Was ist ein Datenschutzaudit genau?
Ein Datenschutzaudit ist eine freiwillige Analyse und Prüfung der Datenschutzkonformität von datenverarbeitenden Vorgängen innerhalb eines Unternehmens. Es dient der Analyse, ob einzelne Datenverarbeitungsprozesse mit der DSGVO im Einklang stehen, so zum Beispiel bei der Anwendung von standardisierter oder individueller Software (sog. Software-Audit).
Dabei findet bspw. eine Prüfung von Verträgen, Betriebsvereinbarungen, internen Richtlinien hinsichtlich ihrer Datenschutzkonformität statt. Neben der Prüfung der einzelnen Verarbeitungsprozesse bzgl. ihrer Vereinbarkeit mit der DSGVO dient ein Audit auch der Prüfung von entsprechenden Sicherheitsvorkehrungen, wie zum Beispiel des Schutzniveaus von technischen und organisatorischen Maßnahmen (TOM) gem. Art. 32 DSGVO (sog. TOM-Audit). Aber auch die Kontrollmechanismen der DSGVO selbst, wie das Datenschutzmanagementsystem (DSMS) oder das Verzeichnis von Verarbeitungstätigen (VVT), werden auf ihre wirksame Umsetzung hin überprüft werden.
Zweck eines Datenschutzaudits ist die Schaffung einer Grundlage für die Entwicklung langfristiger Datenschutzstrategien. Dabei kann ein Audit sowohl dazu dienen, ein von Grund auf neues Datenschutzmanagement aufzuziehen, als auch bereits bestehende Betriebsabläufe umzugestalten und zu optimieren. Unternehmen profitieren von der Durchführung eines Audits, da mit dem Audit oftmals auch ein interner Lernprozess einhergeht.
Checkliste – Wann muss ein Datenschutzaudit durchgeführt werden?
In folgenden Fällen ist ein Audit insbesondere empfehlenswert:
- Zweifel an der Notwendigkeit der Bestellung einer/eines Datenschutzbeauftragten
- Zweifel an der Effektivität des Datenschutzmanagementsystems, durchgeführter Datenschutz-Folgenabschätzungen, Prozesse zum Umgang mit Betroffenenanfragen und angelegter Verzeichnisse von Verarbeitungstätigkeiten
- Keine spezifischen Datenschutzmaßnahmen für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb, HR
- Umfangreiche Auftragsverarbeitungsverträge
- Gefahren für die IT-Sicherheit, drohende oder mögliche Hackerangriffe
- Zweifel an ausreichenden Sicherheitsvorkehrungen für Server und Büros
Wer führt ein Datenschutzaudit durch?
Der/Die Datenschutzbeauftragte (DSB) eines Unternehmens hat die Aufgabe, die Einhaltung der gesetzlichen Anforderungen an den Datenschutz im Unternehmen sicherzustellen und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen. Von ihm/ihr kann daher auch die Initiative ausgehen, ein „internes Audit“ durchzuführen.
Eine weitere Möglichkeit ist ein „externes Audit“. Dies hat den großen Vorteil, dass Personen, die außerhalb der Organisation oder Unternehmen stehen, mit einem neutralen Blick ein Audit durchführen können. Auch zur Unterstützung des/der Datenschutzbeauftragten bei der Durchführung eines internen Audits kann es von Vorteil sein, dieses gemeinsam mit einem externen Beratungsunternehmen durchzuführen.
Wie läuft ein Datenschutzaudit ab?
Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten:
Schritt 1: Ist-Analyse
Im Rahmen der sog. Ist-Analyse werden die Risiken und Schwachstellen relevanter Prozesse im jeweiligen Unternehmen erfasst. Es wird regelmäßig geprüft, welche Vorgänge im Unternehmen besonders hohe Risiken für DSGVO-Verstöße aufweisen.
Dies erfolgt durch eine Überprüfung in rechtlicher (Einhaltung des Transparenzgrundsatzes der DSGVO, Reichweite von Einwilligungen etc.) und tatsächlicher Hinsicht (Einhaltung technischer und organisatorischer Maßnahmen , um ein dem Risiko angemessenes Schutzniveau zu gewährleisten).
Zur Ermittlung des Ist-Zustandes können im ersten Schritt Fragebögen im Unternehmen ausgeteilt werden mit der Bitte an die Mitarbeitenden, diese auszufüllen.
In einem weiteren Schritt bietet es sich gerade für größere Unternehmen an, Interviews mit denjenigen Mitarbeitenden zu führen, die einen guten Überblick über einzelne Abteilungen haben. Durch gezielte Interviews können gewisse Umstände präziser erfragt werden. Je sorgfältiger die entsprechenden Informationen unternehmensseitig vor- bzw. aufbereitet werden (Bestimmung eines Ansprechpartners/einer Ansprechpartnerin, Auflistung relevanter Fachabteilungen und entsprechender Fachverantwortlicher ), desto effektiver kann das Audit durchgeführt werden.
Eine weitere Audit-Methode, die zur Anwendung kommen kann, ist die Stichprobenüberprüfung. Hierbei wird eine vorher nicht bestimmte Auswahl von Vorgängen und Unterlagen wie z. B. Einwilligungserklärungen begutachtet.
Schritt 2: Analyse und Bewertung
Sind die einzelnen datenschutzrelevanten Prozesse identifiziert, folgt eine Analyse und Bewertung derselben. Dabei kommt es maßgebend darauf an, ob Risiken für von der Verarbeitung betroffene Personen bestehen. Soweit solche bestehen, muss festgelegt werden, ob diese durch die Verarbeitung einem hohen Risiko ausgesetzt werden. Dabei handelt es sich stets um eine Einzelfallprüfung (Liegen besonders sensible Daten vor? Bestehen Anhaltspunkte für Hackerangriffe? Sind Maßnahmen finanzierbar?).
Schritt 3: Analysebericht mit Maßnahmenkatalog und Implementierung
Aus den Ergebnissen der Ist-Analyse werden Maßnahmen abgeleitet, um einen bestimmten „Soll-Zustand“ in Hinblick auf die Einhaltung datenschutzrechtlicher Anforderungen zu erreichen. Maßnahmen können auf rechtlicher Ebene (z. B. veränderte Einwilligungs- und Datenschutzerklärungen) sowie technischer und organisatorischer Art (z. B. Überarbeitung des Verzeichnisses von Verarbeitungstätigkeiten, des Datenschutzmanagementsystems) erfolgen.
Hinsichtlich des Maßnahmenkatalogs erfolgen dabei konkrete Handlungsempfehlungen und Priorisierungen. Sind entsprechende Maßnahmen getroffen worden, sollten diese implementiert werden.
Schritt 4: Dokumentation und Prüfschleifen
Das Datenschutzaudit inkl. Ergebnis werden in einem Auditbericht dokumentiert. So können Unternehmen bspw. einen Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften und das Bußgeldrisiko senken.
Zudem ermöglicht die regelmäßige Überprüfung, Verstöße zu verhindern (Stichwort: Prävention). Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht gem. der DSGVO nach und erhöhen das Vertrauen in die Sicherheit der Datenverarbeitung.
Für welche Unternehmen sind Audits notwendig?
Da sich die DSGVO grundsätzlich an alle Unternehmen richtet, die personenbezogene Daten verarbeiten, ist ein Datenschutzaudit grundsätzlich für alle Unternehmen – also auch für kleinere und mittlere Unternehmen – zu empfehlen.
Erforderlich wird ein Datenschutzaudit insbesondere dann, wenn Zweifel an der Notwendigkeit der Bestellung eines/einer Datenschutzbeauftragten bestehen. Die Fälle, in denen eine solche Erforderlichkeit besteht, sind zum Teil Folge einer rechtlichen Bewertung (z. B. wann gehört die Übermittlung personenbezogener Daten zur Kerntätigkeit eines Unternehmens? Ab wann sind personenbezogene Daten besonders schutzwürdig?) und sollten daher genau überprüft werden.
Darüber hinaus ist ein Audit dann erforderlich, wenn Anhaltspunkte für mögliche Hackerangriffe vorliegen oder sonstige Zweifel an der IT-Sicherheit bestehen.
Ein weiterer wichtiger Anknüpfungspunkt ist die Verarbeitung von Daten, die Mitarbeitende sowie Bewerber oder Bewerberinnen betreffen. Je umfangreicher das Personalwesen (HR), desto dringender ist ein Datenschutzaudit durchzuführen.
Darüber hinaus ist auf weitere Besonderheiten des jeweiligen Unternehmens einzugehen und zu überprüfen, ob ausreichende Maßnahmen zum Schutz von personenbezogenen Daten in den jeweiligen Abteilungen von Unternehmen (neben dem HR, etwa in der IT, dem Marketing, dem Vertrieb) bestehen.
Ein Datenschutzaudit kann weiter erforderlich sein, wenn umfangreiche Auftragsverarbeitungsverträge vorliegen, also solche Verträge, durch die andere Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Diese bergen stets das Risiko, dass Verantwortlichkeiten nicht genau abgegrenzt werden oder bei der Übertragung von Daten gegen Vorschriften aus der DSGVO verstoßen wird. In diesen besonderen Fällen ist eine umfangreiche Analyse des Ist-Zustandes aus DSGVO-Perspektive unerlässlich.
Welchen Umfang hat ein Datenschutzaudit?
Die DSGVO sieht wie geschildert an einigen Stellen bereits Überprüfungen der datenschutzrechtlichen Vorgaben vor. Demgemäß gilt es vor allem diese Mechanismen des Datenschutzmanagementsystems, wie zum Beispiel das ordnungsgemäße Anlegen des Verzeichnisses von Verarbeitungstätigkeiten sowie den Prozess in Bezug auf die Bearbeitung von Betroffenenanfragen zu prüfen.
Weiterhin ist zu kontrollieren, ob für den Fall von Datenschutzvorfällen ausreichende Kenntnisse der Mitarbeitenden und klare Vorgaben für den Umgang mit den Meldepflichten der DSGVO (gegenüber den Aufsichtsbehörden und den betroffenen Personen ) bestehen.
Sodann ist die effektive Einbindung des/der Datenschutzbeauftragten in das Unternehmen zu überprüfen. Insbesondere sollte darauf geachtet werden, dass ein regelmäßiger Austausch zwischen dem/der Datenschutzbeauftragten und den Mitarbeitenden erfolgt, der/die diese für den Umgang mit personenbezogenen Daten sensibilisiert. Hierfür bieten sich vor allem Schulungen an. Dabei sollte darauf geachtet werden, dass Mitarbeitende nicht nur für den Fall von Datenschutzvorfällen geschult werden, sondern vor allem auch für den Umgang mit Betroffenenrechten.
So fordert die DSGVO nicht nur ein transparentes System für die betroffenen Personen, um von ihren Rechten Gebrauch machen zu können, sondern auch eine zeitnahe Reaktion von Unternehmen auf Betroffenenanfragen.
Beim Datenschutzaudit auf Expertise setzen
Das Datenschutzaudit ermöglicht eine regelmäßige und fachkundige Überprüfung der Einhaltung datenschutzrechtlicher Vorgaben in Ihrem Unternehmen. Dabei dient die Überprüfung der Datenschutzkonformität nicht nur der Absicherung vor rechtlichen Risiken, sondern stärkt zugleich auch das Vertrauen von Kunden und Kundinnen, Geschäftspartner und -partnerinnen sowie Mitarbeitenden.
Ein effektives Datenschutzaudit lässt sich in den meisten Fällen mit externer Hilfe erreichen.
Das Team von HR Controls steht Ihnen mit seinen Datenschutzexperten zur Seite. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch!
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.