz spezialisiert sind. Hier gibt es eine ganze Reihe an Anbietern, die ihre eigenen Gütesiegel vergeben. Bei der bundeseigenen Stiftung Datenschutz können Sie sich vorab einen Überblick über die unterschiedlichen Anbieter und deren Zertifikate verschaffen.

    In Bezug auf das Datenschutzaudit gibt es heute noch keine einheitlichen Prüfungen zur Zertifizierung. Dies ist für die Zukunft jedoch geplant. Die Prüfung an sich wird von einem selbstständigen Gutachter durchgeführt, der durch spezielle Zertifizierungsstellen wie TÜV oder DEKRA entsprechend seiner Qualifikation selbst zertifiziert wurde. Diese Zertifizierungseinrichtungen vergeben dann im Anschluss an die ihnen vorgelegten Prüfungsergebnisse das Zertifikat zum Datenschutzaudit. Der erste Schritt in Richtung einheitlicher Datenschutz-Zertifizierung wurde bereits mit dem europäischen Datenschutz-Zertifikat „EuroPriSe“ (European Privacy Seal) gemacht, wodurch Unternehmen nach europäischen Datenschutz-Standards geprüft werden.

    Wie läuft ein Datenschutzaudit ab?

    Während des Zertifizierungsverfahrens kontrollieren die Prüfer schrittweise, ob die firmeninternen Prozesse den gesetzlichen Vorschriften der DSGVO entsprechen. Hierfür ist eine enge Zusammenarbeit mit dem Unternehmen und den einzelnen Abteilungen unerlässlich, damit die Prüfstelle sich einen Eindruck von den jeweiligen Abläufen verschaffen kann. Zusätzlich wird überprüft, ob der Datenschutzbeauftragte sowie die zuständigen Mitarbeiter mit den Datenverarbeitungsvorgaben vertraut sind und diese gemäß DSGVO einhalten und dokumentieren.

    Anhand der vorliegenden Dokumentationen und Nachweise entscheiden die Prüfer dann, ob ein Zertifikat ausgestellt werden kann oder nicht. Bei Unstimmigkeiten kann es sein, dass Ihnen das Zertifikat verwehrt wird. In diesem Fall erhalten Sie im Anschluss einen Auditbericht mit allen Mängeln, die in einem vorgegebenen Zeitraum beseitigt werden müssen. Erst danach können ein erneutes Datenschutzaudit und eine mögliche Zertifizierung stattfinden.

    Einwilligungserklärung im Datenschutz: Bedeutung, Zweck und Anforderungen

    Jedes Unternehmen, das personenbezogene Daten erheben und verarbeiten möchte, benötigt von den betroffenen Personen eine Einwilligungserklärung, sofern dies vom Gesetz her nicht bereits ausdrücklich erlaubt ist oder überwiegende berechtigte Interessen des Unternehmens bestehen. Laut Art. 7 Abs. 1 DSGVO müssen solche Unternehmen anhand einer entsprechenden Einwilligungserklärung, die von den Betroffenen unterschrieben wird, nachweisen können, dass sie zur Verarbeitung dieser Daten befugt sind.

    Liegt diese Erklärung nicht vor oder entspricht sie nicht den gesetzlichen Anforderungen, können hohe Bußgelder drohen. Die Einwilligung kann dabei mündlich, schriftlich oder elektronisch erfolgen. Sie muss außerdem klar und deutlich formuliert sein und für die betreffenden Personen muss daraus klar hervorgehen, worum es sich handelt. Zudem muss die Möglichkeit gegeben sein, dass die unterzeichnende Person die Einwilligung jederzeit widerrufen kann.

    Was ist beim Datenschutz im Gesundheitswesen zu beachten?

    Gerade Patienteninformationen und Daten über deren Gesundheitszustand und Behandlung zählen zu den speziellen Arten personenbezogener Daten, die es datenschutzrechtlich ganz besonders zu schützen gilt. Es ist nur in sehr wenigen Ausnahmefällen erlaubt, solche besonderen personenbezogenen Daten zu erheben, zu speichern und zu verarbeiten. Entweder muss dies gesetzlich geregelt sein oder der Betroffene muss der Datenverarbeitung ausdrücklich zustimmen.

    Gesundheitsdaten dürfen beispielsweise dann erhoben werden, wenn dies der Behandlung oder Vorsorge des Patienten dient oder es für sein Überleben wichtig ist. Da Ärzte und medizinische Fachkräfte ohnehin der ärztlichen Schweigepflicht unterliegen, hat deren unbefugte Weitergabe dieser besonderen Daten strafrechtliche Konsequenzen. Medizinische Daten dürfen zum Beispiel dann „ausnahmsweise“ weitergegeben werden, wenn es sich bei den Empfängern um die Krankenkasse handelt, den medizinischen Dienst, die Datenschutzbehörde oder öffentliche Behörden im Falle von übertragbaren Krankheiten.

    In letzterem Fall ist die Meldung sogar verpflichtend, wenn auch in anonymisierter Form. Auch zur Gefahrenabwehr können Polizei und Staatsanwaltschaft besondere personenbezogene Daten einfordern. In den meisten anderen Fällen bedarf es der ausdrücklichen Einwilligungserklärung durch den Patienten.

    Wie wird der Datenschutz in der Arztpraxis gehandhabt?

    Grundsätzlich müssen Ärzte ein gewisses Datenschutz-Management vorweisen können, das den Schutz der Patientendaten gewährleistet. Alle internen Abläufe in Bezug auf den Datenschutz sollten spätestens jetzt auf die datenschutzrechtliche Konformität überprüft und, wenn erforderlich, angepasst werden. Das schließt auch eine entsprechende Schulung aller Praxismitarbeiter mit ein. Ein Datenschutzbeauftragter wird hingegen nur benötigt, wenn mehr als neun Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten zu tun haben. Arztpraxen wird in der neuen DSGVO auch dazu geraten, eine interne Datenschutzrichtlinie zu erstellen, dies ist aber nicht verpflichtend. Eine Einwilligung zur Datenverarbeitung muss vom Patienten nicht eingeholt werden, wenn es um routinemäßige Behandlungen geht, die in der Regel auf einer gesetzlichen Grundlage beruhen.

    Was bedeutet TOM im Datenschutz?

    „TOM“ steht als Abkürzung für „technische und organisatorische Maßnahmen“, die einigen Unternehmen bereits aus dem alten Bundesdatenschutzgesetz bekannt sein dürften. Neben dem Verarbeitungsverzeichnis und der Datenschutz-Folgenabschätzung ist die Dokumentation der TOM ein wichtiger und verpflichtender Bestandteil für Unternehmen, um die Anforderungen der DSGVO zu erfüllen.

    Die Dokumentation der technischen und organisatorischen Maßnahmen dient dazu, den Datenschutz im Unternehmen überwachen zu können. Mit den TOM wird also genau dargestellt, auf welche Art und Weise personenbezogene Daten geschützt werden. Bei einer Prüfung durch die Behörden, können diese Aufzeichnungen hilfreich sein, um zu belegen, dass alle notwendigen Maßnahmen gesetzeskonform durchgeführt wurden.

    Datenschutz und Betriebsrat: welche Regelungen gelten?

    Der Betriebsrat muss nicht nur dafür sorgen, dass der Arbeitgeber nicht unerlaubt auf bestimmte Beschäftigtendaten zugreift, er muss sich auch selbst an die Vorgaben des Arbeitnehmerdatenschutzes halten. Seit Inkrafttreten der neuen DSGVO gilt sowohl für Arbeitgeber als auch für Betriebsräte, dass sie nur auf Arbeitnehmerdaten zugreifen und diese verarbeiten dürfen, wenn hierfür eine rechtliche Grundlage bzw. Erlaubnis vorliegt. Einige der dafür vorgesehenen Regelungen sind auch im Betriebsverfassungsgesetz (BetrVG) zu finden.

    Welche Daten darf der Betriebsrat verarbeiten?

    Der Betriebsrat ist dazu berechtigt, Daten von Arbeitnehmern einzusehen und vom Arbeitgeber anzufordern, die er benötigt, um seine Aufgaben als Betriebsrat erfüllen zu können. Dies betrifft unter anderem die Gehaltslisten sowie die Zeiterfassungslisten. Nur so kann der Betriebsrat überprüfen, ob die Arbeitszeitgesetze eingehalten werden und die Angestellten gleichberechtigt bezahlt werden. Die Herausgabe der Daten durch den Arbeitgeber an den Betriebsrat muss allerdings einer gewissen Verhältnismäßigkeit entsprechen.

    Das bedeutet, dass nicht alle Betriebsratsmitglieder Zugriff auf die Daten haben dürfen, sondern nur diejenigen, die diese zur Erfüllung ihrer Aufgaben auch wirklich benötigen. Auch dürfen die Daten nur für Betriebsratszwecke eingesetzt und nicht anderweitig verwendet werden. Mitarbeiterdaten dürfen auch nur dann an andere Personen des Unternehmens weitergegeben werden, wenn der Betroffene ausdrücklich zustimmt oder die Daten ohnehin bereits bekannt sind.

    Das kann zum Beispiel der Fall sein, wenn Daten wie Krankheitstage an die zuständige Krankenversicherung gemeldet werden.