Datenschutz-Audit

Unternehmen sollten ein Datenschutz-Audit in folgenden Fällen in Betracht ziehen:

• Vor der Einführung neuer Datenschutzrichtlinien oder -verfahren
• Nach größeren Veränderungen in der Unternehmensstruktur oder IT-Infrastruktur
• Nach Verstößen gegen Datenschutzbestimmungen oder Datenlecks
• Als regelmäßige Überprüfung zur Einhaltung der Datenschutzvorschriften

Ein Datenschutzaudit nach DSGVO wird in den meisten Fällen von den Unternehmen selbst beauftragt. Diese Unternehmen lassen dabei von einem unabhängigen Prüfer und Gutachter die Datenschutzkonformität freiwillig prüfen.

In der Regel ist es die Geschäftsleitung, die die Durchführung eines Datenschutz-Audits beauftragt, da sie als Verantwortlicher für den Datenschutz gerade stehen muss. Oftmals kommt es aber auch vor, dass ein interner Datenschutzbeauftragter zusammen mit der Geschäftsführung ein Audit beauftragt. Die Gründe dafür können sein, dass der interne Datenschutzbeauftragte beispielsweise von einer zusätzlichen unabhängigen Stelle den Stand des Datenschutzes überprüft haben möchte und eine weitere Meinung auf Augenhöhe benötigt. Der externe Auditor hat einen neutralen und unabhängigen Blick auf das Unternehmen, die Gefahr einer „Betriebsblindheit“ besteht nicht. Ein weiterer Vorteil dabei ist, dass die Empfehlung von unabhängigen Außenstehenden oft einen höheren Stellenwert hat oder eine gemeinsame Empfehlung von Maßnahmen zumindest zusätzlich an Gewicht gewinnt.

Eine weitere Möglichkeit ist auch, dass ein Datenschutzaudit von einem Unternehmen beauftragt wird um den Datenschutz bei einem Subdienstleister zu überprüfen, da das Unternehmen bei einer Aufragsverarbeitung dazu verpflichtet ist sich zu vergewissern, dass der vertraglich zugesicherte Datenschutz auch eingehalten wird.

Mit einem Datenschutzaudit prüft das Unternehmen, ob die DSGVO Anforderungen im Unternehmen umgesetzt und Datenschutzkonzepte eingehalten werden. Der Datenschutz des Unternehmens wird sozusagen auf Herz und Nieren überprüft. Schwachstellen in Dokumenten und Prozessen, die zu Datenschutzvorfällen mit Image-Verlusten führen könnten, können aufgedeckt und Maßnahmen und konkrete Handlungsanweisungen zur Verbesserung des Datenschutzes festgelegt werden. Das Audit mit einem anschließendem Auditbericht ermöglicht dem Unternehmen einen klaren Überblick über den Stand des Datenschutzes zu bekommen und Lücken zu schließen, die bei einer Prüfung durch eine Aufsichtsbehörde vielleicht sogar zu Geldbußen führen können.

Grundsätzlich sollte jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen bzw. durchführen lassen.

Die Veröffentlichung des Ergebnisses kann ein Unternehmen für Kunden außerdem attraktiver machen. Sie zeigen damit, dass der Datenschutz in Ihrem Unternehmen einen entsprechenden Stellenwert hat und das wiederum stärkt das Vertrauen der Verbraucher in Ihr Unternehmen.

Bei einem Audit geht es nicht darum einen Schuldigen zu finden oder Finger-Pointing zu betreiben. Es geht darum, die Punkte aufzudecken bei welchen es Probleme gibt. Die Themen zu finden, die das Unternehmen gefährden können und abgestellt werden müssen. Besser der externe Auditor deckt problematische Punkte auf, als später die Aufsichtsbehörden, die das Unternehmen überprüfen, weil eine Datenschutzverletzung vorliegt. Es ist ganz wichtig diesen Punkt direkt zu Beginn des Audits mit den Mitarbeitern zu besprechen, dann klappt ein Audit auch reibungslos.

Um sich bestmöglich auf ein Datenschutz-Audit vorzubereiten, beachten Sie folgende Schritte:

• Überprüfen Sie Ihre aktuellen Datenschutzrichtlinien und Verfahren auf Aktualität und Konformität mit den geltenden Gesetzen.
• Führen Sie eine umfassende Bestandsaufnahme der verarbeiteten personenbezogenen Daten durch.
• Dokumentieren Sie Ihre Datenverarbeitungsprozesse und stellen Sie sicher, dass sie transparent und nachvollziehbar sind.
• Implementieren Sie angemessene technische und organisatorische Maßnahmen zum Schutz der Daten.
• Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf Datenschutzbestimmungen und deren Umsetzung.
• Stellen Sie sicher, dass Sie über einen Datenschutzbeauftragten verfügen, falls gesetzlich vorgeschrieben.

Ein gut vorbereitetes Datenschutz-Audit ermöglicht es Ihnen, mögliche Risiken zu identifizieren, Datenschutzlücken zu schließen und sicherzustellen, dass Ihr Unternehmen den Datenschutzbestimmungen entspricht.

Es kommt ganz darauf an, um welches Audit es sich handelt. Handelt es sind um ein reines Dokumenten-Audit oder ein Vorort-Audit. Des Weiteren spielen auch noch die Branche und die Größe des Unternehmens eine wichtige Rolle.

Wenn wir von einem Vorort-Audit in einem mittelständischen Unternehmen ausgehen, so lassen wir uns im Vorwege die Grunddaten wie Organigramm, HRB-Auszug, Datenschutz-Unterlagen etc. zur Sichtung zukommen um uns vorzubereiten. Aus den Unterlagen kristallisieren sich dann die notwendigen Ansprechpartner heraus, mit denen wir dann Vorort Interviews führen. Natürlich findet auch ein Rundgang im Unternehmen statt um die technischen und organisatorischen Maßnahmen des Unternehmens zu überprüfen.

Nach den Interviews und den Besichtigungen gibt es dann auf jeden Fall immer zum Abschluss des Vorort-Audits noch eine Besprechung mit der Geschäftsführung, um die ersten Eindrücke direkt mitzuteilen und um ggf. schon die ersten Quickwins in die Umsetzung geben zu können.

Nach dem Audit wird ein detaillierter Auditbericht erstellt und dieser wird entweder versendet oder in einer persönlichen Besprechung mit den Auditteilnehmern vorgestellt. Eine Vorstellung und persönliche Erklärung sind in der Regel die bessere Variante, da speziell auf einzelne Punkte und Schwachstellen direkt eingegangen werden kann.

Typische Ansprechpartner sind natürlich Mitarbeiter der IT, der Personalabteilung, Marketing und Vertrieb, da hier die meisten personenbezogenen Daten verarbeitet werden. Die Geschäftsführung ist selbstverständlich auch ein wichtiger Interview-Partner. Und es kann auch passieren, dass während der Interviews interessante Aspekte aufkommen, so dass man ggf. einen bisher noch nicht erfassten Interview-Partner im Nachgang noch einmal mit einbezieht.

Auch beim Rundgang durch das Unternehmen kann es zu spontanten Kurz-Interviews mit dem ein oder anderen Mitarbeiter kommen.

Das ist sehr unterschiedlich. Manchmal muss man zuerst die nervösen Interview-Partner ein wenig beruhigen und ihnen klar machen, dass sie hier nicht auf der Anklagebank sitzen. Andere Ansprechpartner sind da schon ganz entspannt, da sie dies auch aus anderen Bereichen schon kennen wie zum Beispiel dem Qualitätsmanagement.

Das Interview selbst ist eigentlich ein entspanntes Gespräch, wo ich normalerweise meine ein zwei Anfangsfragen stelle und der Interviewpartner fängt an zu erzählen und ich reagiere mit den weiteren Fragen dann auf seine Antworten. Es sind zu 90 Prozent offene Fragen, so dass es nicht bei einem Ja oder Nein als Antwort bleibt. Im Laufe des Gesprächs werden dann die Interview-Partner auch entspannter und es ergibt sich ein sehr informatives und gehaltvolles Gespräch bei dem man in der Regel viel über die Organisation, die Prozesse und Vorgehensweise mit dem Datenschutz im Unternehmen erfährt.

Wir machen dann während des Interviews unsere Notizen, die wir dann für den Auditbericht heranziehen. Was man immer sagen muss, ist, dass wir dann im Auditbericht oder der Besprechung mit der Geschäftsführung keine Namen nennen.