datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Datenschutz-Gutachten: Prüfung auf Herz und Nieren

  • Von Louisa N.
  • Letzte Aktualisierung am: 19. August 2024
Geschätzte Lesedauer: 5 Minuten

Das Wichtigste zum Datenschutz-Gutachten in Kürze

  • Ein Datenschutz-Gutachten dient der Prüfung, ob in einer datenverarbeitenden Stelle die Datenschutz-Bestimmungen eingehalten werden.
  • Es gibt verschiedene Formen der Begutachtung, einige sind gesetzlich verpflichtend, etwa bei bestimmten Kategorien von verarbeiteten Daten, andere sind freiwillig.
  • Ein positives Datenschutz-Gutachten kann auch dem Zwecke einer Zertifizierung dienen.

Datenschutz-Gutachten: Werden Daten ausreichend geschützt?

Ein Datenschutz-Gutachten dient der Überprüfung, ob die Bestimmungen eingehalten werden.
Ein Datenschutz-Gutachten dient der Überprüfung, ob die Bestimmungen eingehalten werden.

Ein Datenschutz-Gutachten überprüft, ob ein Unternehmen oder eine öffentliche Stelle die geltenden Regelungen zum Datenschutz einhält. Ein solches kann von ganz unterschiedlichem Umfang sein, je nachdem was genau einer Prüfung unterzogen werden soll. Möglich sind zum Beispiel:

  • einzelne Produkte
  • einzelne Abläufe/Verfahren
  • die gesamte Institution

„Datenschutz-Gutachten“ ist weder ein geschützter Begriff noch wird darunter immer dasselbe verstanden. Welche verschiedenen Formen hierunter fallen können, soll im Folgenden vorgestellt werden.

Vorabkontrolle (§ 4d Absatz 5 BDSG)

Ein Datenschutz-Gutachten kann eine Vorabkontrolle nach BDSG sein.
Ein Datenschutz-Gutachten kann eine Vorabkontrolle nach BDSG sein.

Das Bundesdatenschutzgesetz (BDSG) sieht eine sogenannte Vorabkontrolle für automatisierte Verfahren vor. Das heißt, dass in bestimmten Fällen vor der Einführung von Verfahren zur automatisierten Verarbeitung personenbezogener Daten zunächst ein Datenschutz-Gutachten erstellt werden muss.

Dieses soll prüfen, ob sich durch diese Form der Datenverarbeitung Risiken für die Rechte und Freiheiten derjenigen Personen ergeben, deren Daten betroffen sind.

Das Datenschutz-Gutachten als Vorabkontrolle muss dann durchgeführt werden, wenn es bei der Verarbeitung um besondere Arten personenbezogener Daten geht oder die Persönlichkeit der Person (inklusive seiner Fähigkeiten, seiner Leistung und seines Verhaltens) bewertet werden soll. Ein solcher Fall wäre bei einer Videoüberwachung gegeben.

Besondere Arten personenbezogener Daten sind sensible Informationen und unterliegen daher einem stärkeren Schutz. Dazu gehören zum Beispiel Angaben zur Herkunft oder zu politischen Meinungen.

Datenschutz-Folgenabschätzung (Artikel 35 DSGVO)

Im Rahmen des Inkrafttretens der europäischen Datenschutzgrundverordnung (DSGVO) tritt die Datenschutz-Folgenabschätzung nach Artikel 35 an die Stelle der Vorabkontrolle. Die Fälle, in denen ein solches Datenschutz-Gutachten notwendig wird, decken sich im Großen und Ganzen mit denen des BDSG: Bewertung der Persönlichkeit durch die Datenverarbeitung sowie die Verwendung besonderer Arten von personenbezogenen Daten. Explizit genannt wird die umfangreiche Überwachung öffentlich zugänglicher Bereiche, also zum Beispiel durch eine Videoaufzeichnung.

Freiwilliges Datenschutz-Gutachten

Ein freiwilliges Datenschutz-Gutachten kann sich zur Vermeidung von Sanktionen für das Unternehmen lohnen.
Ein freiwilliges Datenschutz-Gutachten kann sich zur Vermeidung von Sanktionen für das Unternehmen lohnen.

Ein Datenschutz-Gutachten kann auch ohne Verpflichtung erstellt werden. Dies ist beispielsweise dann sinnvoll, wenn sichergestellt werden soll, dass die geltenden Datenschutzbestimmungen auch tatsächlich und vollständig eingehalten werden. Im Lichte der drohenden Sanktionen von bis zu 20 Mio. Euro, die die EU-Datenschutzgrundverordnung bei Zuwiderhandlung vorsieht, kann sich eine solche vorausschauende Investition in ein Datenschutz-Gutachten durchaus lohnen.

Auf der Grundlage der Prüfungsergebnisse lässt sich dann feststellen, was bereits umgesetzt ist und wo Handlungsbedarf besteht. Für die fehlenden Maßnahmen können ein Handlungsplan erstellt und die Prioritäten für die Umsetzung der einzelnen Punkte festgelegt werden. Das Datenschutz-Gutachten sorgt hier also dafür, dass die geltenden Regeln mit Gewissheit eingehalten werden.

Zertifizierung für den Datenschutz mittels Gutachten

Auch im Rahmen einer Zertifizierung kann ein solches Datenschutz-Gutachten durchgeführt werden. Dabei wird von externen Gutachtern das gesamte Unternehmen oder nur ein Teil daraufhin geprüft, ob der Datenschutz allen Regelungen entspricht. Je nach Zertifikat können die Kriterien verschieden streng oder unterschiedlich gewichtet sein.

Ein Zertifikat, das nach einem solchen Datenschutz-Gutachten ausgestellt wird, weist das betreffende Unternehmen als eines aus, dessen Verfahren der Datenverarbeitung von unabhängiger Seite geprüft worden sind. Den Kunden kann dies Vertrauen vermitteln – somit dient eine unabhängige Zertifizierung auch als Wettbewerbsvorteil.

Datenschutzaudit nach BDSG

Ein solches freiwilliges Datenschutz-Gutachten mit Zertifizierung wird auch ausdrücklich in § 9a Bundesdatenschutzgesetz (BDSG) vorgesehen und als Datenschutzaudit bezeichnet. Es heißt dort:

Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen.

Datenschutz-Gutachten: Ein Audit kann das Vertrauen der Kunden stärken.
Datenschutz-Gutachten: Ein Audit kann das Vertrauen der Kunden stärken.

Dieses Datenschutz-Gutachten erhält also dadurch, dass seine Gutachter unabhängig und zugelassen sein müssen, eine erhöhte Seriosität. Das Ergebnis eines erfolgreich durchlaufenen Audits kann als Zertifikat dienen und gibt somit auch den Kunden einen Anhaltspunkt für die Vertrauenswürdigkeit des Anbieters.

Ein Gesetz, das die näheren Bedingungen für den Datenschutzaudit festlegen sollte und auf das im BDSG verwiesen wird, kam allerdings nicht zustande.

Zertifizierung nach DSGVO

Auch die europäische Datenschutzgrundverordnung sieht einen freiwilligen Zertifizierungsprozess vor, der dem Nachweis dienen soll, dass ein Unternehmen datenschutzrechtlich alle Bedingungen erfüllt. Ein Datenschutz-Gutachten soll die Einhaltung aller Regelungen prüfen und anschließend ein Zertifikat ausstellen, das eine maximale Gültigkeit von drei Jahren hat.

Auch die DSGVO gibt keine konkrete Regelung dieses Prozesses, regt aber eine Vereinheitlichung in Richtung eines gemeinsamen europäischen Datenschutzsiegels an.

Was wird überprüft?

Ein Datenschutz-Gutachten muss bestimmte Prüfpunkte durchgehen.
Ein Datenschutz-Gutachten muss bestimmte Prüfpunkte durchgehen.

Was sind die Punkte, die bei einem Datenschutz-Gutachten geprüft werden? Was wird genau untersucht? Da es, wie oben gesehen, verschiedene Formen und Ziele von Gutachten gibt, lässt sich hier eine pauschale Antwort nicht geben. Einige grundlegende Prüfpunkte, die normalerweise berücksichtigt werden, sind beispielsweise folgende:

  • Systemschreibung des oder der Verfahren
  • Rechtsgrundlage der Datenverarbeitung
  • Gefahrenanalyse
  • Risikoanalyse
  • Datensicherungskonzept
  • Maßnahmenplan

Wenn das gesamte Unternehmen untersucht wird, muss im Datenschutz-Gutachten auch geprüft werden, ob grundlegende organisatorische und technische Maßnahmen getroffen worden sind. Unverzichtbar sind beispielsweise das Vorhandensein eines Datenschutzbeauftragten und auch die datenschutzkonforme Einweisung der Mitarbeiter.

Wer kann überprüfen?

Grundsätzlich kann jeder, der über die nötige Fachkenntnis verfügt, ein Datenschutz-Gutachten verfassen. Damit aber seine Qualität und Aussagekraft sichergestellt ist, kann es sinnvoll sein, einen anerkannten Gutachter zu beauftragen.

Ein Datenschutz-Gutachten kann von einer anerkannten Gutachterin erstellt werden.
Ein Datenschutz-Gutachten kann von einer anerkannten Gutachterin erstellt werden.

Ein Sachverständiger kann von der Aufsichtsbehörde offiziell anerkannt werden, wenn er über die nötige Fachkunde, Unabhängigkeit und Zuverlässigkeit verfügt. Dies wird sorgfältig geprüft und muss im Einzelnen nachgewiesen werden.

Erstellt ein solcher anerkannter Sachverständiger das Datenschutz-Gutachten, hat dieses nicht nur mehr Aussagekraft, sondern dient auch den Kunden als vertrauenswürdigerer Nachweis der Einhaltung des Datenschutzes. Zudem ist die Beauftragung eines solchen Gutachters auch Voraussetzung, wenn eine Zertifizierung erfolgen soll.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (38 Bewertungen, Durchschnitt: 3,92 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

female author icon
Louisa N.

Louisa hat Informatik an der Hochschule für Technik und Wirtschaft in Berlin studiert und mehrere Jahre im Bereich IT-Sicherheit gearbeitet. Seit 2018 ist sie Redakteurin bei datenschutz.org und unterstützt unser Team mit ihrer Expertise. Ihre Texte befassen sich u. a. mit Themen wie Datenlöschung und Datenrettung.

Leser-Interaktionen

Kommentare

  1. Laura

    Ich möchte ein Gutachten erstellen lassen. Schön zu wissen, dass man aber auch genügend Daten benötigt. Sonst ist dieses nicht aussagekräftig.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.