Datenschutzaudit

Die Datenschutzgrundverordnung (DSGVO) verlangt an vielen Stellen Kontrollmechanismen, damit Unternehmen regelmäßig überprüft werden können, ob die Vorgaben der DSGVO eingehalten werden. Explizit spricht die DSGVO hier nicht von einem Audit. Dennoch ist diese Art Betriebsüberpüfung sehr hilfreich. So sollen mögliche Risiken identifiziert und behoben werden. Diese Mechanismen erfüllen nur dann ihren Zweck, wenn die Vorgaben der DSGVO auf ihre Wirksamkeit überprüft wurden. Dies wird mit einem Datenschutzaudit sichergestellt, die auch DSGVO Betriebsprüfung genannt wird.

Ein effektives Datenschutzaudit erfolgt in drei Schritten:

 Die Ist-Analyse
Wir vereinbaren einen Termin vor Ort bei Ihnen im Unternehmen. Dabei schauen wir  während des Audits auf die bereits implementierten Datenschutzprozesse und führen Interviews. Zusätzlich händigen wir Ihnen einen speziell auf das Thema Datenschutz konzipierten Fragebogen aus, den Sie offen und ehrlich beantworten sollten. Diese Antworten, sowie die Beobachtungen des Vor-Ort-Besuchs dokumentieren wir als den Ist-Zustand. Damit ist der erste Teil des Datenschutzaudits bereits  abgeschlossen.

Der Maßnahmenkatalog
Um einen Mindestlevel an Datenschutz zu erreichen, erarbeiten wir mit dem Ergebnis der Ist-Analyse Maßnahmen, die von Ihnen umzusetzen sind. Dabei arbeiten wir eng mit Ihnen zusammen und wägen zu erwartendes Risiko vs. Kosten ab. Maßnahmen können auf rechtlicher Ebene (z.B. veränderte Einwilligungserklärungen oder Auftragsverarbeitungsverträge), technischer Natur (z.B. Verändern gewisser Settings auf Ihren Servern) oder rein organisatorisch sein (z.B. die Erweiterung des Verarbeitungsverzeichnisses).

Dokumentation und Prüfschleifen:
Im weiteren Verlauf der DSGVO Betriebsprüfung dokumentieren wir Ihr Datenschutzniveau in unserem Managementsystem und halten dies tagesaktuell. Sie erhalten natürlich Zugriff und können bei Bedarf auf Vorlagen, die Ergebnisse des Audits und Vieles mehr zugreifen und auch ausdrucken. Eine regelmäßige Überprüfung hilft dabei, Datenschutzverstöße zu verhindern. Lesen Sie dazu einen interessanten Artikel aus dem Handelsblatt. Mit der Dokumentation innerhalb unseres Systems kommen Sie als Unternehmen Ihrer Rechenschaftspflicht nach. Dadurch erhöhen Sie das Vertrauen in die Sicherheit der Datenverarbeitung.  

Für wen ist ein Datenschutzaudit erforderlich? 

Die DSGVO richtet sich grundsätzlich an alle Unternehmen, die personenbezogene Daten verarbeiten. Schauen wir uns in die Augen: Ich selbst kenne kein Unternehmen, das keine personenbezogenen Daten verarbeitet. Ergo empfiehlt sich ein Datenschutzaudit auch für alle Unternehmen. Erforderlich wird ein Datenschutzaudit spätestens dann, wenn es z.B. Anhaltspunkte für erfolgte oder mögliche Hackerangriffe vorliegen oder andere Zweifel an der IT-Sicherheit bestehen. 

Aber auch die Verarbeitung umfangreicher Mitarbeiter- oder Bewerberdaten „schreien“ förmlich nach einem Datenschutzaudit. Oder greifen Sie auf Zulieferer zurück, die für Sie die IT-Infrastruktur oder ein Mailsystem betreiben? Dann sind spezielle Auftragsverarbeitungsaufträge erforderlich, die im Rahmen eines Datenschutzaudits überprüft werden können. Oft sind die Verantwortlichkeiten innerhalb dieser Beträge nicht genau abgegrenzt und bergen somit das Risiko, dass Sie alleine für den Schaden eines Datenschutzvorfalls aufkommen müssen.  

Umfangs eines Datenschutzaudits

Wie Sie eben erfahren haben, gilt es, in Ihrem Unternehmen die Effektivität der Kontrollmechanismen, die Korrektheit eventueller Datenschutzfolgeabschätzungen (DSFA) und das ordnungsgemäße Anlegen eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) zu überprüfen. Wissen Sie, welche Pflichten Sie haben nach der Entdeckung eines Datenschutzvorfalls? Wann und wohin müssen Sie diese Panne melden? Ist ein Datenschutzbeauftragter hinzuzuziehen? Wie gehen Sie mit Betroffenenrechten um? Was geschieht bei einer Datenanfrage?

All diese Antworten erhalten Sie im Laufe des Audits, und sie werden auch im Datenschutzbericht dokumentiert, der Ihnen anschließend ausgehändigt wird. 

Fazit

Ein Datenschutzaudit gibt Ihnen den aktuellen Status Ihres Datenschutzniveaus durch eine fachkundige (und im besten Fall regelmäßige) Überprüfung der DSGVO-Vorgaben.