DATENSCHUTZ-AUDIT
Mirko Tasch im Experteninterview zum Thema Datenschutz-Audit
Datenschutz-Audit nach DSGVO: Was wird in einem Audit geprüft? Welche Fragen sind wichtig, wie ist der Ablauf & mehr
Datenschutz-Audit: Welchen Nutzen hat ein Audit für ein Unternehmen?
Mit einem Datenschutzaudit prüft das Unternehmen, ob die DSGVO Anforderungen im Unternehmen umgesetzt und Datenschutzkonzepte eingehalten werden. Der Datenschutz des Unternehmens wird sozusagen auf Herz und Nieren überprüft. Schwachstellen in Dokumenten und Prozessen, die zu Datenschutzvorfällen mit Image-Verlusten führen könnten, können aufgedeckt und Maßnahmen und konkrete Handlungsanweisungen zur Verbesserung des Datenschutzes festgelegt werden. Das Audit mit einem anschließendem Auditbericht ermöglicht dem Unternehmen einen klaren Überblick über den Stand des Datenschutzes zu bekommen und Lücken zu schließen, die bei einer Prüfung durch eine Aufsichtsbehörde vielleicht sogar zu Geldbußen führen können.
Grundsätzlich sollte jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen bzw. durchführen lassen.
Die Veröffentlichung des Ergebnisses kann ein Unternehmen für Kunden außerdem attraktiver machen. Sie zeigen damit, dass der Datenschutz in Ihrem Unternehmen einen entsprechenden Stellenwert hat und das wiederum stärkt das Vertrauen der Verbraucher in Ihr Unternehmen.
Ist der Auditor der „böse“ Prüfer?
Bei einem Audit geht es nicht darum einen Schuldigen zu finden oder Finger-Pointing zu betreiben. Es geht darum, die Punkte aufzudecken bei welchen es Probleme gibt. Die Themen zu finden, die das Unternehmen gefährden können und abgestellt werden müssen. Besser der externe Auditor deckt problematische Punkte auf, als später die Aufsichtsbehörden, die das Unternehmen überprüfen, weil eine Datenschutzverletzung vorliegt. Es ist ganz wichtig diesen Punkt direkt zu Beginn des Audits mit den Mitarbeitern zu besprechen, dann klappt ein Audit auch reibungslos.
Wer sind die typischen Interview-Partner bei einem Datenschutz-Audit?
Typische Ansprechpartner sind natürlich Mitarbeiter der IT, der Personalabteilung, Marketing und Vertrieb, da hier die meisten personenbezogenen Daten verarbeitet werden. Die Geschäftsführung ist selbstverständlich auch ein wichtiger Interview-Partner. Und es kann auch passieren, dass während der Interviews interessante Aspekte aufkommen, so dass man ggf. einen bisher noch nicht erfassten Interview-Partner im Nachgang noch einmal mit einbezieht.
Auch beim Rundgang durch das Unternehmen kann es zu spontanten Kurz-Interviews mit dem ein oder anderen Mitarbeiter kommen.
Wie verläuft ein solches Datenschutz-Audit-Interview?
Das ist sehr unterschiedlich. Manchmal muss man zuerst die nervösen Interview-Partner ein wenig beruhigen und ihnen klar machen, dass sie hier nicht auf der Anklagebank sitzen. Andere Ansprechpartner sind da schon ganz entspannt, da sie dies auch aus anderen Bereichen schon kennen wie zum Beispiel dem Qualitätsmanagement.
Das Interview selbst ist eigentlich ein entspanntes Gespräch, wo ich normalerweise meine ein zwei Anfangsfragen stelle und der Interviewpartner fängt an zu erzählen und ich reagiere mit den weiteren Fragen dann auf seine Antworten. Es sind zu 90 Prozent offene Fragen, so dass es nicht bei einem Ja oder Nein als Antwort bleibt. Im Laufe des Gesprächs werden dann die Interview-Partner auch entspannter und es ergibt sich ein sehr informatives und gehaltvolles Gespräch bei dem man in der Regel viel über die Organisation, die Prozesse und Vorgehensweise mit dem Datenschutz im Unternehmen erfährt.
Wir machen dann während des Interviews unsere Notizen, die wir dann für den Auditbericht heranziehen. Was man immer sagen muss, ist, dass wir dann im Auditbericht oder der Besprechung mit der Geschäftsführung keine Namen nennen.
Fazit
- Ein Datenschutz-Audit ist nichts Böses und hilft dem Unternehmen Probleme und Schwachstellen zu entdecken. Ein Auditor, den das Unternehmen bestellt ist nicht der „böse“ Bube. Besser ein eigen veranlasstes Audit, als ein Audit durch eine Aufsichtsbehörde, wenn schon etwas passiert ist.
- Es wird in einem Audit oder dem folgenden Audit-Bericht keinem Mitarbeiter der Kopf abgerissen. Es werden im Audit-Bericht keine Namen von Mitarbeitern genannt, sondern nur sachlich und objektiv die Situation dargestellt. Kein Interview-Partner sollte Angst vor einem Audit haben, er hilft dem Unternehmen mit seinen ehrlichen Aussagen.
- Ein Audit kann Unternehmen helfen Image-Schäden und Bußgelder zu vermeiden, da Problembereiche im Vorwege aufgedeckt werden. Nur wenn das Unternehmen weiß, wo die Schwachstellen und Probleme sind, kann das Unternehmen darauf auch reagieren.