Datenschutzaudit

Datenschutzaudit – Was ist das?

Ein Audit untersucht, ob die in Frage stehenden Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen. Ein Datenschutzaudit zeigt konkreter, wie gut die Vorschriften der Datenschutzgrundverordnung (DSGVO) in dem jeweiligen Unternehmen umgesetzt sind. Ein erfolgreich durchgeführtes Audit kann deutlich machen, wo akuter Verbesserungsbedarf besteht und welche konkreten Maßnahmen zur Erhöhung des Datenschutzniveaus getroffen werden sollten.

Im Folgenden geben wir einen kurzen Überblick darüber, was genau ein gutes Datenschutzaudit ausmacht, worauf beim Datenschutzaudit unter DSGVO Gesichtspunkten besonders geachtet werden sollte und wer das Audit durchführen kann (Datenschutzauditor).

Eine Praktische Anleitung:

Wann sollte eine Datenschutzprüfung im Unternehmen vorgenommen werden?

Grundsätzlich ist jedes Unternehmen dazu angehalten, in regelmäßigen Abständen Datenschutzaudits durchzuführen.

Ob eine Prüfung des Ist-Zustandes des betrieblichen Datenschutzes konkret notwendig ist, kann anhand einiger Fragen herausgefunden werden:

  • Wurde bereits ein Datenschutzbeauftragter (sofern notwendig) bestellt?
  • Sind die Geschäftsräume und insbesondere der Serverraum ausreichend geschützt?
  • Wird die IT-Umgebung ausreichend durch eine funktionierende Datensicherung und Firewall geschützt?
  • Liegen im Verhältnis zu IT-Dienstleistern aktuelle Auftragsverarbeitungsverträge, die nach Art. 28 DSGVO geschlossen worden sind, vor und wurden die Dienstleister dokumentiert geprüft?
  • Sind den Abteilungen Marketing und Vertrieb die seit 25. Mai 2018 gültigen Anforderungen der DSGVO bekannt?
  • Besteht eine ausreichende Dokumentation der IT-Umgebung, um nicht abhängig von Administratoren zu sein?
  • Werden nur Mitarbeiterdaten erfasst, zu deren Verarbeitung auch eine Befugnis vorliegt?

Sofern Sie nicht all diese Fragen eindeutig bejahen können, sollte auf jeden Fall ein Datenschutzaudit durchgeführt werden.

Ablauf eines Datenschutzaudits

Nachdem die Notwendigkeit eines Datenschutzaudits geklärt ist, wird grundsätzlich zunächst der Ist-Zustand hinsichtlich besonders hoher Risiken für DSGVO-Verstöße analysiert. Hierbei findet eine Überprüfung rechtlicher -wie die Einhaltung des Transparenzgrundsatzes der DSGVO oder die Reichweite von Einwilligungen- und tatsächlicher Aspekte der in der DSGVO technisch und organisatorisch vorgegebenen Maßnahmen statt.

 Der Ablauf des Datenschutzaudits

 

Anschließend wird im TOM (technisch und organisatorische Maßnahmen) Audit festgestellt, ob die ergriffenen Schutzmaßnahmen angemessen sind. Die darin enthaltene Einzelfallprüfung soll Aufschluss darüber geben, ob besonders sensible Daten vorliegen oder Anhaltspunkte für Hackerangriffe bestehen. 

Im dritten Schritt wird das Ergebnis der Ist-Analyse in die Maßnahmen eingearbeitet, um einen bestimmten Soll-Zustand zu erreichen. Dies bildet den Maßnahmenkatalog. Die Maßnahmen können dabei sowohl auf rechtlicher Ebene als auch in technisch-organisatorischer Art erfolgen. Maßnahmen könnten beispielsweise veränderte Einwilligungs- und Datenschutzerklärungen, die Bestellung eines Datenschutzbeauftragten (sofern erforderlich) oder die Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten des Datenschutzmanagementsystems sein.

Im letzten Schritt „Dokumentation und Prüfschleifen“ wird der gesamte Datenschutzaudit dokumentiert. Dies hat den Vorteil, dass Unternehmen einen Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften können, sodass die Bußgeldhöhe sinkt. Durch die Dokumentation des Datenschutzaudits werden Unternehmen immer mehr ihrer Rechenschaftspflicht gerecht und schaffen Vertrauen in die Sicherheit der Datenverarbeitung.

Beim Audit werden die Datenschutzmaßnahmen in den folgenden drei Bereichen geprüft:

  • Allgemeiner Datenschutz (Organisation, Informationspflichten, Verarbeitungsverzeichnis usf.)
  • Datenverarbeitung (Zugangskontrolle, Umgang mit personenbezogenen Daten usf.)
  • Informationssicherheit (technische und organisatorische Maßnahmen zur Absicherung der Datensätze)

Allgemeiner Teil des Datenschutzaudits; DSGVO Übereinstimmung

Im allgemeinen Teil soll die DSGVO Konformität des Unternehmens überprüft werden. Im Datenschutzaudit werden dabei die einzelnen Pflichten, welche die DSGVO an den datenschutzrechtlich Verantwortlichen stellt, evaluiert. Es ist zu prüfen, ob Regelungen der DSGVO in den einzelnen Bereichen bestehen, wie beispielsweise die  Bestellung eines Datenschutzbeauftragen (soweit erforderlich). Falls DSGVO Regelungen bestehen, wird analysiert ob diese auch eingehalten wurden, der Datenschutzbeauftragte seine Aufgaben entsprechend erfüllt und ob gewünschte Ziele erreicht werden. Sollte das nicht der Fall sein, erfolgt im Anschluss eine Verbesserung der mangelhaften Punkte.

  • Begutachtung spezieller Bereiche der DSGVO:
  • Datenschutzmanagement
  • Organisation des Datenschutzes
  • Handhabung von Datenschutzverletzungen
  • Betroffenenrechte
  • Auftragsverarbeitung
  • Verzeichnis von Verarbeitungstätigkeiten
  • Erfüllung von Informationspflichten
  • Datenschutzfolgenabschätzung
  • Sensibilisierung der Mitarbeiter
  • Verpflichtung Beschäftigter und Dienstleister

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen

Die Auftragsverarbeitung richtet sich nach den Art. 28 und 32 der DSGVO. Die Überprüfung externer Dienstleister, welche durch Art. 28 DSGVO vorgeschrieben wird, kann auch im Rahmen eines Datenschutzaudits vorgenommen werden. Die Datenschutzaudit Fragebögen sollen darüber Aufschluss geben, ob ausreichende Garantien, also technische und organisatorische Maßnahmen, für die sichere Verarbeitung im Sinne der DSGVO vorliegen. 

Mittels Datenschutzaudit Fragebögen kann jeder Dienstleister ohne allzu großen Zeitaufwand die bei ihm getroffenen Schutzmaßnahmen dokumentieren. Diese Angaben überprüft der Auftraggeber, kann bei Bedarf nachfragen oder Punkte im Detail klären.

Wer ist als Datenschutzauditor geeignet?

Prinzipiell kann das Datenschutzaudit von internen Mitarbeitern und Mitarbeiterinnen oder einem externen Datenschutzauditor durchgeführt werden. Ein Datenschutzauditor bringt jedoch diverse Vorteile mit sich. Bei einem Datenschutzauditor besteht keine „Betriebsblindheit“, d.h. der externe Auditor hat einen neutralen und objektiven Blick auf das Unternehmen. Ein externer Datenschutzauditor wird auch von den eigenen Mitarbeitern anders wahrgenommen und die Angestellten versuchen daher bei einem externen Datenschutzauditor seltener, das Auditergebnis zu ihren Gunsten zu beeinflussen. Ein objektiveres Ergebnis wird erzielt.

Zielgruppe

  • Auftragnehmer einer Auftragsverarbeitung, die dem datenschutzrechtlich Verantwortlichen einen Bestätigungsvermerk über die Einhaltung der technischen und organisatorischen Maßnahmen vorlegen müssen
  • Unternehmen, die den aktuellen Stand ihres Datenschutzes erfahren möchten (z.B. im Rahmen von Unternehmensverkäufen oder Unsicherheiten, ob die DSGVO bisher ordnungsgemäß umgesetzt wurde)

Wie helfen wir Ihnen weiter?

  • Durchführung eines Audits (Interview, Dokumentenreview)
  • Erstellung einer Dokumentation mit konkreten Handlungsempfehlungen für Ihr Unternehmen
  • Erstellung einer Dokumentation über die getroffenen technischen und organisatorischen Maßnahmen zur Vorlage beim Auftraggeber

Ihre Vorteile durch ein Datenschutzaudit

  • Aufzeigen der notwendigen Maßnahmen zur Wahrung der Compliance
  • Evaluierung von möglichen datenschutzrechtlichen Risiken und Schwachstellen
  • Prozessoptimierung durch Empfehlungen unserer Auditoren
  • Sensibilisierung der Mitarbeiter für die Belange des Datenschutzes
  • Stärkung des Vertrauens in den Umgang mit den Daten der Betroffenen
  • Unabhängige Prüfung der Datenschutzorganisation
  • Minimierung des Risikos einer Datenschutzpanne
Im Rahmen unserer Leistungen bieten wir Ihnen ab sofort eine Beratung und Durchführung rund um das Thema Datenschutz Audit an.