Die Datenschutz-Grundverordnung (DSGVO) sieht an vielen Stellen Kontrollmechanismen und Kontrollpflichten für Unternehmen vor, damit diese regelmäßig überprüfen, ob die Vorgaben der DSGVO eingehalten werden, wo mögliche Risiken bestehen und wie diesen begegnet werden kann. Diese Mechanismen können jedoch nur dann ihren Zweck vollumfänglich erfüllen, wenn auch Kontrollmechanismen der DSGVO selbst, wie das Datenschutzmanagementsystem oder das Verzeichnis der Verarbeitungstätigen, auf ihre wirksame Umsetzung hin überprüft werden. Diesem Ziel dienen die sogenannten Datenschutzaudits. Im Rahmen eines Datenschutzaudits werden nicht nur einzelne datenschutzrechtlich relevante Vorgänge im Unternehmen geprüft, sondern allgemein die Einhaltung und Umsetzung der DSGVO.
Was ist ein Datenschutzaudit genau?
Ein Datenschutzaudit ist eine freiwillige Analyse und Prüfung der Datenschutzkonformität von datenverarbeitenden Vorgängen innerhalb eines Unternehmens. Es dient der Analyse, ob einzelne Datenverarbeitungsprozesse mit der DSGVO im Einklang stehen.
Dabei findet bspw. eine Prüfung von Verträgen, Betriebsvereinbarungen, internen Richtlinien hinsichtlich ihrer Datenschutzkonformität statt. Neben der Prüfung der einzelnen Verarbeitungsprozesse bzgl. ihre Vereinbarkeit mit der DSGVO, dient ein Audit auch der Prüfung von entsprechenden Sicherheitsvorkehrungen.
Zweck eines Datenschutzaudits ist die Schaffung einer Grundlage für die Entwicklung langfristiger Datenschutzstrategien. Dabei kann ein Audit dazu dienen, ein von Grund auf neues Datenschutzmanagement aufzuziehen, als auch bereits bestehende Betriebsabläufe umzugestalten und zu optimieren. Unternehmen profitieren von der Durchführung eines Audits, da es auch als interner Lernprozess verstanden werden kann.
Während es beim Audit somit um die Prüfung des Datenschutzmanagements oder Teilen davon geht, bezieht sich eine Zertifizierung dagegen nur auf einzelne IT-Produkte und Dienstleistungen.
Wer führt ein Datenschutzaudit durch?
Der Datenschutzbeauftragte eines Unternehmens hat die Aufgabe, die gesetzlichen Anforderungen an den Datenschutz im Unternehmen sicherzustellen und ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen. Daher kann es in der Regel von einem Datenschutzbeauftragen angestoßen werden, einen „internen Audit“ durchzuführen.
Eine weitere Möglichkeit ist ein „externes Audit“. Dies hat den großen Vorteil, dass Personen, die außerhalb der Organisation oder Unternehmen stehen, mit einem frischen Blick einen Audit durchführen können. Auch zur Unterstützung des Datenschutzbeauftragten bei der Durchführung eines internen Audits kann es von Vorteil sein, dieses gemeinsam mit einem externen Beratungsunternehmen durchzuführen.
Datenschutzaudit: Ablauf
Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten:
1. Ist-Analyse:
Im Rahmen der sog. Ist-Analyse werden die Risiken und Schwachstellen relevanter Prozesse erfasst. Es wird regelmäßig geprüft, welche Vorgänge im Unternehmen besonders hohe Risiken für DSGVO-Verstöße aufweisen.
Dies erfolgt durch eine Überprüfung in rechtlicher (Einhaltung des Transparenzgrundsatzes der DSGVO, Reichweite von Einwilligungen etc.) und tatsächlicher Hinsicht (Einhaltung technischer und organisatorischer Maßnahmen (TOM), um ein angemessenes Schutzniveau zu gewährleisten).
Zur Ermittlung des Ist-Zustandes können im ersten Schritt Fragebögen im Unternehmen ausgeteilt werden, mit der Bitte an die Mitarbeiter diese auszufüllen.
In einem weiteren Schritt bietet es sich gerade für größere Unternehmen an, Interviews mit denjenigen Mitarbeitern zu führen, die einen guten Überblick über einzelne Abteilungen haben. Durch gezielte Interviews können gewisse Umstände präziser erfragt werden.
2. Analyse und Bewertung
Sind die einzelnen datenschutzrelevanten Prozesse identifiziert, folgt eine Analyse und Bewertung derselben. Dabei kommt es maßgebend darauf an, ob Risiken für von der Verarbeitung betroffene Personen bestehen. Soweit solche bestehen, muss festgelegt werden, ob diese durch die Verarbeitung einem hohen Risiko ausgesetzt werden. Dabei handelt es sich stets um eine Einzelfallprüfung (Liegen besonders sensible Daten vor? Bestehen Anhaltspunkte für Hackerangriffe? Sind Maßnahmen finanzierbar?).
3. Analysebericht mit Maßnahmenkatalog und Implementierung
Aus den Ergebnissen der Ist-Analyse werden Maßnahmen abgeleitet, um einen bestimmten „Soll-Zustand“ zu erreichen. Maßnahmen können auf rechtlicher Ebene (z.B. veränderte Einwilligungs- und Datenschutzerklärungen) und technisch-organisatorischer Art (z.B. Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten, des Datenschutzmanagementsystems) erfolgen. Hinsichtlich des Maßnahmenkatalogs erfolgen dabei konkrete Handlungsempfehlungen und Priorisierungen.
Sind entsprechende Maßnahmen getroffen worden, sollten diese implementiert werden.
4. Dokumentation und Prüfschleifen:
Das Datenschutzaudit inkl. Ergebnis werden in einem Auditbericht dokumentiert. So können Unternehmen bspw. einen Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften und das Bußgeldrisiko senken. Zudem ermöglicht die regelmäßige Überprüfung, Verstöße zu verhindern. Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht gem. der DSGVO nach und erhöhen das Vertrauen in die Sicherheit der Datenverarbeitung.
Für welche Unternehmen sind Audits notwendig?
Da sich die DSGVO grundsätzlich an alle Unternehmen richtet, die personenbezogene Daten verarbeiten, ist ein Datenschutzaudit grundsätzlich auch für alle Unternehmen – also auch für kleinere und mittlere Unternehmen – zu empfehlen.
Erforderlich wird ein Datenschutzaudit insbesondere dann, wenn Zweifel an der Notwendigkeit der Bestellung eines Datenschutzbeauftragten bestehen. Die Fälle, in denen eine solche Erforderlichkeit besteht, sind zum Teil Folge einer rechtlichen Bewertung (z.B. wann gehört die Übermittlung personenbezogener Daten zur Kerntätigkeit eines Unternehmens, ab wann sind personenbezogene Daten besonders schutzwürdig) und sollten daher genau überprüft werden. Darüber hinaus ist ein Audit dann erforderlich, wenn Anhaltspunkte für mögliche Hackerangriffe vorliegen oder sonstige Zweifel an der IT-Sicherheit bestehen.
Ein weiterer wichtiger Anknüpfungspunkt ist die Verarbeitung von Mitarbeiter- und Bewerberdaten. Je umfangreicher das HR, desto dringender ist ein Datenschutzaudit durchzuführen. Darüber hinaus ist auf weitere Besonderheiten des jeweiligen Unternehmens einzugehen und zu überprüfen, ob ausreichende Maßnahmen zum Schutz von personenbezogenen Daten in den jeweiligen Abteilungen von Unternehmen (neben dem HR, etwa der IT, dem Marketing, dem Vertrieb) bestehen. Weiterer Anhaltspunkt für die Erforderlichkeit eines Datenschutzaudit sind umfangreiche Auftragsverarbeitungsverträge, also Verträge, durch die andere Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Diese bergen stets das Risiko, dass Verantwortlichkeiten nicht genau abgegrenzt werden oder bei der Übertragung von Daten DSGVO-Verstöße erfolgen. In diesen besonderen Fällen ist eine umfangreiche Analyse des Ist-Zustandes aus DSGVO-Perspektive unerlässlich.
Datenschutzaudit: Umfang
Die DSGVO sieht wie geschildert an einigen Stellen bereits Überprüfungen der datenschutzrechtlichen Vorgaben vor. Demgemäß gilt es vor allem die Effektivität dieser Mechanismen, also des Datenschutzmanagementsystems, der Datenschutz-Folgenabschätzungen (DSFA) und des ordnungsgemäßen Anlegens des Verzeichnisses der Verarbeitungstätigkeiten (VVT) zu prüfen. Weiterhin ist zu überprüfen, ob für den Fall von Datenpannen ausreichende Kenntnisse der Mitarbeiter und klare Vorgaben für den Umgang mit den Meldepflichten der DSGVO (gegenüber den Aufsichtsbehörden und den Betroffenen) bestehen. Sodann ist die effektive Einbindung des Datenschutzbeauftragten in das Unternehmen zu prüfen. Insbesondere sollte darauf geachtet werden, dass ein regelmäßiger Austausch zwischen dem Datenschutzbeauftragten und Mitarbeitern erfolgt, der diese für den Umgang mit personenbezogenen Daten sensibilisiert. Hierfür bieten sich vor allem Schulungen an. Dabei sollte darauf geachtet werden, dass Mitarbeiter nicht nur für den Fall von Datenpannen geschult werden, sondern vor allem auch für den Umgang mit Betroffenenrechten. So fordert die DSGVO nicht nur ein transparentes System für Betroffene, um von ihren Rechten Gebrauch machen zu können, sondern auch eine zeitnahe Reaktion von Unternehmen auf Betroffenenanfragen.
Fazit
Das Datenschutzaudit ermöglicht eine regelmäßige und fachkundige Überprüfung der Vorgaben der DSGVO. Die folgende Checkliste hilft Unternehmen zu erkennen, wann ein Audit unbedingt notwendig ist:
Checkliste – Wann muss ein Datenschutzaudit durchgeführt werden?
- Zweifel an der Notwendigkeit der Bestellung eines Datenschutzbeauftragten
- Zweifel an der Effektivität des Datenschutzmanagementsystems (DSMS), durchgeführter Datenschutz-Folgenabschätzungen und angelegter Verzeichnisse der Verarbeitungstätigkeiten
- Keine spezifischen Datenschutzmaßnahmen für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb, HR
- Umfangreiche Auftragsverarbeitungsverträge
- Gefahren für die IT-Sicherheit, drohende oder mögliche Hackerangriffe
- Zweifel an ausreichenden Sicherheitsvorkehrungen für Server und Büros.
Unsere Datenschutzexpert:innen helfen Ihnen gerne weiter, wenn Sie ein Datenschutzaudit vornehmen möchten! Wir verfügen über eine langjährige Expertise und dem nötigen Fachwissen. Kontaktieren Sie uns – wir stehen Ihnen gerne vertrauensvoll bei jeglichen Fragen zum Datenschutz in Ihrem Unternehmen zur Seite.
-
Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit
Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.
-
Anonymisierung und Pseudonymisierung in der Praxis
Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.
-
Die NIS-2-Richtlinie: Die wichtigsten Ziele und Regelungen
Nach Inkrafttreten der NIS-2-Richtlinie am 16. Januar 2023 verbleiben Deutschland und anderen den EU-Mitgliedsstaaten nunmehr 21 Monate, um die Regelungen in nationales Recht umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Welche Neuerungen ergeben sich und was müssen Unternehmen jetzt beachten? Wir geben Ihnen einen Überblick.