Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang

An vielen Stellen sieht die Datenschutzgrundverordnung (DSGVO) Kontrollmechanismen und -pflichten für Unternehmen vor. Diese sollen gewährleisten, dass regelmäßig geprüft wird, ob die Vorgaben der DSGVO eingehalten werden, wo mögliche Risiken bestehen und wie diesen entgegen gearbeitet wird.

Diese Mechanismen können allerdings nur dann vollumfänglich funktionieren, wenn die Kontrollmechanismen der DSGVO selbst (z. B. das Datenschutzmanagementsystem oder das Verzeichnis von Verarbeitungstätigkeiten (VVT)) auf eine wirksame Umsetzung überprüft werden.

Dies ist Kernpunkt eines Datenschutz-Audits. Das Audit dient nicht nur der Prüfung einzelner datenschutzrelevanter Prozesse im Unternehmen, sondern auch einer allgemeinen Prüfung der Einhaltung und Umsetzung der DSGVO.

Datenschutz-Audit - Der Ablauf

1 - Aufnahme des derzeitigen Zustands - IST-Analyse

Hierbei wird ermittelt, welche Vorgänge im Unternehmen ein besonders hohes Risiko für DSGVO-Verstöße aufweisen. Dies geschieht

  • aus rechtlicher Sicht durch Prüfung der Einhaltung des Transparenzgrundsatzes der DSGVO, Kontrolle der Reichweite und Einwilligungen, etc.
  • aus tatsächlicher Sicht durch Überprüfung der Vorgaben der technischen und organisatorischen Maßnahmen (TOM)

2 - Angemessenheitsprüfung der Schutzmaßnahmen - TOM-Audit

Dies ist die Prüfung auf Angemessenheit der ergriffenen Schutzmaßnahmen. Im Einzelfall erfolgt eine Prüfung, ob besonders sensible Daten vorliegen, Anhaltspunkte für Hackerangriffe bestehen oder getroffene Maßnahmen finanzierbar und somit überhaupt durchführbar sind.

3 - Deklarierung des SOLL-Zustands - Maßnahmenkatalog

Hier wird das Ergebnis der IST-Analyse in Maßnahmen eingearbeitet, um einen bestimmten SOLL-Zustand zu erreichen. Diese Maßnahmen können auf rechtlicher Ebene (z. B. durch Veränderung der Einwilligungstexte und Datenschutzerklärungen) und auf technischer und organisatorischer Art (z. B. durch Überarbeitung des Verzeichnisses von Verarbeitungstätigkeiten oder des Datenschutzmanagementsystems) erfolgen.

4 - Dokumentation und Prüfschleifen

Das gesamte Datenschutz-Audit ist komplett zu dokumentieren. Der Vorteil hierbei ist, dass Unternehmen einen eventuellen Fahrlässigkeitsvorwurf (bei Eintritt eines möglichen DSGVO-Verstoßes) entkräften können. Hierdurch sinkt im Regelfall die Bußgeldhöhe. Außerdem hilft die regelmäßige Überprüfung dabei Verstöße zu verhindern.

Des Weiteren kommen Unternehmen durch die Dokumentation des Datenschutz-Audits ihrer Rechenschaftspflicht gemäß DSGVO nach. Dies erhöht das Vertrauen in die Sicherheit der Datenverarbeitung.

Für welche Unternehmen sind Datenschutz-Audits notwendig?

Grundsätzlich gilt die DSGVO für alle Unternehmen, welche personenbezogene Daten verarbeiten. Deshalb ist ein Datenschutzaudit für alle Unternehmen – also auch für kleinere und mittlere Unternehmen – zu empfehlen.

Erforderlich wird ein Datenschutz-Audit unbedingt in folgenden Fällen:

  • Die Notwendigkeit der Benennung eines Datenschutzbeauftragten ist unklar.
  • Es liegen Anhaltspunkte für einen Hackerangriff vor.
  • Es bestehen Zweifel an der IT-Sicherheit.

Ein ebenso wichtiger Punkt ist die Verarbeitung von Mitarbeiter- und Bewerberdaten. Hier ist zu prüfen, ob ausreichende Maßnahmen zum Schutz von personenbezogenen Daten in den jeweiligen Abteilungen bestehen.

Ein weiterer Anhaltspunkt für die dringende Erforderlichkeit eines Datenschutz-Audits sind umfangreiche Auftragsverarbeitungsverträge (AVV). Da durch diese Verträge andere Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt werden, besteht hier immer das Risiko, dass Verantwortlichkeiten nicht genau abgegrenzt werden oder bei der Übertragung von Daten DSGVO-Verstöße erfolgen.

Hier ist also eine umfangreiche Analyse des IST-Zustandes aus DSGVO-Perspektive zwingend notwendig.

Datenschutz-Audit - Umfang des Audits

Wie bereits erwähnt sieht die DSGVO an einigen Stellen bereits Überprüfungen der datenschutzrechtlichen Vorgaben vor. Hier muss vor allem die Effektivität dieser Mechanismen, (Datenschutzmanagementsystem, Datenschutz-Folgenabschätzungen (DSFA), Risikofolgenabschätzung (RFA) und das ordnungsgemäße Anlegen des Verzeichnisses von Verarbeitungstätigkeiten (VVT), etc.) geprüft werden.

Außerdem muss geprüft werden, ob im Fall von Datenpannen ausreichende Kenntnisse der Mitarbeiter und klare Vorgaben für den Umgang mit den Meldepflichten im Sinne der DSGVO (gegenüber den Aufsichtsbehörden und den Betroffenen) bestehen.

Auch zu prüfen ist die Einbindung eines Datenschutzbeauftragten in das Unternehmen. Hier muss darauf geachtet werden, dass ein regelmäßiger Austausch zwischen dem Datenschutzbeauftragten und den Mitarbeitern erfolgt. Dies ist wichtig für die Sensibilisierung im Umgang mit personenbezogenen Daten. In der Regel bieten sich hierfür vor allem Schulungen an.

Der Schulungsinhalt sollte darauf ausgelegt sein, dass Mitarbeiter nicht nur für den Fall von Datenpannen geschult werden, sondern vor allem auch im Umgang mit Betroffenenrechten ausreichende Kenntnisse erwerben. Hierzu gehört im Sinne der DSGVO ein transparentes und zeitnahes System für Betroffene um von ihren Rechten Gebrauch machen zu können.

Fazit / Ausblick

Durch das Datenschutz-Audit wird eine regelmäßige und fachkundige Überprüfung der Vorgaben der DSGVO ermöglicht. Mit der folgenden Checkliste können Unternehmen nochmals prüfen, ob und wann ein Datenschutz-Audit unbedingt notwendig ist:

  • Die Notwendigkeit einer Benennung eines Datenschutzbeauftragten ist unklar.
  • Es bestehen Zweifel an der Effektivität des Datenschutzmanagementsystems (DSMS).
  • Bereits durchgeführte Risikofolgenabschätzungen sind unklar.
  • Es bestehen Unsicherheiten bezüglich des Verzeichnisses von Verarbeitungstätigkeiten.
  • Es fehlen spezifische Datenschutzmaßnahmen für einzelne Unternehmensbereiche (IT, Marketing, Vertrieb, HR).
  • Es bestehen umfangreiche Auftragsverarbeitungsverträge (AVV).
  • Die IT-Sicherheit ist gefährdet, da Hackerangriffe drohen oder bereits vorliegen.

Haben Sie noch Fragen zum Datenschutz-Audit oder benötigen Sie eine Beratung zum Thema? Gerne stehen wir Ihnen als externer Datenschutzbeauftragter hierbei zur Seite.

^