04.09.2023

Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang

Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits.

Ihre ISiCO-Expertin für das Thema:
Jacqueline Neiazy
Director Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) sieht an vielen Stellen Kontrollmechanismen und Kontrollpflichten für Unternehmen vor, damit diese regelmäßig überprüfen, ob die Vorgaben der DSGVO eingehalten werden, wo mögliche Risiken bestehen und wie diesen begegnet werden kann. Diese Mechanismen können jedoch nur dann ihren Zweck vollumfänglich erfüllen, wenn auch Kontrollmechanismen der DSGVO selbst, wie das Datenschutzmanagementsystem (DSMS) oder das Verzeichnis von Verarbeitungstätigen (VVT), auf ihre wirksame Umsetzung hin überprüft werden. Diesem Ziel dienen die sogenannten Datenschutzaudits. Im Rahmen eines Datenschutzaudits werden nicht nur einzelne datenschutzrechtlich relevante Verarbeitungsvorgänge im Unternehmen geprüft, sondern allgemein die Einhaltung und Umsetzung der DSGVO. Im Folgenden erfahren Sie, was unter einem Datenschutzaudit zu verstehen ist und in welchen Fällen ein Datenschutzaudit erforderlich ist. Wir zeigen Ihnen außerdem, wie ein solches Datenschutzaudit idealerweise ausgestaltet ist.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Was ist ein Datenschutzaudit genau?

Ein Datenschutzaudit ist eine freiwillige Analyse und Prüfung der Datenschutzkonformität von datenverarbeitenden Vorgängen innerhalb eines Unternehmens. Es dient der Analyse, ob einzelne Datenverarbeitungsprozesse mit der DSGVO im Einklang stehen, so zum Beispiel bei der Anwendung von standardisierter oder individueller Software (sog. Software-Audit).
Dabei findet bspw. eine Prüfung von Verträgen, Betriebsvereinbarungen, internen Richtlinien hinsichtlich ihrer Datenschutzkonformität statt. Neben der Prüfung der einzelnen Verarbeitungsprozesse bzgl. ihrer Vereinbarkeit mit der DSGVO dient ein Audit auch der Prüfung von entsprechenden Sicherheitsvorkehrungen, wie zum Beispiel des Schutzniveaus von technischen und organisatorischen Maßnahmen (TOM) gem. Art. 32 DSGVO (sog. TOM-Audit).

Zweck eines Datenschutzaudits ist die Schaffung einer Grundlage für die Entwicklung langfristiger Datenschutzstrategien. Dabei kann ein Audit sowohl dazu dienen, ein von Grund auf neues Datenschutzmanagement aufzuziehen, als auch bereits bestehende Betriebsabläufe umzugestalten und zu optimieren. Unternehmen profitieren von der Durchführung eines Audits, da mit dem Audit oftmals auch ein interner Lernprozess einhergeht.
Während es beim Audit somit um die Prüfung des Datenschutzmanagements oder einzelne seiner Bestandteile geht, bezieht sich eine Zertifizierung dagegen nur auf einzelne IT-Produkte und Dienstleistungen.

Checkliste – Wann muss ein Datenschutzaudit durchgeführt werden?

In folgenden Fällen ist ein Audit insbesondere empfehlenswert:

  • Zweifel an der Notwendigkeit der Bestellung einer/eines Datenschutzbeauftragten
  • Zweifel an der Effektivität des Datenschutzmanagementsystems, durchgeführter Datenschutz-Folgenabschätzungen, Prozesse zum Umgang mit Betroffenenanfragen und angelegter Verzeichnisse von Verarbeitungstätigkeiten
  • Keine spezifischen Datenschutzmaßnahmen für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb, HR
  • Umfangreiche Auftragsverarbeitungsverträge
  • Gefahren für die IT-Sicherheit, drohende oder mögliche Hackerangriffe
  • Zweifel an ausreichenden Sicherheitsvorkehrungen für Server und Büros

Leitfaden zum Datenschutzaudit direkt in Ihr Postfach

Lassen Sie sich unseren umfangreichen Leitfaden zum Thema Datenschutzaudit kostenfrei zuschicken. Sie erhalten darin wertvolle und praxisnahe Informationen zur Vorbereitung und Durchführung.

*Ihre Einwilligung für den Versand unseres Newsletters umfasst auch die aggregierte Nutzungsanalyse (Öffnungsrate & Linkklicks). Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung

Wer führt ein Datenschutzaudit durch?

Der/Die Datenschutzbeauftragte (DSB) eines Unternehmens hat die Aufgabe, die Einhaltung der gesetzlichen Anforderungen an den Datenschutz im Unternehmen sicherzustellen und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen. Von ihm/ihr kann daher auch die Initiative ausgehen, ein „internes Audit“ durchzuführen.
Eine weitere Möglichkeit ist ein „externes Audit“. Dies hat den großen Vorteil, dass Personen, die außerhalb der Organisation oder Unternehmen stehen, mit einem neutralen Blick ein Audit durchführen können. Auch zur Unterstützung des/der Datenschutzbeauftragten bei der Durchführung eines internen Audits kann es von Vorteil sein, dieses gemeinsam mit einem externen Beratungsunternehmen durchzuführen.

Wie läuft ein Datenschutzaudit ab?

Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten:

Ist-Analyse

Im Rahmen der sog. Ist-Analyse werden die Risiken und Schwachstellen relevanter Prozesse im jeweiligen Unternehmen erfasst. Es wird regelmäßig geprüft, welche Vorgänge im Unternehmen besonders hohe Risiken für DSGVO-Verstöße aufweisen.
Dies erfolgt durch eine Überprüfung in rechtlicher (Einhaltung des Transparenzgrundsatzes der DSGVO, Reichweite von Einwilligungen etc.) und tatsächlicher Hinsicht (Einhaltung technischer und organisatorischer Maßnahmen , um ein dem Risiko angemessenes Schutzniveau zu gewährleisten).
Zur Ermittlung des Ist-Zustandes können im ersten Schritt Fragebögen im Unternehmen ausgeteilt werden mit der Bitte an die Mitarbeitenden, diese auszufüllen.
In einem weiteren Schritt bietet es sich gerade für größere Unternehmen an, Interviews mit denjenigen Mitarbeitenden zu führen, die einen guten Überblick über einzelne Abteilungen haben. Durch gezielte Interviews können gewisse Umstände präziser erfragt werden. Je sorgfältiger die entsprechenden Informationen unternehmensseitig vor- bzw. aufbereitet werden (Bestimmung eines Ansprechpartners/einer Ansprechpartnerin, Auflistung relevanter Fachabteilungen und entsprechender Fachverantwortlicher ), desto effektiver kann das Audit durchgeführt werden . Eine weitere Audit-Methode, die zur Anwendung kommen kann, ist die Stichprobenüberprüfung. Hierbei wird eine vorher nicht bestimmte Auswahl von Vorgängen und Unterlagen wie z. B. Einwilligungserklärungen begutachtet.

Analyse und Bewertung

Sind die einzelnen datenschutzrelevanten Prozesse identifiziert, folgt eine Analyse und Bewertung derselben. Dabei kommt es maßgebend darauf an, ob Risiken für von der Verarbeitung betroffene Personen bestehen. Soweit solche bestehen, muss festgelegt werden, ob diese durch die Verarbeitung einem hohen Risiko ausgesetzt werden. Dabei handelt es sich stets um eine Einzelfallprüfung (Liegen besonders sensible Daten vor? Bestehen Anhaltspunkte für Hackerangriffe? Sind Maßnahmen finanzierbar?).

Analysebericht mit Maßnahmenkatalog und Implementierung

Aus den Ergebnissen der Ist-Analyse werden Maßnahmen abgeleitet, um einen bestimmten „Soll-Zustand“ in Hinblick auf die Einhaltung datenschutzrechtlicher Anforderungen zu erreichen. Maßnahmen können auf rechtlicher Ebene (z. B. veränderte Einwilligungs- und Datenschutzerklärungen) sowie technischer und organisatorischer Art (z. B. Überarbeitung des Verzeichnisses von Verarbeitungstätigkeiten, des Datenschutzmanagementsystems) erfolgen. Hinsichtlich des Maßnahmenkatalogs erfolgen dabei konkrete Handlungsempfehlungen und Priorisierungen. Sind entsprechende Maßnahmen getroffen worden, sollten diese implementiert werden.

Dokumentation und Prüfschleifen

Das Datenschutzaudit inkl. Ergebnis werden in einem Auditbericht dokumentiert. So können Unternehmen bspw. einen Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften und das Bußgeldrisiko senken. Zudem ermöglicht die regelmäßige Überprüfung, Verstöße zu verhindern (Stichwort: Prävention). Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht gem. der DSGVO nach und erhöhen das Vertrauen in die Sicherheit der Datenverarbeitung.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 6 plus 1.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Für welche Unternehmen sind Audits notwendig?

Da sich die DSGVO grundsätzlich an alle Unternehmen richtet, die personenbezogene Daten verarbeiten, ist ein Datenschutzaudit grundsätzlich für alle Unternehmen – also auch für kleinere und mittlere Unternehmen – zu empfehlen.
Erforderlich wird ein Datenschutzaudit insbesondere dann, wenn Zweifel an der Notwendigkeit der Bestellung eines/einer Datenschutzbeauftragten bestehen. Die Fälle, in denen eine solche Erforderlichkeit besteht, sind zum Teil Folge einer rechtlichen Bewertung (z. B. wann gehört die Übermittlung personenbezogener Daten zur Kerntätigkeit eines Unternehmens? Ab wann sind personenbezogene Daten besonders schutzwürdig?) und sollten daher genau überprüft werden. Darüber hinaus ist ein Audit dann erforderlich, wenn Anhaltspunkte für mögliche Hackerangriffe vorliegen oder sonstige Zweifel an der IT-Sicherheit bestehen.
Ein weiterer wichtiger Anknüpfungspunkt ist die Verarbeitung von Daten, die Mitarbeitende sowie Bewerber oder Bewerberinnen betreffen. Je umfangreicher das Personalwesen (HR), desto dringender ist ein Datenschutzaudit durchzuführen. Darüber hinaus ist auf weitere Besonderheiten des jeweiligen Unternehmens einzugehen und zu überprüfen, ob ausreichende Maßnahmen zum Schutz von personenbezogenen Daten in den jeweiligen Abteilungen von Unternehmen (neben dem HR, etwa in der IT, dem Marketing, dem Vertrieb) bestehen. Ein Datenschutzaudit kann weiter erforderlich sein, wenn umfangreiche Auftragsverarbeitungsverträge vorliegen, also solche Verträge, durch die andere Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Diese bergen stets das Risiko, dass Verantwortlichkeiten nicht genau abgegrenzt werden oder bei der Übertragung von Daten gegen Vorschriften aus der DSGVO verstoßen wird. In diesen besonderen Fällen ist eine umfangreiche Analyse des Ist-Zustandes aus DSGVO-Perspektive unerlässlich.

Welchen Umfang hat ein Datenschutzaudit?

Die DSGVO sieht wie geschildert an einigen Stellen bereits Überprüfungen der datenschutzrechtlichen Vorgaben vor. Demgemäß gilt es vor allem diese Mechanismen des Datenschutzmanagementsystems, wie zum Beispiel das ordnungsgemäße Anlegen des Verzeichnisses von Verarbeitungstätigkeiten sowie den Prozess in Bezug auf die Bearbeitung von Betroffenenanfragen zu prüfen . Weiterhin ist zu kontrollieren, ob für den Fall von Datenschutzvorfällen ausreichende Kenntnisse der Mitarbeitenden und klare Vorgaben für den Umgang mit den Meldepflichten der DSGVO (gegenüber den Aufsichtsbehörden und den betroffenen Personen ) bestehen. Sodann ist die effektive Einbindung des/der Datenschutzbeauftragten in das Unternehmen zu überprüfen. Insbesondere sollte darauf geachtet werden, dass ein regelmäßiger Austausch zwischen dem/der Datenschutzbeauftragten und den Mitarbeitenden erfolgt, der/die diese für den Umgang mit personenbezogenen Daten sensibilisiert. Hierfür bieten sich vor allem Schulungen an. Dabei sollte darauf geachtet werden, dass Mitarbeitende nicht nur für den Fall von Datenschutzvorfällen geschult werden, sondern vor allem auch für den Umgang mit Betroffenenrechten. So fordert die DSGVO nicht nur ein transparentes System für die betroffenen Personen, um von ihren Rechten Gebrauch machen zu können, sondern auch eine zeitnahe Reaktion von Unternehmen auf Betroffenenanfragen.

Beim Datenschutzaudit auf Expertise setzen

Das Datenschutzaudit ermöglicht eine regelmäßige und fachkundige Überprüfung der Einhaltung datenschutzrechtlicher Vorgaben in Ihrem Unternehmen. Dabei dient die Überprüfung der Datenschutzkonformität nicht nur der Absicherung vor rechtlichen Risiken, sondern stärkt zugleich auch das Vertrauen von Kunden und Kundinnen, Geschäftspartner und -partnerinnen sowie Mitarbeitenden. Ein effektives Datenschutzaudit lässt sich in den meisten Fällen mit externer Hilfe erreichen. Das Team von ISiCO steht Ihnen mit seinen Datenschutzexperten zur Seite. Sprechen Sie uns an!

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …