Datenschutz IDW PH 9.860.1

Datenschutzgesetzgebung

Das EU-Datenschutzgesetz – die EU-Datenschutzgrundverordnung (DSGVO) – ist seit dem 25. Mai 2018 für alle EU Mitgliedsländer rechtsverbindlich. Gleichzeitig ist seitdem eine Neufassung des BDSG anwendbar. Die Meinung zur Datenschutzgesetzgebung hat sich dadurch vielerorts nicht geändert. Sie wird häufig als Behinderung der betrieblichen Praxis und der Wettbewerbsfähigkeit angesehen – immens aufwendig und realitätsfern.

Wert und Gefährdungen für personenbezogene Daten

Unsere Wahrnehmung und Auffassung dazu sind jedoch andere. Gerade bei Big Data, Open Data, Geo Data, Social Media, beruflichen Netzwerken, E-Government, Cloud Computing und in Zeiten, in denen (User-)Daten das Gold der digitalen Welt sind, regt sich bei vielen eine gewisse Grundbefürchtung, ob die Unternehmen den adäquaten Schutz von personenbezogenen Daten im Griff haben.

Datensicherheit und Datenschutz werden zunehmend als notwendiges Werteversprechen des Unternehmens wahrgenommen und es wird erwartet, dass es eingehalten wird. Aus dieser Sicht wirkt die Aufgabe der Datenschutzgesetzgebung ganz anders. Denn Verstöße gegen den Datenschutz oder auch erfolgreiche Angriffe auf Daten der Unternehmen können sich erheblich auf die Persönlichkeitsrechte und die Privatsphäre der betroffenen Personen auswirken.

Durch die im Zuge der DSGVO verschärften Sanktionen und Bußgelder kann sich das unmittelbar auf den Unternehmenserfolg auswirken.

Datenschutz erlangt Priorität

Die neue Datenschutzgesetzgebung ermöglicht v.a. einen besseren Verbraucherschutz. U.a. müssen Unternehmen Transparenz über die Verarbeitungsprozesse von personenbezogenen Daten gewähren und Betroffenen umfangreiche Rechte bzgl. „ihrer Daten” einräumen.

Zu deren Schutz müssen sog. technische und organisatorische Maßnahmen (TOM) ergriffen werden, die auf Basis von Risikobetrachtungen ausgewählt werden und deren Umsetzung regelmäßig zu überprüfen ist. Außerdem bestehen zu allen Aspekten umfangreiche Nachweis- und Meldepflichten für den Verantwortlichen.

Datenschutzprüfung wird zur Pflicht

Eine Datenschutzprüfung hilft, die Regelkonformität und die Sicherheit des eigenen Unternehmens zu beurteilen und die richtigen Maßnahmen für die Zukunft einzuleiten. Bei der Prüfung orientieren wir uns prinzipiell am Prüfungshinweis 9.860.1 des IDW. Dabei stehen folgende Anforderungen im Fokus:

Gesetzeskonforme Bestellung des betrieblichen Datenschutzbeauftragten
Angemessene Schulung und Unterweisung der Mitarbeiter
Organisation und Prozesse rund um die Betroffenenrechte
Führen des Verfahrensverzeichnisses
Umsetzung und Kontrolle der technischen und organisatorischen Maßnahmen
Durchführung von Datenschutzfolgenabschätzungen
Datenschutzerklärung und Impressumspflichten bei Internetauftritten
Einholung und Pflege von Einwilligungen
Gesetzeskonforme Auftragsverarbeitung

Der Prüfbericht weist dediziert auf Handlungsbedarfe hin und dient somit als Grundlage für die Ableitung von Maßnahmen. Die Prüfungshandlungen lassen sich i.d.R. gut mit anderen Bescheinigungen kombinieren und sind grundsätzlich eine gute Vorbereitung einer datenschutzspezifischen Zertifizierung.

Technische Validierung des bestehenden Datenschutzniveaus

Die genannten Prüfungsleistungen erlauben eine gute Standortbestimmung bzgl. der Erfüllung bestehender Datenschutzanforderungen. Das Rödl & Partner Beratungsportfolio im Bereich Datenschutz beinhaltet grundsätzlich auch technisch orientierte Datenschutzprüfung- und Beratung.

Der Grundgedanke dabei ist, dass bei aller Sorgfalt bei der Umsetzung erforderlicher technisch organisatorischer Maßnahmen zur Sicherstellung eines geforderten Datenschutzniveaus die eigentliche Wirksamkeit getroffener Sicherheitsmaßnahmen erst bzw. nur durch das „äußere” Erscheinungsbild der jeweiligen Organisation im öffentlichen Datennetz belegt werden kann.

Jede Organisation hinterlässt Spuren im sog. „Cyber-Raum”. Über ein technisches Rating-System, das auf öffentliche Daten und Informationen zurückgreift und sie im Kontext aktueller Bedrohungslagen bewertet, können wir das tatsächlich bestehende Datenschutzniveau einer Organisation ermitteln und bewerten.