Datenschutz-Checkup

Gemäß § 4g BDSG ist es Aufgabe des Datenschutzbeauftragten auf die Einhaltung der Vorschriften des Datenschutzes hinzuwirken. So ist u. a. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen, aber auch eine Datenschutzorganisation zu etablieren (sowohl im Rahmen der Ablauf- und Aufbauorganisation). Des Weiteren sind Empfehlungen zur Einhaltung des Datenschutz zu erarbeiten.

Zu diesem Zweck ist es sinnvoll, zunächst den Status quo der Datenschutzsituation zu ermitteln, wodurch die Schwachstellen nicht nur erkannt, sondern auch strukturiert entgegengewirkt werden können, indem ein Maßnahmenkatalog mit Prioritäten und Verantwortlichkeiten erstellt wird.

Hierbei stellt bei der Status-Quo-Erhebung und der Ableitung der Maßnahmenempfehlungen die Erstellung eines hierfür geeigneten Fragenkatalogs den Datenschutzbeauftragten häufig vor Schwierigkeiten. Aber auch die Effizienz ist problematisch, schließlich hat der Datenschutzbeauftragte selten die Zeit und das Budget (und zu Beginn seiner Tätigkeit regelmäßig auch nicht die Erfahrung), um eine solche Erhebung und Auswertung effizient durchzuführen. 

Wie kann die Status-Quo-Erhebung und -Auswertung effizient umgesetzt werden?

Durch die Anwendung von vorstrukturierten Best-Practice-Tools kann kostengünstig auf einen umfangreichern Erfahrungsschatz zurückgegriffen werden. Der Datenschutz-Checkup basiert auf dem UIMC-Tool für Analyse und Berichterstattung (UTAB), welches ein komplexes, modular aufgebautes Programmsystem ist. Durch die Nutzung wird die Rationalisierung von Analyse- und Beratungsprozessen ermöglicht. Sowohl die Prozesse der Konzepterstellung und Umsetzungsvorbereitung als auch die Umsetzungsverfolgung laufen computergestützt ab, um so nicht nur Zeit und Ressourcen zu sparen, sondern auch um die Qualität der Ergebnisse entsprechend zu verbessern.

Der Datenschutz-Checkup im Sinne einer Schwachstellenanalyse gestattet es, eine Bewertung des Datenschutzes vorzunehmen. Prüfinhalte sind neben den gesetzlichen Anforderungen an den Datenschutz auch Maßnahmen der Informationssicherheit sowie die Sensibilisierung der Geschäftsführung und der Mitarbeiter.

Im Rahmen des Datenschutz-Checkups werden die gesetzlichen Anforderungen des Datenschutzes computergestützt abgeprüft und Schwachstellen erkannt. Die Auswertung ist ebenfalls computergestützt, indem automatisch ein Ergebnisbericht mit Schwachstellen und möglichen Maßnahmenempfehlungen zur Herstellung einer ordnungsgemäßen, datenschutzgerechten Organisation erstellt wird.

Bietet der Datenschutz-Checkup Möglichkeiten, den Entscheidungsträgern einen schnellen Überblick über die Ergebnisse zu geben?

Der Datenschutz-Checkup beinhaltet zum einen eine sog. Management-Summary-Funktion. Die stellt die Ergebnisse in kumulierter Weise dar. Aber auch die Inhalte im Status-Quo-Bericht werden durch eine farbliche Aufbereitung von Schwachstellen und Risiken übersichtlich dargestellt.

Zum anderen ermöglicht die quantitative Auswertung eine zusammenfassende grafische Darstellung der Erhebungsergebnisse. Aber auch eine individuelle Interpretationsmöglichkeit der Ergebnisse durch angepasste Gewichtungen und eine zusammenfassende Bewertung von Erhebungsteilgebieten sowie die Aggregation von unterschiedlichen Erhebungen ist hierbei problemlos darstellbar. Ferner ist der Vergleich von unterschiedlichen, durchgeführten Analysen umsetzbar (z. B. Trendanalysen und Benchmarking).

Wie erleichtert das Tool die Verbesserung des Datenschutzes?

Zu jeder Schwachstelle wird eine Maßnahmen vorgeschlagen, welche dann innerhalb eines Maßnahmenkatalogs priorisiert werden kann, sodass eine sukzessive Abarbeitung der Schwachstellen möglich ist. Hierbei können Verantwortungen und (Rückmelde-) Fristen festgelegt werden. Dies ist erforderlich, weil Erfahrungswerte zeigen, dass ein gleichzeitiges Beseitigen verschiedenster Schwachstellen u. a. aus Effizienz-, Akzeptanz- und Effektivitätsgründen nicht sinnvoll ist.

Ferner kann die Umsetzung auch in das Tool übertragen werden, so dass mittels quantitativer Komponente eine Trendanalyse möglich ist.

Für welche Rechtsgrundlagen ist der Datenschutz-Checkup einsetzbar?

Der Datenschutz-Checkup kann für alle Datenschutzgesetze genutzt werden bzw. die UIMC hat zu Landes-, Kirchen- und Sozialdatenschutzgesetzen entsprechende Varianten. Auch existieren spezielle Branchenlösungen, wie z. B. für Universitäten oder für das Gesundheitswesen. Aber auch spezielle Lösungen für KMU und Konzern-Unternehmen oder für die Auditierung Ihrer Dienstleister im Rahmen der Auftragsdatenverarbeitung sind bereits erarbeitet.