Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang

Die Datenschutz-Grundverordnung (DSGVO) sieht an vielen Stellen Kontrollmechanismen und Kontrollpflichten für Unternehmen vor, damit diese regelmäßig überprüfen, ob die Vorgaben der DSGVO eingehalten werden, wo mögliche Risiken bestehen und wie diesen begegnet werden kann. Diese Mechanismen können jedoch nur dann ihren Zweck vollumfänglich erfüllen, wenn auch Kontrollmechanismen der DSGVO selbst, wie das Datenschutzmanagementsystem (DSMS) oder das Verzeichnis von Verarbeitungstätigen (VVT), auf ihre wirksame Umsetzung hin überprüft werden. Diesem Ziel dienen die sogenannten Datenschutzaudits. Im Rahmen eines Datenschutzaudits werden nicht nur einzelne datenschutzrechtlich relevante Verarbeitungsvorgänge im Unternehmen geprüft, sondern allgemein die Einhaltung und Umsetzung der DSGVO. Im Folgenden erfahren Sie, was unter einem Datenschutzaudit zu verstehen ist und in welchen Fällen ein Datenschutzaudit erforderlich ist. Wir zeigen Ihnen außerdem, wie ein solches Datenschutzaudit idealerweise ausgestaltet ist.

Wir unterstützen Sie bei der Durchführung von Audits und überprüfen die Wirksamkeit Ihrer Datenschutzmaßnahmen.

Nehmen Sie Kontakt zu uns auf

Was ist ein Datenschutzaudit genau?

Ein Datenschutzaudit ist eine freiwillige Analyse und Prüfung der Datenschutzkonformität von datenverarbeitenden Vorgängen innerhalb eines Unternehmens. Es dient der Analyse, ob einzelne Datenverarbeitungsprozesse mit der DSGVO im Einklang stehen, so zum Beispiel bei der Anwendung von standardisierter oder individueller Software (sog. Software-Audit).
Dabei findet bspw. eine Prüfung von Verträgen, Betriebsvereinbarungen, internen Richtlinien hinsichtlich ihrer Datenschutzkonformität statt. Neben der Prüfung der einzelnen Verarbeitungsprozesse bzgl. ihrer Vereinbarkeit mit der DSGVO dient ein Audit auch der Prüfung von entsprechenden Sicherheitsvorkehrungen, wie zum Beispiel des Schutzniveaus von technischen und organisatorischen Maßnahmen (TOM) gem. Art. 32 DSGVO (sog. TOM-Audit).

Zweck eines Datenschutzaudits ist die Schaffung einer Grundlage für die Entwicklung langfristiger Datenschutzstrategien. Dabei kann ein Audit sowohl dazu dienen, ein von Grund auf neues Datenschutzmanagement aufzuziehen, als auch bereits bestehende Betriebsabläufe umzugestalten und zu optimieren. Unternehmen profitieren von der Durchführung eines Audits, da mit dem Audit oftmals auch ein interner Lernprozess einhergeht.
Während es beim Audit somit um die Prüfung des Datenschutzmanagements oder einzelne seiner Bestandteile geht, bezieht sich eine Zertifizierung dagegen nur auf einzelne IT-Produkte und Dienstleistungen.

Checkliste – Wann muss ein Datenschutzaudit durchgeführt werden?

In folgenden Fällen ist ein Audit insbesondere empfehlenswert:

  • Zweifel an der Notwendigkeit der Bestellung einer/eines Datenschutzbeauftragten
  • Zweifel an der Effektivität des Datenschutzmanagementsystems, durchgeführter Datenschutz-Folgenabschätzungen, Prozesse zum Umgang mit Betroffenenanfragen und angelegter Verzeichnisse von Verarbeitungstätigkeiten
  • Keine spezifischen Datenschutzmaßnahmen für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb, HR
  • Umfangreiche Auftragsverarbeitungsverträge
  • Gefahren für die IT-Sicherheit, drohende oder mögliche Hackerangriffe
  • Zweifel an ausreichenden Sicherheitsvorkehrungen für Server und Büros

Wer führt ein Datenschutzaudit durch?

Der/Die Datenschutzbeauftragte (DSB) eines Unternehmens hat die Aufgabe, die Einhaltung der gesetzlichen Anforderungen an den Datenschutz im Unternehmen sicherzustellen und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen. Von ihm/ihr kann daher auch die Initiative ausgehen, ein „internes Audit“ durchzuführen.
Eine weitere Möglichkeit ist ein „externes Audit“. Dies hat den großen Vorteil, dass Personen, die außerhalb der Organisation oder Unternehmen stehen, mit einem neutralen Blick ein Audit durchführen können. Auch zur Unterstützung des/der Datenschutzbeauftragten bei der Durchführung eines internen Audits kann es von Vorteil sein, dieses gemeinsam mit einem externen Beratungsunternehmen durchzuführen.

Newsletter

Abonnieren Sie unseren Newsletter und bleiben Sie auf dem Laufenden über aktuelle Themen aus der Welt des Datenschutzes. Erfahren Sie als Erstes von neuesten Entwicklungen und Artikeln zu Datenschutzaudits.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Wie läuft ein Datenschutzaudit ab?

Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten:

Ist-Analyse

Im Rahmen der sog. Ist-Analyse werden die Risiken und Schwachstellen relevanter Prozesse im jeweiligen Unternehmen erfasst. Es wird regelmäßig geprüft, welche Vorgänge im Unternehmen besonders hohe Risiken für DSGVO-Verstöße aufweisen.
Dies erfolgt durch eine Überprüfung in rechtlicher (Einhaltung des Transparenzgrundsatzes der DSGVO, Reichweite von Einwilligungen etc.) und tatsächlicher Hinsicht (Einhaltung technischer und organisatorischer Maßnahmen , um ein dem Risiko angemessenes Schutzniveau zu gewährleisten).
Zur Ermittlung des Ist-Zustandes können im ersten Schritt Fragebögen im Unternehmen ausgeteilt werden mit der Bitte an die Mitarbeitenden, diese auszufüllen.
In einem weiteren Schritt bietet es sich gerade für größere Unternehmen an, Interviews mit denjenigen Mitarbeitenden zu führen, die einen guten Überblick über einzelne Abteilungen haben. Durch gezielte Interviews können gewisse Umstände präziser erfragt werden. Je sorgfältiger die entsprechenden Informationen unternehmensseitig vor- bzw. aufbereitet werden (Bestimmung eines Ansprechpartners/einer Ansprechpartnerin, Auflistung relevanter Fachabteilungen und entsprechender Fachverantwortlicher ), desto effektiver kann das Audit durchgeführt werden . Eine weitere Audit-Methode, die zur Anwendung kommen kann, ist die Stichprobenüberprüfung. Hierbei wird eine vorher nicht bestimmte Auswahl von Vorgängen und Unterlagen wie z. B. Einwilligungserklärungen begutachtet.

Analyse und Bewertung

Sind die einzelnen datenschutzrelevanten Prozesse identifiziert, folgt eine Analyse und Bewertung derselben. Dabei kommt es maßgebend darauf an, ob Risiken für von der Verarbeitung betroffene Personen bestehen. Soweit solche bestehen, muss festgelegt werden, ob diese durch die Verarbeitung einem hohen Risiko ausgesetzt werden. Dabei handelt es sich stets um eine Einzelfallprüfung (Liegen besonders sensible Daten vor? Bestehen Anhaltspunkte für Hackerangriffe? Sind Maßnahmen finanzierbar?).

Analysebericht mit Maßnahmenkatalog und Implementierung

Aus den Ergebnissen der Ist-Analyse werden Maßnahmen abgeleitet, um einen bestimmten „Soll-Zustand“ in Hinblick auf die Einhaltung datenschutzrechtlicher Anforderungen zu erreichen. Maßnahmen können auf rechtlicher Ebene (z. B. veränderte Einwilligungs- und Datenschutzerklärungen) sowie technischer und organisatorischer Art (z. B. Überarbeitung des Verzeichnisses von Verarbeitungstätigkeiten, des Datenschutzmanagementsystems) erfolgen. Hinsichtlich des Maßnahmenkatalogs erfolgen dabei konkrete Handlungsempfehlungen und Priorisierungen. Sind entsprechende Maßnahmen getroffen worden, sollten diese implementiert werden.

Dokumentation und Prüfschleifen

Das Datenschutzaudit inkl. Ergebnis werden in einem Auditbericht dokumentiert. So können Unternehmen bspw. einen Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften und das Bußgeldrisiko senken. Zudem ermöglicht die regelmäßige Überprüfung, Verstöße zu verhindern (Stichwort: Prävention). Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht gem. der DSGVO nach und erhöhen das Vertrauen in die Sicherheit der Datenverarbeitung.

Das könnte Sie auch interessieren:

Für welche Unternehmen sind Audits notwendig?

Da sich die DSGVO grundsätzlich an alle Unternehmen richtet, die personenbezogene Daten verarbeiten, ist ein Datenschutzaudit grundsätzlich für alle Unternehmen – also auch für kleinere und mittlere Unternehmen – zu empfehlen.
Erforderlich wird ein Datenschutzaudit insbesondere dann, wenn Zweifel an der Notwendigkeit der Bestellung eines/einer Datenschutzbeauftragten bestehen. Die Fälle, in denen eine solche Erforderlichkeit besteht, sind zum Teil Folge einer rechtlichen Bewertung (z. B. wann gehört die Übermittlung personenbezogener Daten zur Kerntätigkeit eines Unternehmens? Ab wann sind personenbezogene Daten besonders schutzwürdig?) und sollten daher genau überprüft werden. Darüber hinaus ist ein Audit dann erforderlich, wenn Anhaltspunkte für mögliche Hackerangriffe vorliegen oder sonstige Zweifel an der IT-Sicherheit bestehen.
Ein weiterer wichtiger Anknüpfungspunkt ist die Verarbeitung von Daten, die Mitarbeitende sowie Bewerber oder Bewerberinnen betreffen. Je umfangreicher das Personalwesen (HR), desto dringender ist ein Datenschutzaudit durchzuführen. Darüber hinaus ist auf weitere Besonderheiten des jeweiligen Unternehmens einzugehen und zu überprüfen, ob ausreichende Maßnahmen zum Schutz von personenbezogenen Daten in den jeweiligen Abteilungen von Unternehmen (neben dem HR, etwa in der IT, dem Marketing, dem Vertrieb) bestehen. Ein Datenschutzaudit kann weiter erforderlich sein, wenn umfangreiche Auftragsverarbeitungsverträge vorliegen, also solche Verträge, durch die andere Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Diese bergen stets das Risiko, dass Verantwortlichkeiten nicht genau abgegrenzt werden oder bei der Übertragung von Daten gegen Vorschriften aus der DSGVO verstoßen wird. In diesen besonderen Fällen ist eine umfangreiche Analyse des Ist-Zustandes aus DSGVO-Perspektive unerlässlich.

Welchen Umfang hat ein Datenschutzaudit?

Die DSGVO sieht wie geschildert an einigen Stellen bereits Überprüfungen der datenschutzrechtlichen Vorgaben vor. Demgemäß gilt es vor allem diese Mechanismen des Datenschutzmanagementsystems, wie zum Beispiel das ordnungsgemäße Anlegen des Verzeichnisses von Verarbeitungstätigkeiten sowie den Prozess in Bezug auf die Bearbeitung von Betroffenenanfragen zu prüfen . Weiterhin ist zu kontrollieren, ob für den Fall von Datenschutzvorfällen ausreichende Kenntnisse der Mitarbeitenden und klare Vorgaben für den Umgang mit den Meldepflichten der DSGVO (gegenüber den Aufsichtsbehörden und den betroffenen Personen ) bestehen. Sodann ist die effektive Einbindung des/der Datenschutzbeauftragten in das Unternehmen zu überprüfen. Insbesondere sollte darauf geachtet werden, dass ein regelmäßiger Austausch zwischen dem/der Datenschutzbeauftragten und den Mitarbeitenden erfolgt, der/die diese für den Umgang mit personenbezogenen Daten sensibilisiert. Hierfür bieten sich vor allem Schulungen an. Dabei sollte darauf geachtet werden, dass Mitarbeitende nicht nur für den Fall von Datenschutzvorfällen geschult werden, sondern vor allem auch für den Umgang mit Betroffenenrechten. So fordert die DSGVO nicht nur ein transparentes System für die betroffenen Personen, um von ihren Rechten Gebrauch machen zu können, sondern auch eine zeitnahe Reaktion von Unternehmen auf Betroffenenanfragen.

Beim Datenschutzaudit auf Expertise setzen

Das Datenschutzaudit ermöglicht eine regelmäßige und fachkundige Überprüfung der Einhaltung datenschutzrechtlicher Vorgaben in Ihrem Unternehmen. Dabei dient die Überprüfung der Datenschutzkonformität nicht nur der Absicherung vor rechtlichen Risiken, sondern stärkt zugleich auch das Vertrauen von Kunden und Kundinnen, Geschäftspartner und -partnerinnen sowie Mitarbeitenden. Ein effektives Datenschutzaudit lässt sich in den meisten Fällen mit externer Hilfe erreichen. Das Team von ISiCO steht Ihnen mit seinen Datenschutzexperten zur Seite. Sprechen Sie uns an!

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen