Headergrafik Steg
–––

Datenschutzaudit: Werden die geforderten Standards erfüllt?

––– Ein Audit untersucht, ob die in Frage stehenden Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen. Ein Datenschutzaudit zeigt konkreter, wie gut die Vorschriften der Datenschutzgrundverordnung (DSGVO) in dem jeweiligen Unternehmen umgesetzt sind.

Ein erfolgreich durchgeführtes Audit kann deutlich machen, wo akuter Verbesserungsbedarf besteht und welche konkreten Maßnahmen zur Erhöhung des Datenschutzniveaus getroffen werden sollten.

Im Folgenden geben wir einen kurzen Überblick darüber, was genau ein gutes Datenschutzaudit ausmacht, worauf beim Datenschutzaudit unter DSGVO Gesichtspunkten besonders geachtet werden sollte und wer das Audit durchführen kann (Datenschutzauditor).

Zielgruppe

Auftragnehmer einer Auftragsverarbeitung, die dem datenschutzrechtlich Verantwortlichen einen Bestätigungsvermerk über die Einhaltung der technischen und organisatorischen Maßnahmen vorlegen müssen.

Unternehmen, die den aktuellen Stand ihres Datenschutzes erfahren möchten (zum Beispiel im Rahmen von Unternehmensverkäufen oder Unsicherheiten, ob die DSGVO bisher ordnungsgemäß umgesetzt wurde).

Wie helfen wir Ihnen weiter?

Durchführung eines Audits (Interview, Dokumentenreview).

Erstellung einer Dokumentation mit konkreten Handlungsempfehlungen.

Erstellung einer Dokumentation über die getroffenen technischen und organisatorischen Maßnahmen zur Vorlage beim Auftraggeber der Auftragsverarbeitung.

Contentgrafik Strand

Ihre Vorteile durch ein Datenschutzaudit

Auftragnehmer einer Auftragsverarbeitung, die dem datenschutzrechtlich Verantwortlichen einen Bestätigungsvermerk über die Einhaltung der technischen und organisatorischen Maßnahmen vorlegen müssen.

Unternehmen, die den aktuellen Stand ihres Datenschutzes erfahren möchten (zum Beispiel im Rahmen von Unternehmensverkäufen oder Unsicherheiten, ob die DSGVO bisher ordnungsgemäß umgesetzt wurde).

–––

Im Rahmen unserer Leistungen bieten wir Ihnen ab sofort eine Beratung und Durchführung rund um das Thema Datenschutz Audit an.

–––

Eine praktische Anleitung

–––

Wann sollte eine Datenschutzprüfung im Unternehmen vorgenommen werden?

Grundsätzlich ist jedes Unternehmen dazu angehalten, in regelmäßigen Abständen Datenschutzaudits durchzuführen. Ob eine Prüfung des Ist-Zustandes des betrieblichen Datenschutzes konkret notwendig ist, kann anhand einiger Fragen herausgefunden werden:

  • Wurde bereits ein Datenschutzbeauftragter (sofern
    notwendig) bestellt?
  • Sind die Geschäftsräume und insbesondere der Serverraum
    ausreichend geschützt?
  • Wird die IT-Umgebung ausreichend durch eine
    funktionierende Datensicherung und Firewall geschützt?
  • Liegen im Verhältnis zu IT-Dienstleistern aktuelle
    Auftragsverarbeitungsverträge, die nach Art. 28 DSGVO
    geschlossen worden sind, vor und wurden die Dienstleister
    dokumentiert geprüft?
  • Sind den Abteilungen Marketing und Vertrieb die seit 25. Mai
    2018 gültigen Anforderungen der DSGVO bekannt?
  • Besteht eine ausreichende Dokumentation der IT-Umgebung,
    um nicht abhängig von Administratoren zu sein?
  • Werden nur Mitarbeiterdaten erfasst, zu deren Verarbeitung
    auch eine Befugnis vorliegt?

 

Sofern Sie nicht all diese Fragen eindeutig bejahen können, sollte auf jeden Fall ein Datenschutzaudit durchgeführt werden.

–––

Aufbau eines Datenschutzaudits

–––

Nachdem die Notwendigkeit eines Datenschutzaudits geklärt ist, wird grundsätzlich zunächst der Ist-Zustand hinsichtlich besonders hoher Risiken für DSGVO-Verstöße analysiert.

Hierbei findet eine Überprüfung rechtlicher -wie die Einhaltung des Transparenzgrundsatzes der DSGVO oder die Reichweite von Einwilligungen- und tatsächlicher Aspekte der in der DSGVO technisch und organisatorisch vorgegebenen Maßnahmen statt.

Der Ablauf eines Datenschutzaudits

Infografik Datenschutzaudit

Anschließend wird im TOM (technisch und organisatorische Maßnahmen) Audit festgestellt, ob die ergriffenen Schutzmaßnahmen angemessen sind. Die darin enthaltene Einzelfallprüfung soll Aufschluss darüber geben, ob besonders sensible Daten vorliegen oder Anhaltspunkte für Hackerangriffe bestehen.

Im dritten Schritt wird das Ergebnis der Ist-Analyse in die Maßnahmen eingearbeitet, um einen bestimmten Soll-Zustand zu erreichen. Dies bildet den Maßnahmenkatalog. Die Maßnahmen können dabei sowohl auf rechtlicher Ebene als auch in technisch-organisatorischer Art erfolgen. Maßnahmen könnten beispielsweise veränderte Einwilligungs- und Datenschutzerklärungen, die Bestellung eines Datenschutzbeauftragten (sofern erforderlich) oder die Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten des Datenschutzmanagementsystems sein.

Im letzten Schritt „Dokumentation und Prüfschleifen“ wird der gesamte Datenschutzaudit dokumentiert. Dies hat den Vorteil, dass Unternehmen einen Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften können, sodass die Bußgeldhöhe sinkt. Durch die Dokumentation des Datenschutzaudits werden Unternehmen immer mehr ihrer Rechenschaftspflicht gerecht und schaffen Vertrauen in die Sicherheit der Datenverarbeitung.

Beim Audit werden die Datenschutzmaßnahmen in den folgenden drei Bereichen geprüft:

  • Allgemeiner Datenschutz (Organisation,
    Informationspflichten, Verarbeitungsverzeichnis usf.)
  • Datenverarbeitung (Zugangskontrolle, Umgang mit
    personenbezogenen Daten usf.)
  • Informationssicherheit (technische und organisatorische
    Maßnahmen zur Absicherung der Datensätze)

–––

Allgemeiner Teil des Datenschutzaudits; DSGVO Übereinstimmung

––– Im allgemeinen Teil soll die DSGVO Konformität des Unternehmens überprüft werden. Im Datenschutzaudit werden dabei die einzelnen Pflichten, welche die DSGVO an den datenschutzrechtlich Verantwortlich-en stellt, evaluiert. Es ist zu prüfen, ob Regelungen der DSGVO in den einzelnen Bereichen bestehen, wie beispielsweise die Bestellung eines Datenschutzbeauftragen (soweit erforderlich).

Falls DSGVO Regelungen bestehen, wird analysiert ob diese auch eingehalten wurden, der Datenschutzbeauftragte seine Aufgaben entsprechend erfüllt und ob gewünschte Ziele erreicht werden. Sollte das nicht der Fall sein, erfolgt im Anschluss eine Verbesserung der mangelhaften Punkte.

Begutachtung spezieller Bereiche der DSGVO:

  • Datenschutzmanagement
  • Organisation des Datenschutzes
  • Handhabung von Datenschutzverletzungen
  • Betroffenenrechte
  • Auftragsverarbeitung
  • Verzeichnis von Verarbeitungstätigkeiten
  • Erfüllung von Informationspflichten
  • Datenschutzfolgenabschätzung
  • Sensibilisierung der Mitarbeiter
  • Verpflichtung Beschäftigter und Dienstleister

–––

Wer ist als Datenschutzauditor geeignet?

––– Prinzipiell kann das Datenschutzaudit von internen Mitarbeitern und Mitarbeiterinnen oder einem externen Datenschutzauditor durchgeführt werden.

Ein Datenschutzauditor bringt jedoch diverse Vorteile mit sich. Bei einem Datenschutzauditor besteht keine „Betriebsblindheit“, d.h. der externe Auditor hat einen neutralen und objektiven Blick auf das Unternehmen. Ein externer Datenschutzauditor wird auch von den eigenen Mitarbeitern anders wahrgenommen und die Angestellten versuchen daher bei einem externen Datenschutzauditor seltener, das Auditergebnis zu ihren Gunsten zu beeinflussen. Ein objektiveres Ergebnis wird erzielt.

–––

Im Rahmen unserer Leistungen bieten wir Ihnen ab sofort eine Beratung und Durchführung rund um das Thema Datenschutz Audit an.