Datenschutzaudit
Ein Datenschutzaudit ist eine freiwillige Analyse und Prüfung auf Konformität gegen die Anforderungen des Datenschutzes. Damit überprüfen Unternehmen, wo potenzielle Risiken für die Rechte und Freiheiten natürlicher Personen bestehen und wie diesen begegnet werden kann. Damit kommen Unternehmen auf den Kontrollpflichten, die u.a. aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) resultieren, nach.
Ziel eines Datenschutzaudits
Das Ziel eines Datenschutzaudits ist die allgemeine Prüfung auf die Einhaltung und die Umsetzung der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) sowie weiterer spezialgesetzlicher oder vertraglicher Anforderungen innerhalb Ihres Unternehmens bzw. Ihrer Organisation.
Was genau wird im Datenschutzaudit geprüft?
Beim Datenschutzaudit werden die Maßnahmen der folgenden drei Bereichen geprüft:
- Allgemeiner Datenschutz
Im Bereich des allgemeinen Datenschutzes soll die DSGVO-Konformität des Unternehmens überprüft werden. Im Datenschutzaudit werden dabei die einzelnen Pflichten, welche die DSGVO und das BDSG an den datenschutzrechtlichen Verantwortlichen stellt, geprüft und analysiert Es wird überprüfet, ob die unternehmensinternen Richtlinien, Verträge und Betriebsvereinbarungen zum Datenschutz regelmäßig eingehalten werden. - Datenverarbeitung
Im Bereich der Datenverarbeitung wird z.B. das Verzeichnis der Verarbeitungstätigkeiten und die ausgewiesenen Rechtsgrundlagen überprüft, wie auch die erteilten Zugriffsrechte auf die erhobenen Daten, verwendete Programme zur Verarbeitung, den Einsatz von Auftragsverarbeitern und der Weitergabe der Daten an interne oder externe Dritte. - Informationssicherheit
In begrenztem Umfang werden beispielsweise die technischen Vorkehrungen, die zur Sicherung der Betroffenenrechte getroffen werden, überprüft. Hierzu zählen z.B. Konzepte zur Datensicherung (Backup-Strategien), Einsatz von Firewalls/IDS und Antiviren-Programmen usf. - Spezielle Prüfbereiche
Spezielle Prüfbereiche innerhalb eines Datenschutzaudits können z.B. sein: Datenschutzmanagement, Organisation des Datenschutzes, Handhabung von Datenschutzverletzungen, Umsetzung der Betroffenenrechte, Auftragsverarbeitung (AVV), Verzeichnis von Verarbeitungstätigkeiten (VVT), Erfüllung der Informations- und Transparenzpflichten, Datenschutz-Folgenabschätzung (DSFA), Sensibilisierung und Schulungen der Mitarbeiter, Verpflichtung auf Vertraulichkeit der Beschäftigten und der Dienstleister.
Das Datenschutzaudit soll eine Grundlage für die Entwicklung langfristiger Datenschutzstrategien schaffen. Dabei kann das Audit dazu dienen, ein von Grund auf neues Datenschutz-Managementsystem zu implementieren, als auch bereits bestehende Unternehmensprozesse umzugestalten und zu optimieren.
Wer führt ein Datenschutzaudit durch?
Prinzipiell kann das Datenschutzaudit von internen Mitarbeitern und Mitarbeiterinnen oder einem externen Datenschutzberater durchgeführt werden. Ein externer Datenschutzauditor bringt jedoch diverse Vorteile mit sich:
| INTERNER DSB | EXTERNER DSB | ||
|---|---|---|---|
| Vorhandene fachliche Qualifikation |  |  | Zeit- und kostenintensiver Schulungsaufwand bis zur Erlangung der fachlichen Qualifikation und des Fachkundeerhalts erforderlich. |
| Kein Kündigungsschutz | | | Sonderkündigungsschutz von internen Datenschutzbeauftragten gesetzlich geregelt ist dies in § 6 Absatz 4 Satz 1 BDSG in Verbindung mit § 626 BGB. |
| Unabhängiger Datenschutz | | | Ein interner Datenschutzbeauftragter wird von Mitarbeitern und Dritten als parteiisch gesehen. |
| Neutralität | | | Die Neutralität des externen Datenschutzbeauftragten hilft in der Kommunikation zwischen Unternehmen, Betriebsrat und Mitarbeitern. |
| Transparente Kosten | | | Klare Transparenz und Planungssicherheit bei externem Datenschutzbeauftragten. |
| Unvoreingenommene Herangehensweise | | | Beim internen Datenschutzbeauftragten ist das Risiko von Betriebsblindheit groß. |
| Kenntnis betrieblicher Prozesse | | | Der externe Datenschutzbeauftragte muss sich erst in betriebliche Prozesse einarbeiten. |
| Schonung interner Ressourcen | | | Der interne Zeitaufwand reduziert sich auf ein Minimum. |
| Kein Mitbestimmungsrecht des Betriebsrats | | | Das Mitbestimmungsrecht des Betriebsrats (§ 99 BetrVG) entfällt beim externen Datenschutzbeauftragten. |
| Erfahrung aus anderen Unternehmen | | | Erfahrung aus anderen Unternehmen bieten Vergleichsmöglichkeiten und praxisnahe Lösungen. |
Ablauf eines Datenschutzaudits
Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten:
- Dokumentenprüfung (Stufe 1)
Im ersten Schritt werden die Dokumente, die im Unternehmen den Datenschutz und seine Prozesse regeln, auf ihre Vollständigkeit und Wirksamkeit analysiert. Es wird hieraus der Auditplan für die Überprüfung vor Ort erstellt. - Vor-Ort-Audit (Stufe 2)
Im sogenannten Stufe 2-Audit werden die Anforderungen der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und der übermittelten Datenschutz-Dokumente auf ihre Einhaltung im täglichen Arbeitsleben durch Interviews und Beobachtungen überprüft. Es werden Abweichungen festgehalten. Es wird ermittelt, welche Vorgänge im Unternehmen besonders hohe Risiken für DSGVO-Verstöße aufweisen. - Analyse und Bewertung
Die im Stufe 2-Audit vorgefundenen Begebenheiten werden auf die Konformität oder auf Abweichung der Dokumentation, DSGVO und BDSG hin analysiert und bewertet. Die Ergebnisse des Ist-Zustands werden im einem Audit-Prüfbericht festgehalten. - Audit-Bericht mit Maßnahmenkatalog und Implementierung
Aus den Ergebnissen der beiden Audits wird ein Audit-Bericht angefertigt und es werden Maßnahmen abgeleitet, um einen bestimmten „Soll-Zustand“ zu erreichen. Maßnahmen können auf organisatorischer Ebene (z.B. veränderte Einwilligungs- und Datenschutzerklärungen) und technisch-organisatorischer Art (z.B. Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten, Implementierung eines Datenschutz-Managementsystems) erfolgen. Hinsichtlich des Maßnahmenkatalogs erfolgen dabei konkrete Handlungsempfehlungen und Priorisierungen. Sind entsprechende Maßnahmen getroffen worden, sollten diese implementiert werden.
Empfehlungen und Maßnahmen umsetzen
Der Maßnahmenkatalog bietet detaillierte Übersicht über die nächsten Schritte zur Erreichung eines guten Datenschutz-Niveaus dar. Es gilt, diese Maßnahmen zeitnah umzusetzen und die Umsetzung zu dokumentieren.
Ein erster Schritt für Unternehmen ist oftmals die Benennung eines Datenschutzbeauftragten, sofern noch niemand mit dieser Aufgabe betraut wurde. Die Maßnahmenliste wird nach dem Audit schrittweise umgesetzt. Die Arbeitsfortschritte können vom Datenschutzbeauftragten über eine gewisse Zeit nachverfolgt und überprüft werden, sodass den Handlungsempfehlungen auch möglichst zeitnah nachgekommen wird.
Pflegen der gesetzlich vorgeschriebenen Dokumentation
Allgemein müssen die Prozesse, die die Verarbeitung personenbezogener Daten betreffen, dokumentiert werden. Nachdem also alle Handlungsempfehlungen umgesetzt wurden, sollte die Datenschutzdokumentation fortlaufend im Sinne eines kontinuierlichen Verbesserungsprozesses weitergeführt und gepflegt werden.
Ihr externer Datenschutzbeauftragter
Christopher Schroer
- TISAX®-Foundation / TISAX®-Professional (TÜV Süd)
- ISO/IEC 27001 Lead Auditor
- VdS-Berater für Datenschutz-Managementsysteme
- DEKRA-zertifizierter Datenschutzbeauftragter
- Datenschutzbeauftragter nach Verbandkriterien verpflichtet (BvD)
- Trainer Datenschutz-Koordinatoren/-beauftragte TÜV Akademie Rheinland
Weitere Informationen zu Christopher Schroer finden Sie hier.
Kosten eines Datenschutzaudits
Die Kosten für ein Datenschutzaudit richten sich nach Gegenstand und Größe des Unternehmens, Anzahl der Standorte, Komplexität, Prüfumfang und Beschäftigtenzahl. Deswegen bieten wir keine Standardpreise, keine „Lösungen von der Stange“, sondern wir berücksichtigen die individuellen Faktoren Ihres Unternehmens und kommen so zu einer fairen Vergütung.
Datenschutzaudits sollten in regelmäßigen Abständen durchgeführt werden
Ein Datenschutzaudit beleuchtet die Datenschutzprozesse in Ihrem Unternehmen und überprüft diese auf die Konformität mit der DSGVO, dem BDSG und weiterer spezialgesetzlicher Vorschriften wie z.B. kirchliche Datenschutzgesetze oder dem Sozialgesetzbuch (SGB).
Aus Basis des Datenschutzaudits werden Maßnahmen ermittelt, deren Umsetzung langfristig zu einer stetigen Verbesserung des Datenschutzes im Unternehmen führen. Ein Datenschutzaudit bietet also einen präzisen Überblick über den Ist-Zustand im Unternehmen.
Eine regelmäßige Überprüfung der Datenschutzkonformität dient nicht nur der rechtlichen Absicherung gegenüber der Datenschutz-Grundverordnung. Datenschutzaudits stärken insbesondere das Vertrauen von Kunden, Partnern und Beschäftigten in Ihr Unternehmen.
Als Regelmäßigkeit gilt folgende Faustregel: pro Jahr werden ca. 30% des Datenschutz-Managementsystems überprüft. So werden in drei Jahren (Zeitraum zur möglichen Re-Zertifizierung) alle Bereiche nachweislich einer Prüfung unterzogen.
Von Kunden ausgezeichnet!
Kostenlose Erstberatung
firstbyte digital consulting ist mit seiner Erfahrung ein starker, zuverlässiger Partner für Ihr Unternehmen, mit viel Know-how, Herzblut und Engagement. Individuell und auf Augenhöhe beraten wir Sie umfassend.
Stillstand ist Bedrohung: Daher engagiert sich firstbyte digital consulting in namhaften Verbänden und Projekten wie im Cyber Security Cluster Bonn, der Allianz für Cyber-Sicherheit, nrw·units oder auch dem IT-Forum Oberberg.
Sie möchten erfahren, wie wir Sie sicherer machen? Nutzen Sie unseren Termin-Service und buchen Sie jetzt Ihr kostenloses, unverbindliches Erstgespräch.