[IITR – 20.12.22] Die Umsetzung von Datenschutz-Maßnahmen ist anspruchsvoll. Gute Kenntnisse der rechtlichen Anforderungen sind notwendig, um bestehende Möglichkeiten auszuschöpfen, ohne Grenzen zu überschreiten.
Das gelingt nicht immer. Zu viele Variablen, zu viel Interpretation, unklare Begrifflichkeiten, rechtliche Änderungen in einem Umfeld permanenter Weiter-Entwicklung.
Neben den gesetzlichen Vorgaben existieren aus der Gesellschaft vorgetragene Vorstellungen, wie datenschützende Maßnahmen anzuwenden wären. Zunehmend erwächst dabei der Eindruck, wonach die Respektierung von Persönlichkeitsrechten als wünschenswert betrachtet wird.
Unternehmen tragen für die Verarbeitung personenbezogener Daten, sowie jener ihrer Auftragnehmer die Verantwortung. Dazu setzt die Datenschutzgrundverordnung (DSGVO) Regeln hinsichtlich der Umsetzung und verlangt dafür Dokumentationen, also Nachweise. Ohne in die rechtlichen Einzelheiten gehen zu wollen wird zur Gewährung der Sicherheit der Verarbeitung in der DSGVO die Erwartung eines Verfahrens der regelmäßigen Überprüfung, Bewertung und Evaluierung hinsichtlich der Wirksamkeit der technischen und organisatorischen Maßnahmen zum Ausdruck gebracht.
Die DSGVO wird derzeit hauptsächlich in Richtung amerikanischer Großunternehmen ausgerollt. Zumindest scheint dies einem allgemein verbreiteten Eindruck zu entsprechen. Deutsche Datenschutz-Behörden arbeiten an ihren durch Personalknappheit verursachten Grenzen.
Viele Unternehmen wähnen sich daher immer noch in einer Art Halbschatten der Datenschutz-Bestimmungen.
Allerdings ist der Datenschutz eng verzahnt mit Data-Breaches, eine Bedrohung des Verlustes von Daten durch Diebstahl, Defekt oder Dummheit. Einen einzigen, vergifteten Link geöffnet, einen falschen Knopf in Zuge einer E-Mail-Korrespondenz betätigt, und schon bewegt man sich unversehens im gleißenden Scheinwerferlicht der DSGVO.
Spätestens dann erweist es sich als nützlich, über ein funktionsfähiges Backup der eigenen IT-Infrastruktur zu verfügen sowie auf eine Dokumentation der Verarbeitung personenbeziehbarer Daten zurückgreifen zu können, denn nun erwachsen einem Unternehmen Pflichten gegenüber womöglich Geschädigten.
Das Haftungs-Management
Die sich hierzu stellenden Fragen lauten:
- Wie verschafft man sich vorab einen Überblick über den aktuellen Datenschutz-Status seines Unternehmens?
- Wie gewinnt man unter dem sich fortlaufend ändernden Stand der Technik eine belastbare Aussage, ob der bestehende Status seines Unternehmens hinreichend ist?
- Auf welche Weise erhält man Hinweise, ob Investitionen in IT-Technik, ob Anpassungen von Software den vorhandenen Status nach Möglichkeit verbessert haben?
Die DSGVO kennt keine Verpflichtung einer systematischen Analyse und Bewertung von Maßnahmen, die für die Gewährleistung des Datenschutzes bei einer Verarbeitung personenbezogener Daten zu ergreifen wären. Sie beschränkt sich auf die generelle Forderung einer Umsetzungspflicht hinsichtlich fortwährender Aktualisierung von technischen und organisatorischen Maßnahmen und nennt Sanktionen, wenn dieser Verpflichtung nicht nachgekommen wird.
Was also wäre zu tun? Man könnte seinen IT-Verantwortlichen befragen. wie es um die Implementierung der geforderten Maßnahmen bestellt ist.
Dieser wiederum wäre womöglich glücklich, selber Hinweise zu erhalten darüber, wie seine Vorkehrungen und Installationen in die Anforderungen des Datenschutzes eingebettet sind. Ob er selber, Techniker, die juristischen Datenschutz-Bestimmungen richtig interpretiert hat.
Weiterhin könnte man an eine Auditierung durch Externe denken.
Was immer man unternimmt: am Ende sollte ein aussagekräftiger Report zur Verfügung stehen.
Aus einer beachtenswerten Untersuchung des Berufsverbandes BVD e.V. ging hervor, dass 49% der durchgeführten Audits völlig ohne verbindliche Richtlinien durchgeführt wurden.
Mehrheitlich entstehen Auditfragen audit-individuell aus einer vorliegenden Dokumentenprüfung, der Literatur oder wurden dem Internet entnommen.
Immerhin: 67 % der Befragten führen bereits Audits in einem maximal jährlichen Intervall durch.
Der Umfrage zufolge überwiegt das Interesse an einer Audit-Möglichkeit gegenüber dem Interesse an einem Datenschutz-Siegel.
Mit einem strukturierten Instrument ließe sich der aktuelle Status sicherlich feststellen und Vergleiche erzeugen. Es ließen sich Defizite aufdecken, um einer Behebung zugeführt werden zu können. Defizite welche entstehen werden aufgrund einer sich dynamisch weiterentwickelnden Technologie, aufgrund von Veränderungen der Rechtslage, aber auch Veränderungen im eigenen Unternehmen.
Es geht um
- Periodisch zu erzeugende Dokumentation des eigenen Status.
- Stützung eigener Nachweis- und Rechenschaftspflichten
- Benchmarking, zeitliche Veränderungen, Jahresvergleich
- Status-Ermittlung bei Fremdbeauftragung
- Haftungs-Management für Verantwortliche, durch Identifizierung von Defiziten
- Auslotende Vorbereitung eigener Zertifizierung.
All dies bedarf einer strukturierten Vorgehensweise. Der Nutzen einer solchen, einen Vergleich ermöglichenden Auditierung ist naheliegend.
Dies war vor drei Jahren für uns der Anlass, privASSIST zu entwickeln.
Verwendet wird privASSIST von Geschäftsführern, Wirtschaftsprüfern, Steuerberatern, Datenschutzbeauftragten, IT-Verantwortlichen, Informationssicherheitsbeauftragten sowie Verantwortlichen in den Bereichen Beschaffung, Personal, Vertrieb und Marketing.
privASSIST findet Anwendung als Analyse- sowie Auditierungs-Tool, welches die Datenschutz-Installation eines Unternehmens optimieren und die Folgen von Gefährdung durch Diebstahl, Defekte, Nachlässigkeiten usw. reduzieren kann.
Die Bezahlbarkeit eines Audit Instrumentes spielt eine Rolle. Auch deswegen wurde privASSIST webbasiert ausgelegt. Es kommt ohne externe Auditoren aus.
Dabei kann privASSIST in Teilbereichen gezielt eingesetzt werden. Prüfungen erfolgen gemäß Prüfstandard
(Certified Privacy Standard)
der IITR Cert GmbH.
Verfügbare Prüfstandards:
- CPS 021: Prüfung von Verarbeitung der Beschäftigtendaten
- CPS 031: Prüfung von Online-Auftritten/Webseiten
- CPS 041: Prüfung von Cyber-Security
- CPS 051: Prüfung von Bewerber-Management
- CPS 061: Prüfung von Videoüberwachungsanlagen
- CPS 071: Prüfung von Heimarbeit und mobilem Arbeiten
- CPS 091: Prüfung von Sicherheit bei der Datenverarbeitung (IT-Kurzcheck)
- CPS 350: Prüfung von Auftragsverarbeitern nach Art. 28 DSGVO
- CPS 501: Prüfung Informationssicherheit bei Dienstleistern für ISO27001
- CPS 911: Prüfung Personal-Abteilung allgemein
- CPS 921: Prüfung IT-Abteilung allgemein
- CPS 931: Vertrieb und Marketing
Darüber hinaus kann privASSIST auch für eine privatrechtliche Zertifizierung genutzt werden. Folgende Prüfungen stehen hierbei zur Verfügung:
- CPS 100: Zertifizierung des Datenschutz-Status bei mittelständischen Unternehmen
- CPS 300: Zertifizierung von Auftragsverarbeitern nach Art. 28 DSGVO
- CPS 600: Zertifizierung des Datenschutz-Status bei kleinen Unternehmen
Fazit
Geschäftsleitungen, sowie alle am Datenschutz-Status interessierte Dienstleister, weiterhin allen in einem Unternehmen mit dem Datenschutz befassten Abteilungen steht durch privASSIST ein kosteneffektives Instrument zur Verfügung, welches den Umfang und die Güte von Datenschutzmaßnahmen analysiert und mit den Forderungen der DSGVO vergleicht.
Periodisch eingesetzt gestattet dies ein firmeninternes Benchmarking, verschafft einen Überblick über den aktuellen Status der hierzu vorliegenden IT-Installation, identifiziert Defizite, überprüft die Wirkung ergriffener Maßnahmen vor dem Hintergrund sich fortlaufend vollziehender technologischer sowie rechtlicher Änderungen und reduziert damit u.a. das Risiko einer Haftung.
Mit-Autor: Eckehard Kraska
Der Beitrag Haftungs-Management durch Auditierung im Datenschutz erschien zuerst auf Das Datenschutz-Blog.