13. August 2019

Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang

Die Datenschutz-Grundverordnung (DSGVO) sieht an vielen Stellen Kontrollmechanismen und Kontrollpflichten für Unternehmen vor, damit diese regelmäßig überprüfen, ob die Vorgaben der DSGVO eingehalten werden, wo mögliche Risiken bestehen und wie diesen begegnet werden kann. Diese Mechanismen können jedoch nur dann ihren Zweck vollumfänglich erfüllen, wenn auch Kontrollmechanismen der DSGVO selbst, wie das Datenschutzmanagementsystem oder das Verzeichnis der Verarbeitungstätigen, auf ihre wirksame Umsetzung hin überprüft werden. Diesem Ziel dient das Datenschutzaudit. Das Audit dient also nicht nur der Prüfung einzelner datenschutzrechtlich relevanter Vorgänge im Unternehmen, sondern einer allgemeinen Prüfung der Einhaltung und Umsetzung der DSGVO.

Datenschutzaudit: Ablauf

Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten:

 1.Ist-Analyse:
Welche Vorgänge im Unternehmen weisen besonders hohe Risiken für DSGVO-Verstöße auf?
 – Überprüfung in rechtlicher (Einhaltung des Transparenzgrundsatzes der DSGVO, Reichweite von Einwilligungen etc.) und tatsächlicher Sicht (die DSGVO gibt vor technische und organisatorische Maßnahmen (TOM) zu ergreifen um ein angemessenes Schutzniveau zu gewährleisten)

2. TOM-Audit:
Sind ergriffene Schutzmaßnahmen „angemessen“?
– Einzelfallprüfung (Liegen besonders sensible Daten vor? Bestehen Anhaltspunkte für Hackerangriffe? Sind Maßnahmen finanzierbar?)

3. Maßnahmenkatalog:
Ergebnis der Ist-Analyse wird in Maßnahmen eingearbeitet um einen bestimmten Soll-Zustand zu erreichen. Maßnahmen können auf rechtlicher Ebene (z.B. veränderte Einwilligungs- und Datenschutzerklärungen) und technisch-organisatorischer Art (z.B. Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten, des Datenschutzmanagementsystems) erfolgen.

4. Dokumentation und Prüfschleifen:
Der gesamte Datenschutzaudit ist dabei zu dokumentieren, Vorteil: Unternehmen können den Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften, Bußgeldhöhe sinkt. Zudem ermöglicht die regelmäßige Überprüfung Verstöße zu verhindern. Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht nach DSGVO nach und erhöhen das Vertrauen in die Sicherheit der Datenverarbeitung. 

Datenschutzaudit
Wir beraten Sie gerne bei Ihren Datenschutzaudits

Für welche Unternehmen sind Audits notwendig?

Da sich die DSGVO grundsätzlich an alle Unternehmen richtet, die personenbezogene Daten verarbeiten, ist ein Datenschutzaudit grundsätzlich auch für alle Unternehmen – also auch für kleinere und mittlere Unternehmen – zu empfehlen. Erforderlich wird ein Datenschutzaudit insbesondere dann, wenn Zweifel an der Notwendigkeit der Bestellung eines Datenschutzbeauftragten bestehen. Die Fälle, in denen eine solche Erforderlichkeit besteht, sind zum Teil Folge einer rechtlichen Bewertung (z.B. wann gehört die Übermittlung personenbezogener Daten zur Kerntätigkeit eines Unternehmens, ab wann sind personenbezogene Daten besonders schutzwürdig) und sollten daher genau überprüft werden. Darüber hinaus ist ein Audit dann erforderlich, wenn Anhaltspunkte für mögliche Hackerangriffe vorliegen oder sonstige Zweifel an der IT-Sicherheit bestehen.

Ein weiterer wichtiger Anknüpfungspunkt ist die Verarbeitung von Mitarbeiter- und Bewerberdaten. Je umfangreicher das HR, desto dringender ist ein Datenschutzaudit durchzuführen. Darüber hinaus ist auf weitere Besonderheiten des jeweiligen Unternehmens einzugehen und zu überprüfen, ob ausreichende Maßnahmen zum Schutz von personenbezogenen Daten in den jeweiligen Abteilungen von Unternehmen (neben dem HR, etwa der IT, dem Marketing, dem Vertrieb) bestehen. Weiterer Anhaltspunkt für die Erforderlichkeit eines Datenschutzaudit sind umfangreiche Auftragsverarbeitungsverträge, also Verträge, durch die andere Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Diese bergen stets das Risiko, dass Verantwortlichkeiten nicht genau abgegrenzt werden oder bei der Übertragung von Daten DSGVO-Verstöße erfolgen. In diesen besonderen Fällen ist eine umfangreiche Analyse des Ist-Zustandes aus DSGVO-Perspektive unerlässlich. 

Datenschutzaudit: Umfang

Die DSGVO sieht wie geschildert an einigen Stellen bereits Überprüfungen der datenschutzrechtlichen Vorgaben vor. Demgemäß gilt es vor allem die Effektivität dieser Mechanismen, also des Datenschutzmanagementsystems, der Datenschutz-Folgenabschätzungen (DSFA) und des ordnungsgemäßen Anlegens des Verzeichnisses der Verarbeitungstätigkeiten (VVT) zu prüfen. Weiterhin ist zu überprüfen, ob für den Fall von Datenpannen ausreichende Kenntnisse der Mitarbeiter und klare Vorgaben für den Umgang mit den Meldepflichten der DSGVO (gegenüber den Aufsichtsbehörden und den Betroffenen) bestehen. Sodann ist die effektive Einbindung des Datenschutzbeauftragten in das Unternehmen zu prüfen. Insbesondere sollte darauf geachtet werden, dass ein regelmäßiger Austausch zwischen dem Datenschutzbeauftragten und Mitarbeitern erfolgt, der diese für den Umgang mit personenbezogenen Daten sensibilisiert. Hierfür bieten sich vor allem Schulungen an. Dabei sollte darauf geachtet werden, dass Mitarbeiter nicht nur für den Fall von Datenpannen geschult werden, sondern vor allem auch für den Umgang mit Betroffenenrechten. So fordert die DSGVO nicht nur ein transparentes System für Betroffene um von ihren Rechten Gebrauch machen zu können, sondern auch eine zeitnahe Reaktion von Unternehmen auf Betroffenenanfragen.

Fazit

Das Datenschutzaudit ermöglicht eine regelmäßige und fachkundige Überprüfung der Vorgaben der DSGVO. Die folgende Checkliste hilft Unternehmen zu erkennen, wann ein Audit unbedingt notwendig ist:

Checkliste – Wann muss ein Datenschutzaudit durchgeführt werden?

  • Zweifel an der Notwendigkeit der Bestellung eines Datenschutzbeauftragten
  • Zweifel an der Effektivität des Datenschutzmanagementsystems (DSMS), durchgeführter Datenschutz-Folgenabschätzungen und angelegter Verzeichnisse der Verarbeitungstätigkeiten
  • Keine spezifischen Datenschutzmaßnahmen für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb, HR
  • Umfangreiche Auftragsverarbeitungsverträge
  • Gefahren für die IT-Sicherheit, drohende oder mögliche Hackerangriffe

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!