datenschutz.Checkup

Es ist stets sinnvoll, zu Beginn (aber auch regelmäßig) den Status quo der Datenschutzsituation zu ermitteln, wodurch die Schwachstellen nicht nur erkannt, sondern auch strukturiert entgegengewirkt werden können, indem ein Maßnahmenkatalog mit Prioritäten und Verantwortlichkeiten erstellt wird.

Hierbei stellt bei der Status-Quo-Erhebung und der Ableitung der Maßnahmenempfehlungen die Erstellung eines hierfür geeigneten Fragenkatalogs den Datenschutzbeauftragten häufig vor Schwierigkeiten. Aber auch die Effizienz ist problematisch, schließlich hat der Datenschutzbeauftragte selten die Zeit und das Budget (und zu Beginn seiner Tätigkeit regelmäßig auch nicht die Erfahrung), um eine solche Erhebung und Auswertung effizient durchzuführen. 

Unser datenschutz.Checkup ist eine standardisierte Analyse Ihrer Datenschutz-Organisation inkl. bereits realisierter Anforderungen der relevanten Gesetze, die anhand des vorstrukturierten UIMC-Tools für Analyse und Berichterstattung (UTAB) computergestützt erhoben und ausgewertet wird.
Für die Erhebung sollten fachkundige Mitarbeiter des Hauses bei Gruppengesprächen zur Verfügung stehen. Es handelt sich hierbei um die Beantwortung von Fragen, deren Ergebnisse die Grundlage des Status-Quo-Berichts und des hierauf aufbauenden Vorschlags zur Schwachstellenbeseitigung bildet („Maßnahmenkatalog“).

Am datenschutz.Checkup sollte neben dem internen Datenschutzansprechpartner eine Person teilnehmen, die die internen Strukturen und bereits getroffenen Regelungen und die Prozesse gut kennt. Die Teilnahme aus den datenschutzrelevanten Fachbereichen (wie z. B. Personal, Vertrieb, Marketing, IT) ist zumindest temporär empfehlenswert, wobei es zielführend für die Auditergebnisse und die Sensibilisierung in Ihrem Hause ist, wenn die Ansprechpartner den gesamten Zeitraum anwesend sind. Fragen, die nicht im Rahmen dieses Workshops geklärt werden, können zu Mehraufwänden führen. Die Teilnahme der Geschäftsführung oder einzelner Mitglieder ist zumindest für den Beginn aus „politischer“ und aus strategischer Sicht zu begrüßen. Dies schließt natürlich nicht aus, dass die Kompetenzen in Personalunion vorliegen können.

Der datenschutz.Checkup umfasst folgende Punkte:

  • Erhebung der Datenschutzsituation einschließlich der eingesetzten Maßnahmen (vor Ort);
  • Bewertung der eingesetzten Maßnahmen;
  • Erstellung eines Status-Quo-Berichts;
  • Erarbeitung einer Schwachstellenbeseitigungskonzeption in Form von umzusetzenden Maßnahmen („Maßnahmenkatalog“);
  • Besprechung der Ergebnisse und des weiteren Vorgehens (vor Ort).

 

Wie kann die Status-Quo-Erhebung und -Auswertung effizient umgesetzt werden?

Durch die Anwendung von vorstrukturierten Best-Practice-Tools kann kostengünstig auf einen umfangreichern Erfahrungsschatz zurückgegriffen werden. Der Datenschutz-Checkup basiert auf dem UIMC-Tool für Analyse und Berichterstattung (UTAB), welches ein komplexes, modular aufgebautes Programmsystem ist. Durch die Nutzung wird die Rationalisierung von Analyse- und Beratungsprozessen ermöglicht. Sowohl die Prozesse der Konzepterstellung und Umsetzungsvorbereitung als auch die Umsetzungsverfolgung laufen computergestützt ab, um so nicht nur Zeit und Ressourcen zu sparen, sondern auch um die Qualität der Ergebnisse entsprechend zu verbessern.

Der Datenschutz-Checkup im Sinne einer Schwachstellenanalyse gestattet es, eine Bewertung des Datenschutzes vorzunehmen. Prüfinhalte sind neben den gesetzlichen Anforderungen an den Datenschutz auch Maßnahmen der Informationssicherheit sowie die Sensibilisierung der Geschäftsführung und der Mitarbeiter.

Im Rahmen des Datenschutz-Checkups werden die gesetzlichen Anforderungen des Datenschutzes computergestützt abgeprüft und Schwachstellen erkannt. Die Auswertung ist ebenfalls computergestützt, indem automatisch ein Ergebnisbericht mit Schwachstellen und möglichen Maßnahmenempfehlungen zur Herstellung einer ordnungsgemäßen, datenschutzgerechten Organisation erstellt wird.

Bietet der Datenschutz-Checkup Möglichkeiten, den Entscheidungsträgern einen schnellen Überblick über die Ergebnisse zu geben?

Der Datenschutz-Checkup beinhaltet zum einen eine sog. Management-Summary-Funktion. Die stellt die Ergebnisse in kumulierter Weise dar. Aber auch die Inhalte im Status-Quo-Bericht werden durch eine farbliche Aufbereitung von Schwachstellen und Risiken übersichtlich dargestellt.

Zum anderen ermöglicht die quantitative Auswertung eine zusammenfassende grafische Darstellung der Erhebungsergebnisse. Aber auch eine individuelle Interpretationsmöglichkeit der Ergebnisse durch angepasste Gewichtungen und eine zusammenfassende Bewertung von Erhebungsteilgebieten sowie die Aggregation von unterschiedlichen Erhebungen ist hierbei problemlos darstellbar. Ferner ist der Vergleich von unterschiedlichen, durchgeführten Analysen umsetzbar (z. B. Trendanalysen und Benchmarking).

Wie erleichtert das Tool die Verbesserung des Datenschutzes?

Zu jeder Schwachstelle wird eine Maßnahmen vorgeschlagen, welche dann innerhalb eines Maßnahmenkatalogs priorisiert werden kann, sodass eine sukzessive Abarbeitung der Schwachstellen möglich ist. Hierbei können Verantwortungen und (Rückmelde-) Fristen festgelegt werden. Dies ist erforderlich, weil Erfahrungswerte zeigen, dass ein gleichzeitiges Beseitigen verschiedenster Schwachstellen u. a. aus Effizienz-, Akzeptanz- und Effektivitätsgründen nicht sinnvoll ist.

Ferner kann die Umsetzung auch in das Tool übertragen werden, so dass mittels quantitativer Komponente eine Trendanalyse möglich ist.

Für welche Rechtsgrundlagen ist der Datenschutz-Checkup einsetzbar?

Der Datenschutz-Checkup kann für alle Datenschutzgesetze genutzt werden bzw. die UIMC hat zu Landes-, Kirchen- und Sozialdatenschutzgesetzen entsprechende Varianten. Auch existieren spezielle Branchenlösungen, wie z. B. für Universitäten oder für das Gesundheitswesen. Aber auch spezielle Lösungen für KMU und Konzern-Unternehmen oder für die Auditierung Ihrer Dienstleister im Rahmen der Auftragsdatenverarbeitung sind bereits erarbeitet.