Datenschutzaudit: Werden die geforderten Standards erfüllt?
––– Ein Audit untersucht, ob die in Frage stehenden Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen. Ein Datenschutzaudit zeigt konkreter, wie gut die Vorschriften der Datenschutzgrundverordnung (DSGVO) in dem jeweiligen Unternehmen umgesetzt sind.
Ein erfolgreich durchgeführtes Audit kann deutlich machen, wo akuter Verbesserungsbedarf besteht und welche konkreten Maßnahmen zur Erhöhung des Datenschutzniveaus getroffen werden sollten.
Im Folgenden geben wir einen kurzen Überblick darüber, was genau ein gutes Datenschutzaudit ausmacht, worauf beim Datenschutzaudit unter DSGVO Gesichtspunkten besonders geachtet werden sollte und wer das Audit durchführen kann (Datenschutzauditor).
Zielgruppe
Auftragnehmer einer Auftragsverarbeitung, die dem datenschutzrechtlich Verantwortlichen einen Bestätigungsvermerk über die Einhaltung der technischen und organisatorischen Maßnahmen vorlegen müssen.
Unternehmen, die den aktuellen Stand ihres Datenschutzes erfahren möchten (zum Beispiel im Rahmen von Unternehmensverkäufen oder Unsicherheiten, ob die DSGVO bisher ordnungsgemäß umgesetzt wurde).
Wie helfen wir Ihnen weiter?
Durchführung eines Audits (Interview, Dokumentenreview).
Erstellung einer Dokumentation mit konkreten Handlungsempfehlungen.
Erstellung einer Dokumentation über die getroffenen technischen und organisatorischen Maßnahmen zur Vorlage beim Auftraggeber der Auftragsverarbeitung.
Ihre Vorteile durch ein Datenschutzaudit
Auftragnehmer einer Auftragsverarbeitung, die dem datenschutzrechtlich Verantwortlichen einen Bestätigungsvermerk über die Einhaltung der technischen und organisatorischen Maßnahmen vorlegen müssen.
Unternehmen, die den aktuellen Stand ihres Datenschutzes erfahren möchten (zum Beispiel im Rahmen von Unternehmensverkäufen oder Unsicherheiten, ob die DSGVO bisher ordnungsgemäß umgesetzt wurde).
–––
Im Rahmen unserer Leistungen bieten wir Ihnen ab sofort eine Beratung und Durchführung rund um das Thema Datenschutz Audit an.
Eine praktische Anleitung
Wann sollte eine Datenschutzprüfung im Unternehmen vorgenommen werden?
Grundsätzlich ist jedes Unternehmen dazu angehalten, in regelmäßigen Abständen Datenschutzaudits durchzuführen. Ob eine Prüfung des Ist-Zustandes des betrieblichen Datenschutzes konkret notwendig ist, kann anhand einiger Fragen herausgefunden werden:
- Wurde bereits ein Datenschutzbeauftragter (sofern
notwendig) bestellt? - Sind die Geschäftsräume und insbesondere der Serverraum
ausreichend geschützt? - Wird die IT-Umgebung ausreichend durch eine
funktionierende Datensicherung und Firewall geschützt? - Liegen im Verhältnis zu IT-Dienstleistern aktuelle
Auftragsverarbeitungsverträge, die nach Art. 28 DSGVO
geschlossen worden sind, vor und wurden die Dienstleister
dokumentiert geprüft? - Sind den Abteilungen Marketing und Vertrieb die seit 25. Mai
2018 gültigen Anforderungen der DSGVO bekannt? - Besteht eine ausreichende Dokumentation der IT-Umgebung,
um nicht abhängig von Administratoren zu sein? - Werden nur Mitarbeiterdaten erfasst, zu deren Verarbeitung
auch eine Befugnis vorliegt?
Sofern Sie nicht all diese Fragen eindeutig bejahen können, sollte auf jeden Fall ein Datenschutzaudit durchgeführt werden.
–––
Aufbau eines Datenschutzaudits
Nachdem die Notwendigkeit eines Datenschutzaudits geklärt ist, wird grundsätzlich zunächst der Ist-Zustand hinsichtlich besonders hoher Risiken für DSGVO-Verstöße analysiert.
Hierbei findet eine Überprüfung rechtlicher -wie die Einhaltung des Transparenzgrundsatzes der DSGVO oder die Reichweite von Einwilligungen- und tatsächlicher Aspekte der in der DSGVO technisch und organisatorisch vorgegebenen Maßnahmen statt.
Der Ablauf eines Datenschutzaudits
Anschließend wird im TOM (technisch und organisatorische Maßnahmen) Audit festgestellt, ob die ergriffenen Schutzmaßnahmen angemessen sind. Die darin enthaltene Einzelfallprüfung soll Aufschluss darüber geben, ob besonders sensible Daten vorliegen oder Anhaltspunkte für Hackerangriffe bestehen.
Im dritten Schritt wird das Ergebnis der Ist-Analyse in die Maßnahmen eingearbeitet, um einen bestimmten Soll-Zustand zu erreichen. Dies bildet den Maßnahmenkatalog. Die Maßnahmen können dabei sowohl auf rechtlicher Ebene als auch in technisch-organisatorischer Art erfolgen. Maßnahmen könnten beispielsweise veränderte Einwilligungs- und Datenschutzerklärungen, die Bestellung eines Datenschutzbeauftragten (sofern erforderlich) oder die Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten des Datenschutzmanagementsystems sein.
Im letzten Schritt „Dokumentation und Prüfschleifen“ wird der gesamte Datenschutzaudit dokumentiert. Dies hat den Vorteil, dass Unternehmen einen Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften können, sodass die Bußgeldhöhe sinkt. Durch die Dokumentation des Datenschutzaudits werden Unternehmen immer mehr ihrer Rechenschaftspflicht gerecht und schaffen Vertrauen in die Sicherheit der Datenverarbeitung.
Beim Audit werden die Datenschutzmaßnahmen in den folgenden drei Bereichen geprüft:
- Allgemeiner Datenschutz (Organisation,
Informationspflichten, Verarbeitungsverzeichnis usf.) - Datenverarbeitung (Zugangskontrolle, Umgang mit
personenbezogenen Daten usf.) - Informationssicherheit (technische und organisatorische
Maßnahmen zur Absicherung der Datensätze)
–––
Allgemeiner Teil des Datenschutzaudits; DSGVO Übereinstimmung
Falls DSGVO Regelungen bestehen, wird analysiert ob diese auch eingehalten wurden, der Datenschutzbeauftragte seine Aufgaben entsprechend erfüllt und ob gewünschte Ziele erreicht werden. Sollte das nicht der Fall sein, erfolgt im Anschluss eine Verbesserung der mangelhaften Punkte.
Begutachtung spezieller Bereiche der DSGVO:
- Datenschutzmanagement
- Organisation des Datenschutzes
- Handhabung von Datenschutzverletzungen
- Betroffenenrechte
- Auftragsverarbeitung
- Verzeichnis von Verarbeitungstätigkeiten
- Erfüllung von Informationspflichten
- Datenschutzfolgenabschätzung
- Sensibilisierung der Mitarbeiter
- Verpflichtung Beschäftigter und Dienstleister
–––
Wer ist als Datenschutzauditor geeignet?
Ein Datenschutzauditor bringt jedoch diverse Vorteile mit sich. Bei einem Datenschutzauditor besteht keine „Betriebsblindheit“, d.h. der externe Auditor hat einen neutralen und objektiven Blick auf das Unternehmen. Ein externer Datenschutzauditor wird auch von den eigenen Mitarbeitern anders wahrgenommen und die Angestellten versuchen daher bei einem externen Datenschutzauditor seltener, das Auditergebnis zu ihren Gunsten zu beeinflussen. Ein objektiveres Ergebnis wird erzielt.
–––