Datenschutz 2021: Datenschutz-Audit – warum jetzt ein sinnvoller Zeitpunkt ist

Den Schutz der Daten von Kunden, Partnern und MitarbeiterInnen gewährleisten zu können bleibt auch 2021 durch neue Richtlinien, die Erkenntnisse von Audits und die Auswirkungen von neuen Arbeitsweisen wie Home Office eine große Herausforderung.

Datenschutz-Audit – warum jetzt ein sinnvoller Zeitpunkt ist

Nach gut drei Jahren Datenschutz-Grundverordnung DSGVO sind die seinerzeit per 25.05.2018 gesetzten Maßnahmen in den Bereichen Recht, Organisation, Prozess und IT zu evaluieren. Das ist auch in der DSGVO selbst bereits festgesetzt durch den Grundsatz der Rechenschaftspflicht oder Accountability (Art 5 DSGVO). Unternehmen müssen diese Selbstverantwortung auch laufend nachweisen können.

Unternehmen und ihre datenschutzrechtlichen Verantwortlichen haben daher die Pflicht, regelmäßig ihre Datenschutzmaßnahmen auf  Einhaltung, Praktikabilität, Effizienz und Sinnhaftigkeit zu überprüfen. Ein Datenschutz-Audit bietet einen Check, was bislang gut gemacht wurde, was man gelernt hat und was noch zu verbessern ist, um Haftungsrisiken zu minimieren.

Durch „Kontinuierliche Verbesserungsprozesse“ (KVP) werden Effizienz und Qualität der Prozesse in Unternehmen gesteigert. Dieses Prinzip kann auch beim Datenschutz angewendet werden:

Anpassungen bei neuen Entwicklungen sowie aktuelle Rechtsprechungen sollten berücksichtigt werden, z.B.:

• Grundsätze des Datenschutzes durch Technik („privacy by design“) und durch datenschutzfreundliche Voreinstellungen („privacy by default“)
• Aktuelle Entscheidung der Datenschutzbehörde

Datenschutz-Audit – Lessons learned!

Die bisher durchgeführten Audits zeigen ein klares Bild: Es gibt dort und da Lücken, die dringend behoben werden müssen. Ein paar Beispiele:

• Datenschutz-Beauftragter: Es erfolgt oftmals keine ausreichende Prüfung und Dokumentation, warum ein Datenschutzbeauftragter zu bestellen ist oder nicht.
• Datenschutz-Folgenabschätzung (DSFA): Es gibt oftmals unzulängliche Evaluierungen risikoträchtiger Datenverarbeitungen und Beurteilungen, warum eine DSFA (bewusst) nicht durchgeführt wurde.
• Rechtsgrundlage Einwilligungen:

1. Gemäß dem Fairnessgrundsatz sollte eine Einwilligung nach einem gewissem Zeitraum „erneuert“ werden (Europäische Datenschutzausschuss: Leitlinie zur Einwilligung, 111). Praxistauglich ist ein Zeitraum von zwei Jahren bei Einwilligungen bzw. eine Prüfung im Einzelfall.
2. EuGH-Urteil zur Zustimmung zur Datenspeicherung: Im Voraus angekreuzte Kästchen sind nicht legal, sondern müssen aktiv durch die NutzerInnen selbst erfolgen.

• Cookies: Die aktuelle Judikatur verlangt eine Prüfung, inwieweit Werbe-Cookies für eigene Webauftritte verwendet werden. Entweder es erfolgt eine technische Lösung zur Einwilligung oder ein Verzicht.