Datenschutzanalyse 2023

Unternehmen müssen regelmäßig ihr Datenschutzniveau überprüfen lassen. Dabei geht es nicht nur um die Datenschutzdokumentation sondern auch wie mit personen-bezogenen Daten im betrieblichen Alltag umgegangen wird. Häufig fordern Großkunden eine solche externe Datenschutzanalyse von ihren Lieferanten.

ISO 27001 Regelwerke können komplex oder schlank gestaltet werden

Die externe Datenschutzanalyse wird durch fachkundige IT und Datenschutzexperten durchgeführt. Diese datenschutzrechtliche Prüfung betrachtet folgende Punkte:

  • Bestellung des DSB
  • Fachkunde des DSB
  • Vollständigkeit der Datenschutzdokumentation
  • Konformität der Verfahrensverzeichnisse
  • Regelwerk zur DSGVO
  • Unterweisung der Mitarbeiter
  • Vorfallsdokumentation
  • Dokumente zu Betroffenenanfragen
  • Datenschutzerklärungen
  • ADV Dokumentation und Lieferantenverträge
  • Arbeitsverträge und NDA Regelungen

Wie erfolgt eine Datenschutzanalyse?

Datenschutzexperten werden zunächst die Datenschutzdokumentation des Unternehmens auf Konformität überprüfen. Im Anschluss werden spezifische Bereiche des Unternehmens überprüft. Dadurch kontrollieren die Auditoren in wie Weit das Unternehmen seinen Datenschutzverpflichtungen nachgekommen ist. Ein solche Datenschutzanalyse dauert je nach Unternehmensgröße und Komplexität 1-2 Tage. Dies ist jedoch nicht mit einem sehr aufwendigen Datenschutzaudit vergleichbar, der zu einem Zertifikat „Geprüfter Datenschutz“ führt. 

Dennoch sollte man immer eine Datenschutzanalyse zuerst durchführen, falls der betriebliche Datenschutzniveau nicht ausgereift genug ist. Erst im Nachgang macht die Durchführung eines Datenschutzaudits sinn. Häufig kombiniert man es auch mit einem ISO 27001 Audit.

Wozu dient der Datenschutzbericht?

Dach einer Datenschutzanalyse erhält die Geschäftsleitung einen Datenschutzbericht. Das Dokument zeigt für einzelne Bereiche den Datenschutzniveau mit Hilfe eines Ampelsystems (Rot, Gelb, Grün). Das erleichtert den verantwortlichen Führungskräften die einzelnen Problemzonen zu verstehen und Prioritäten zu setzen.

Beratungsgespräche zur Vorbereitung des ISO27001 Audit

Wie verbessert man den Datenschutz nach der Datenschutzanalyse?

Sobald man die Liste der Datenschutzmängel bzw. Schwächen hat, sollte man in einer Tabelle die einzelnen Problembereiche übersichtlich zusammen tragen. Für jedes Problem muss eine für die Problemlösung verantwortliche Personen festgelegt werden. In der zweiten Spalte sollte man die Priorität mit einer Kennzahl und Farbe hervorheben. In einer weiteren Spalte trägt man den Zieltermin für die Behebung. Die letzte Spalte enthält den Stand der Problembehandlung

Sobald eine Problemzone dauerhaft behoben wurde, sollte der Datenschutzbeauftragter dies überprüfen und in der Tabelle den neuesten Status hinterlegen. Damit kann man dann erkennen, wie viele Problempunkte noch ungelöst sind. Diese Tabelle wird ein wichtiger Nachweis bei einem späteren Datenschutzaudit und einem ISO 27001 Audit sein.