Skip to main content

Soforthilfe vom Anwalt: Jetzt Kontakt aufnehmen

Datenschutzaudit

Die europäische Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz, die seit dem 25. Mai 2018 zwingend beachtet werden müssen, bringen zahlreiche Neuerungen mit sich und führen deshalb sowohl auf Seiten der datenverarbeitenden Unternehmen, als auch auf Seiten der von der Datenverarbeitung Betroffenen zu Unsicherheit. Um sicherzustellen, dass der eigene Umgang mit Daten Dritter den neuen gesetzlichen Standards entspricht, bietet es sich für Unternehmen an, sich einem Datenschutzaudit zu unterziehen und die Ergebnisse zu veröffentlichen. Die Details eines solchen Zertifizierungsverfahrens möchten wir Ihnen in diesem Beitrag erläutern.

Was ist ein Datenschutzaudit?

DSGVO

Das Datenschutzaudit, auch Zertifizierungsverfahren genannt, ist ein Verfahren, das dazu dient, den Nachweis über die Einhaltung der gesetzlichen Anforderungen zu erbringen. Wird es erfolgreich durchlaufen, erhält das geprüfte Unternehmen nach Abschluss des Verfahrens ein Zertifikat, mit dem es den Nachweis auch für die Öffentlichkeit sichtbar nach außen kenntlich machen kann. Die Teilnahem an einem Datenschutzaudit ist für Unternehmen letztlich freiwillig.

Dieses Zertifizierungsverfahren ist jedoch keinesfalls erst mit den aktuellen Reformen im Datenschutzrecht entstanden, sondern wurde vielmehr bereits vom deutschen Gesetzgeber in § 9a der alten Fassung des Bundesdatenschutzgesetzes (im Folgenden „BDSG a.F.“) geregelt. Danach hatten Unternehmen auch bisher die Möglichkeit, ihre Art der Datenverarbeitung von einem unabhängigen und zertifizierten Prüfer kontrollieren zu lassen und das Ergebnis der Prüfung zu veröffentlichen. Dass Zertifizierungsverfahren nun auch nach Inkrafttreten der europäischen Datenschutz-Grundverordnung (im Folgenden „DSGVO“) im Sinne des Gesetzgebers sind, zeigt ein Blick in die Datenschutz-Grundverordnung, die nun einen einheitlichen europäischen Rechtsrahmen für die Zertifizierung und die Vergabe von Gütesiegeln normiert. In Art. 42 Abs. 1 DSGVO regelt der europäische Gesetzgeber, dass insbesondere auf Unionseben die

Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird“,

von den Mitgliedstaaten, den Aufsichtsbehörden, dem Ausschuss und der Kommission gefördert wird. Zur Kenntlichmachung der Datenschutzkonformität können verschiedene Zertifizierungsverfahren herangezogen und Datenschutzsiegel oder Datenschutzprüfzeichen von der Zertifizierungsstelle vergeben werden. Die Möglichkeiten der Zertifizierung und die Art der Kenntlichmachung des erfolgreich absolvierten Datenschutzaudits muss gem. Art. 42 Abs. 8 DSGVO in einem Register aufgenommen und in geeigneter Weise veröffentlicht werden. Auf diese Weise ist das Zertifizierungsverfahren für interessierte Unternehmen ebenso transparent, wie für die Öffentlichkeit.

Warum ist ein Datenschutzaudit sinnvoll?

Gerade in Deutschland ist der Datenschutz ein sensibles Thema. Der Gesetzgeber hat ebenso wie der Bürger ein Interesse an einem hohen Datenschutzniveau und ist in weiten Teilen inzwischen mehr als vorsichtig bei der Weitergabe seiner Daten. Durch die neue europäische Datenschutz-Grundverordnung sind die Anforderungen, denen datenverarbeitende Unternehmen nun gerecht werden müssen, nicht geringer geworden. Vielmehr treffen Verantwortliche unter anderem umfangreiche Nachweispflichten im Hinblick auf den rechtskonformen Umgang mit personenbezogenen Daten. Auch Betroffene und Geschäftspartner sind in Zeiten gesetzlicher Reformen noch interessierter daran zu erfahren, ob ihre Rechte geachtet werden.

Ein Datenschutzaudit bietet Unternehmen nun die Möglichkeit, gegenüber der Öffentlichkeit einen Nachweis über die Einhaltung europäischer und nationaler Datenschutzstandards zu erbringen. Auf diese Weise soll die Transparenz erhöht und Einhaltung der Verordnung verbessert werden. Unternehmen, die ein solches Zertifikat erhalten, beweisen damit Seriosität und Professionalität und gewinnen bzw. stärken auf diese Weise das Vertrauen ihrer Kunden und Geschäftspartner, die sich auf diese Weise einen schnellen Überblick über das Datenschutzniveau verschaffen können. Denn die Tatsache, dass die Zertifikate nur von unabhängigen und zugelassenen Prüfstellen vergeben werden können, belegt den hohen Stellenwert und die Aussagekraft eines solchen Prüfsiegels und ist damit auch ein gutes Marketing-Instrument.

Sich einem Datenschutzaudit zu unterziehen, bietet sich daher gerade für die Unternehmen an, die sich eingehend auf die Umstellungen durch die Datenschutzreformen eingestellt haben und damit weitgehend sicher sein können, dass ihre Art der Datenverarbeitung in Einklang mit dem geltenden Recht steht. Dies auch in Form eines vertrauenswürdigen Zertifikats nach außen kommunizieren zu können, ist gerade in Branchen, in denen Datenschutz eine wichtige Rolle spielt, sinnvoll und kann sogar einen Vorteil gegenüber der Konkurrenz darstellen.

Rundum Datenschutz im Abo

Die Anforderungen an den Datenschutz wechseln ständig: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Bleiben Sie mit dem wöchentlichen Datenschutz-Update unserer Datenschutzpakete immer einen Schritt voraus. Mit dem Abmahnkostenschutz bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind.

Wann sollte ein Datenschutzaudit in die Wege geleitet werden?

Natürlich gilt hinsichtlich des Zeitpunkts der Zertifikatserlangung grundsätzlich die Regel: Je früher, desto besser! Doch Unternehmen sollten auch nicht voreilig reagieren. Insbesondere sollte ein solch aufwändiges Prüfverfahren erst dann in die Wege geleitet werden, wenn man sich sicher ist, dass man die neuen Standards der europäischen Datenschutz-Grundverordnung und des neuen Bundesdatenschutzgesetzes auch erfüllt. Denn die Zertifizierungsstellen bewerten nur den aktuellen Stand der Umsetzung und geben keinerlei Beratung in Datenschutzangelegenheiten, wenn Mängel bestehen. Entspricht die geprüfte Datenverarbeitung nicht dem geltenden Recht, kann kein Zertifikat ausgestellt werden und das Verfahren ist umsonst durchlaufen worden.

Wer kann ein Datenschutzaudit durchführen?

Ein Datenschutzaudit können neben den zuständigen Aufsichtsbehörden nur datenschutzrechtlich spezialisierte Institutionen durchführen, die von Zertifizierungsstellen akkreditiert wurden. Dabei sind es auch die Aufsichtsbehörden, die nach den Regelungen des neuen Bundesdatenschutzgesetzes gemeinsam mit der Deutschen Akkreditierungsstelle die Zertifizierungsstellen akkreditieren. Erst nachdem eine Zertifizierungsstelle offiziell akkreditiert wurde, kann sie in den konkreten Einzelfällen prüfen, ob die datenschutzrechtlichen Regelungen eingehalten werden und dementsprechend ein Zertifikat erteilen.

Datenschutz

Wie wird ein Zertifizierungsverfahren ablaufen?

Welches Verfahren Unternehmen genau durchlaufen müssen und welche Kriterien bei der Erteilung des Zertifikats eine Rolle spielen, ist bisher noch unklar. Derzeit arbeiten die Aufsichtsbehörden mit Hochdruck an der Entwicklung einheitlicher Prüfkriterien, anhand derer Zertifizierungsverfahren durchgeführt werden. Dabei handelt es sich jedoch um eine Herausforderung für die Aufsichtsbehörden, die nicht zu unterschätzen ist.

Voraussetzung für die Durchführung eines Datenschutzaudits ist jedoch in jedem Falle die Mitwirkung des geprüften Unternehmens. Denn das Unternehmen muss der Zertifizierungsstelle alle für die Prüfung erforderlichen Informationen bereitstellen, damit dieses auch tätig werden kann. Von der Mitwirkungspflicht ebenfalls umfasst ist die Verschaffung des Zugangs zu den relevanten Datenverarbeitungsvorgängen. Denn nur, wenn das Unternehmen diesen Mitwirkungspflichten nachkommt, kann die Zertifizierungsstelle auch nachprüfen, inwieweit das Unternehmen datenschutzkonform agiert. Um dies sicherstellen zu können, ist es um so wichtiger, dass die zuständigen Mitarbeiter in dem Unternehmen ihre Datenverarbeitungsvorgänge gründlich kennen und auch dokumentieren.

Datenschutzgenerator

Datenschutzerklärungen müssen natürlich einzelfallgerecht und umfassend formuliert werden. Dies kostet aber Zeit.
Mit dem Datenschutz-Generator der Rechtsanwaltskanzlei “Wilde Beuger Solmecke” können Sie schnell und einfach eine individuelle Datenschutzerklärung für Ihre Webseite generieren.

Was passiert nach dem Datenschutzaudit?

Unternehmen, die ein Datenschutzaudit erfolgreich durchlaufen haben, wird das Zertifikat erteilt. Dieses ist zeitlich begrenzt und hat einen Rahmen von bis zu drei Jahren. Die Dauer der Gültigkeit des Zertifikats kann dabei verlängert werden, wenn die Voraussetzungen dafür weiterhin vorliegen.

In der Zwischenzeit müssen die datenschutzrechtlichen Vorgaben natürlich weiterhin eingehalten werden. Auch hindert ein erfolgreiches Datenschutzaudit die Aufsichtsbehörden nicht daran, ihre Aufgaben wahrzunehmen und auch zertifizierte Unternehmen zu kontrollieren. Ein erfolgreich durchlaufenes Datenschutzaudit kann sich jedoch durchaus positiv auf eine solche Kontrolle auswirken, da das kontrollierte Unternehmen damit zeigt, dass es zum Zeitpunkt des Audits rechtskonform mit den Daten umgegangen ist. Sollte sich jedoch nach Erteilung des Zertifikats zum Beispiel im Rahmen einer Kontrolle durch die Aufsichtsbehörden herausstellen, dass die Datenverarbeitung nachträglich rechtswidrig erfolgt, kann das Zertifikat auch vor Ablauf seiner Dauer widerrufen werden.

Was wird aus den bisherigen Zertifikaten?

In der Vergangenheit gab es bereits eine Vielzahl von Zertifizierung verschiedener Organisationen, jedoch haben Kontrollen von Aufsichtsbehörden ergeben, dass anhand dieser Zertifikate nicht genau nachvollzogen werden kann, inwieweit die gesetzlichen Standards eingehalten werden. Aus diesem Grund soll ein einheitliches Zertifizierungsverfahren nun Abhilfe schaffen. Dies bedeutet aber auch, dass die bereits erteilten Zertifikate nicht übertragen werden können. Denn diese können jedenfalls nicht im Hinblick auf die Einhaltung der neuen Datenschutz-Grundverordnung als Grundlage für ein neues Zertifikat dienen. Berücksichtigung werden sie wohl jedoch sicherlich im Rahmen eines neuen Datenschutzaudits bekommen.

Wir helfen Ihnen

Sie haben Fragen zum Thema Datenschutzaudit oder zu anderen datenschutzrechtlichen Aspekten? Wir helfen Ihnen gerne! Das Expertenteam aus dem Datenschutzrecht steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Aktuelles im Datenschutz


Mark Zuckerberg, von Anthony Quintano

Datenschützer Schrems vs. Meta: EuGH schränkt Facebooks Datennutzung massiv ein

  • 04.10.2024

Inhalt Datensammeln für personalisierte Werbung – auf welcher Grundlage? Facebook sammelt auch sensible Daten – ist das legal? Generalanwalt: Facebook darf nicht zeitlich unbegrenzt massenhaft Daten zu Werbezwecken nutzen Urteil des EuGH Urteil des EuGH könnte Grundlage für Schadensersatzansprüche der Nutzer werden Facebook darf nicht sämtliche personenbezogenen Daten, die […]

Datenspeicherung: Das BKA-Gesetz ist teils verfassungswidrig

  • 04.10.2024

Inhalt Überwachung von Kontaktpersonen verfassungswidrig Rechtswidrige Speicherung von Daten in INPOL   Die Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte kann vor dem Bundesverfassungsgericht einen Erfolg feiern: Der Senat hat Teile des BKA-Gesetzes in der Tat für verfassungswidrig erklärt. Beanstandet wurde die Speicherung und Verarbeitung von personenbezogenen Daten, insbesondere von Kontaktpersonen. […]

Welche Rechte haben Geschädigte?: KI, “Deepfakes“ und Face-Swap-Apps können Personen in Pornos austauschen

  • 01.10.2024

Mit Hilfe Künstlicher Intelligenz und einfachen Apps können Nutzer kinderleicht Videos bearbeiten und dabei die Gesichter von Pornodarstellern gegen andere austauschen. Dies verleiht nicht nur enttäuschten Ex-Partnern beim Erstellen von Rache-Pornos neue Möglichkeiten, sondern wirft auch einige rechtliche Fragen auf.