DATENSCHUTZ-AUDIT
Mirko Tasch im Experteninterview zum Thema Datenschutz-Audit
Datenschutz-Audit nach DSGVO: Was wird in einem Audit geprüft? Welche Fragen sind wichtig, wie ist der Ablauf & mehr
Datenschutz-Audit: Welchen Nutzen hat ein Audit für ein Unternehmen?
Mit einem Datenschutzaudit prüft das Unternehmen, ob die DSGVO Anforderungen im Unternehmen umgesetzt und Datenschutzkonzepte eingehalten werden. Der Datenschutz des Unternehmens wird sozusagen auf Herz und Nieren überprüft. Schwachstellen in Dokumenten und Prozessen, die zu Datenschutzvorfällen mit Image-Verlusten führen könnten, können aufgedeckt und Maßnahmen und konkrete Handlungsanweisungen zur Verbesserung des Datenschutzes festgelegt werden. Das Audit mit einem anschließendem Auditbericht ermöglicht dem Unternehmen einen klaren Überblick über den Stand des Datenschutzes zu bekommen und Lücken zu schließen, die bei einer Prüfung durch eine Aufsichtsbehörde vielleicht sogar zu Geldbußen führen können.
Grundsätzlich sollte jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen bzw. durchführen lassen.
Die Veröffentlichung des Ergebnisses kann ein Unternehmen für Kunden außerdem attraktiver machen. Sie zeigen damit, dass der Datenschutz in Ihrem Unternehmen einen entsprechenden Stellenwert hat und das wiederum stärkt das Vertrauen der Verbraucher in Ihr Unternehmen.
Ist der Auditor der „böse“ Prüfer?
Bei einem Audit geht es nicht darum einen Schuldigen zu finden oder Finger-Pointing zu betreiben. Es geht darum, die Punkte aufzudecken bei welchen es Probleme gibt. Die Themen zu finden, die das Unternehmen gefährden können und abgestellt werden müssen. Besser der externe Auditor deckt problematische Punkte auf, als später die Aufsichtsbehörden, die das Unternehmen überprüfen, weil eine Datenschutzverletzung vorliegt. Es ist ganz wichtig diesen Punkt direkt zu Beginn des Audits mit den Mitarbeitern zu besprechen, dann klappt ein Audit auch reibungslos.
Wie gehen wir in der Regel bei einem Datenschutz-Audit vor?
Es kommt ganz darauf an, um welches Audit es sich handelt. Handelt es sind um ein reines Dokumenten-Audit oder ein Vorort-Audit. Des Weiteren spielen auch noch die Branche und die Größe des Unternehmens eine wichtige Rolle.
Wenn wir von einem Vorort-Audit in einem mittelständischen Unternehmen ausgehen, so lassen wir uns im Vorwege die Grunddaten wie Organigramm, HRB-Auszug, Datenschutz-Unterlagen etc. zur Sichtung zukommen um uns vorzubereiten. Aus den Unterlagen kristallisieren sich dann die notwendigen Ansprechpartner heraus, mit denen wir dann Vorort Interviews führen. Natürlich findet auch ein Rundgang im Unternehmen statt um die technischen und organisatorischen Maßnahmen des Unternehmens zu überprüfen.
Nach den Interviews und den Besichtigungen gibt es dann auf jeden Fall immer zum Abschluss des Vorort-Audits noch eine Besprechung mit der Geschäftsführung, um die ersten Eindrücke direkt mitzuteilen und um ggf. schon die ersten Quickwins in die Umsetzung geben zu können.
Nach dem Audit wird ein detaillierter Auditbericht erstellt und dieser wird entweder versendet oder in einer persönlichen Besprechung mit den Auditteilnehmern vorgestellt. Eine Vorstellung und persönliche Erklärung sind in der Regel die bessere Variante, da speziell auf einzelne Punkte und Schwachstellen direkt eingegangen werden kann.
Wer sind die typischen Interview-Partner bei einem Datenschutz-Audit?
Typische Ansprechpartner sind natürlich Mitarbeiter der IT, der Personalabteilung, Marketing und Vertrieb, da hier die meisten personenbezogenen Daten verarbeitet werden. Die Geschäftsführung ist selbstverständlich auch ein wichtiger Interview-Partner. Und es kann auch passieren, dass während der Interviews interessante Aspekte aufkommen, so dass man ggf. einen bisher noch nicht erfassten Interview-Partner im Nachgang noch einmal mit einbezieht.
Auch beim Rundgang durch das Unternehmen kann es zu spontanten Kurz-Interviews mit dem ein oder anderen Mitarbeiter kommen.
Wie verläuft ein solches Datenschutz-Audit-Interview?
Das ist sehr unterschiedlich. Manchmal muss man zuerst die nervösen Interview-Partner ein wenig beruhigen und ihnen klar machen, dass sie hier nicht auf der Anklagebank sitzen. Andere Ansprechpartner sind da schon ganz entspannt, da sie dies auch aus anderen Bereichen schon kennen wie zum Beispiel dem Qualitätsmanagement.
Das Interview selbst ist eigentlich ein entspanntes Gespräch, wo ich normalerweise meine ein zwei Anfangsfragen stelle und der Interviewpartner fängt an zu erzählen und ich reagiere mit den weiteren Fragen dann auf seine Antworten. Es sind zu 90 Prozent offene Fragen, so dass es nicht bei einem Ja oder Nein als Antwort bleibt. Im Laufe des Gesprächs werden dann die Interview-Partner auch entspannter und es ergibt sich ein sehr informatives und gehaltvolles Gespräch bei dem man in der Regel viel über die Organisation, die Prozesse und Vorgehensweise mit dem Datenschutz im Unternehmen erfährt.
Wir machen dann während des Interviews unsere Notizen, die wir dann für den Auditbericht heranziehen. Was man immer sagen muss, ist, dass wir dann im Auditbericht oder der Besprechung mit der Geschäftsführung keine Namen nennen.
Fazit
- Ein Datenschutz-Audit ist nichts Böses und hilft dem Unternehmen Probleme und Schwachstellen zu entdecken. Ein Auditor, den das Unternehmen bestellt ist nicht der „böse“ Bube. Besser ein eigen veranlasstes Audit, als ein Audit durch eine Aufsichtsbehörde, wenn schon etwas passiert ist.
- Es wird in einem Audit oder dem folgenden Audit-Bericht keinem Mitarbeiter der Kopf abgerissen. Es werden im Audit-Bericht keine Namen von Mitarbeitern genannt, sondern nur sachlich und objektiv die Situation dargestellt. Kein Interview-Partner sollte Angst vor einem Audit haben, er hilft dem Unternehmen mit seinen ehrlichen Aussagen.
- Ein Audit kann Unternehmen helfen Image-Schäden und Bußgelder zu vermeiden, da Problembereiche im Vorwege aufgedeckt werden. Nur wenn das Unternehmen weiß, wo die Schwachstellen und Probleme sind, kann das Unternehmen darauf auch reagieren.