Datenschutzaudit: Finden Sie heraus, wo Ihre Organisation steht

Datenschutzaudits für Softwareunternehmen, soziale Einrichtungen und Organisationen, die Wert auf Datenschutz legen

Falls Sie schon immer einmal wissen wollten, wie gut Ihre Organisation im Datenschutz aufgestellt ist oder Sie anderen nachweisen müssen, wie Sie Datenschutzanforderungen einhalten, dann ist ein Datenschutzaudit interessant für Sie. Profitieren Sie hierbei als Softwareunternehmensoziale Einrichtung oder sonstige datenschutzaffine Organisation von erfahrenen Datenschutzbeauftragten, die Ihnen helfen, herauszufinden, wie gut sie Datenschutz umsetzen. Je nach Anforderung und Zweck bietet ENSECUR unterschiedliche Datenschutzaudits an.

Was ist ein Datenschutzaudit?

Ein Datenschutzaudit ist eine Methodik zur Aufdeckung von etwaigen Unsicherheitsfaktoren, potenziellen Problemen, Mängeln & Compliance Verstößen im Datenschutz in der auditierten Organisation. Ein Datenschutzaudit deckt zudem die Abweichungen zwischen dem in der Dokumentation beschrieben Soll-Zustand und der Realität, dem Ist-Zustand auf.

Warum Ihre Organisation ein Datenschutzaudit durchführen sollte

Die Gründe warum Ihre Organisation Datenschutzaudits durchführen sollte, sind vielschichtig:

1. Datenschutzaudits sind eine gesetzliche Anforderung

Die Rechenschaftspflicht gemäß Artikel 5, Abs. 2 DS-GVO verpflichtet den Verantwortlichen dazu, jederzeit nachweisen zu können, wie er die Anforderungen der DS-GVO erfüllt. Weitere Hinweise Audits durchführen zu müssen, finden sich für viele Organisationen in Artikel 24, Abs. 1 DS-GVO und speziell für evangelische kirchliche Stellen in §27 Nr. 1 DSG-EKD. Beide Gesetze fordern dazu auf, geeignete technische und organisatorische Maßnahmen zu ergreifen, zu überprüfen und, sofern erforderlich, zu aktualisieren.

Noch konkreter sind die Anforderungen in Artikel 32 Abs. 1, lit. d) DS-GVO und in § 27 Abs. 1 Nr. 4 DSG-EKD, welche dazu auffordern, Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu etablieren.

Weitere Hinweise dazu, warum Datenschutzaudits notwendig sind, erfahren Sie im Erwägungsgrund 78 der DS-GVO.

2. Datenschutzaudits helfen festzustellen, wie wirksam Sie Datenschutz umgesetzt haben

Durch ein Datenschutzaudit überprüfen Sie, wie gut es Ihnen gelungen ist, die gesetzlichen Anforderungen in Ihrer Organisation umzusetzen. Sie entdecken, ob Ihre Maßnahmen allen Mitarbeiterinnen und Mitarbeitern bekannt sind und ob diese sie umsetzen. Ein Datenschutzaudit hilft somit, festzustellen, wie wirksam es Ihnen gelungen ist, Datenschutz in Ihrer Organisation umzusetzen.

Welche Arten von Datenschutzaudits gibt es?

Das Spektrum reicht von angekündigten / unangekündigten First Party Audits bis hin zu Third-Party Audits. Bei einem First-Party Audit (internes Audit) überprüft sich die Organisation selbst, ggfs. mit Unterstützung eines Dienstleisters. Beim Third-Party Datenschutzaudit (externes Audit) überprüft eine unabhängige dritte Partei, ob bzw. wie eine Organisation Datenschutzvorgaben einhält. Organisationen prüfen ihre Dienstleister z.B. mit einem Third-Party Audit. Je nach Audit prüfen Datenschutzexperten sachlich und strukturiert einzelne Verarbeitungsprozesse oder auch ganze Unternehmensbereiche. Wir bieten Ihnen Datenschutzaudits auf drei unterschiedlichen Prüfebenen an:

Prüfebene 1: Existenz & Eignung

In Vorbereitung auf das Datenschutzaudit prüfen wir die vorhandene Dokumentation, die für den Gegenstand des Audits relevant ist. Je nach Gegenstand ist das das Verzeichnis von Verarbeitungstätigkeiten, die relevanten technischen und organisatorischen Maßnahmen, sowie flankierende Betriebs- oder Dienstvereinbarungen, Richtlinien und Arbeitsanweisungen. Die Dokumentation überprüfen wir im Vorfeld „auf Herz und Nieren“ und decken etwaige Schwächen und Probleme auf. Als Ergebnis erfahren Sie, welche Dokumente bzw. welche Inhalte darin Ihnen helfen, die gesetzten Ziele zu erreichen und was wir Ihnen empfehlen, um sich weiter zu verbessern.

Prüfebene 2: Umsetzung

Während des Datenschutzaudits (vor Ort oder teilw. als Videokonferenz) prüfen unsere Berater,

  • ob Sie die auf der ersten Prüfebene beachteten Dokumente und Informationen im Unternehmen etabliert haben,
  • ob diese bekannt und einfach abrufbar sind und
  • ob neue Mitarbeiter diese im Rahmen ihrer Einarbeitung erhalten.

Als Ergebnis erhalten Sie eine differenzierte Übersicht mit allen Dokumenten und Informationen und den Nachweis wann und wie Ihre Organisation diese den Mitarbeitern zur Verfügung stellte: Ob dies z.B. unternehmensintern via E-Mail erfolgte oder ob die Mitarbeiter die Informationen in einem Intranet Portal nachlesen können.

Der Nachweis des Umsetzungsstandes dient Ihrem Unternehmen zur Erfüllung der Rechenschaftspflicht und somit als Nachweis, dass Ihr Unternehmen die gesetzlichen Anforderungen nachweislich erfüllt.

Prüfebene 3: Wirksamkeit

Während des Datenschutzaudits (vor Ort oder teilw. als Videokonferenz) prüfen unsere Berater, ob Ihre Mitarbeiter die auf Prüfebene 1 und 2 identifizierten Dokumente auch tatsächlich so umsetzen. Haben die Mitarbeiter die Richtlinien verstanden und setzen diese die Richtlinien korrekt um?

Als Ergebnis erhalten Sie eine differenzierte Übersicht über alle Dokumente und Informationen und wissen nun, wie der reale Umsetzungsstand in Ihrer Organisation ist. In aller Regel stellen wir fest, dass die Dokumentation von dem abweicht, wie Mitarbeiter sich tatsächlich verhalten. Dies ist der Ansatzpunkt für Verbesserungen, die es nun gilt anzugehen. Damit Sie ihre Ziele erreichen, unterstützen wir Sie mit maßgeschneiderten Handlungsempfehlungen.

Je nachdem auf welcher Prüfebene Probleme in der Umsetzung von datenschutzrechtlichen Anforderungen gibt, können unterschiedliche Maßnahmen notwendig sein, um deren Erfüllung voranzutreiben.

Was sind die Vorteile eines Datenschutzaudits?

  1. Transparenz herstellen und Verbesserungsmöglichkeiten identifizieren – Sie erfahren, wo Sie stehen und wo Sie ansetzen müssen, um sich zu verbessern.
  2. Sicherheit gewinnen – Als Verantwortlicher oder Auftragnehmer stellen Sie sicher, dass Sie personenbezogene Daten ordnungsgemäß verarbeiten.
  3. Unabhängige Perspektive von Branchenexperten – Sie profitieren von unseren vielschichtigen Erfahrungen in Ihrer Branche und damit durch „best Practice“ Lösungsansätze.
  4. Verbesserung des Standings von internen Datenschutzbeauftragten – Kollegen belächeln manchmal ihren internen Datenschutzbeauftragten. Ein externes Datenschutzaudit bestätigt gute Arbeit und sorgt für das notwendige Standing innerhalb der Organisation oder es zeigt auf, was dringend zu verbessern ist.
  5. Sensibilisierung der Belegschaft – Die Mitarbeiter stellen fest, dass die in den Datenschutz-Schulungen geforderten und empfohlenen Maßnahmen von Zeit zu Zeit überprüft werden. Sie sensibilisieren die am Audit beteiligten Mitarbeiterinnen und Mitarbeiter über die Schulungen hinaus und wirken mit den Ergebnissen auch auf alle anderen ein.
  6. Datenpannen verhindern, Bußgelder vermeiden – Ein Datenschutzaudit liefert wichtige Erkenntnisse um das Risiko einer Datenpanne zu reduzieren und Ärger mit Aufsichtsbehörden zu vermeiden.

Was sind die Vorteile eines Datenschutzaudits speziell für Auftragsverarbeiter, die als Auftragnehmer tätig sind?

  1. Neubeauftragungen beschleunigen und Aufwand dabei reduzieren. Durch Auditnachweise überzeugen Sie Ihre Auftraggeber und erleichtern diesen, sich für Sie zu entscheiden. Sie punkten als datenschutzkonformer Anbieter.
  2. Das Vertrauen von Bestandskunden stärken. Mit ihren Nachweisen bestärken Sie bestehende Auftraggeber darin, dass diese die richtige Entscheidung mit Ihnen getroffen haben und dass Sie Ihre Leistung datenschutzkonform erbringen.
  3. Mit Datenschutz Interessenten überzeugen. Zugegeben, Datenschutz ist ein Auswahlkriterium neben vielen anderen. Datenschutzaffine Organisationen reagieren sehr positiv darauf, wenn ihnen dieses Kriterium wichtig ist und Sie verschaffen sich einen Wettbewerbsvorteil.

FAQ rund um das Thema Datenschutzaudits

FAQ externer Datenschutzbeauftragter

Für wen ist ein Datenschutzaudit besonders interessant?

Ein Datenschutzaudit ist grundsätzlich für alle Organisationen interessant, die wissen wollen, wie gut es gelingt, Datenschutz umzusetzen. Speziell Auftragnehmer, die als Auftragsverarbeiter tätig sind, müssen regelmäßig ihren Auftraggebern nachweisen, wie sie deren Anforderungen einhalten. Daher sollten Auftragnehmer regelmäßig interne oder auch externe Datenschutzaudits durchführen. Bei Unternehmenskäufen sind Datenschutzaudits häufig Bestandteil des Due Diligence Prozesses und somit für das Unternehmen, das plant ein anderes Unternehmen zu kaufen, von Bedeutung.

Wie oft führt man ein Datenschutzaudit durch?

Datenschutzaudits orientieren sich nicht zwingend an festen Zyklen. Grundsätzlich sollte sich ein Datenschutz-Management-System am Plan-Do-Check-Act-Zyklus (PDCA-Zyklus) orientieren. Das Datenschutzaudit ist im Bereich „Check“ angesiedelt und liefert im Idealfall die Ergebnisse, die benötigt werden, um in der folgenden Phase angemessene Umsetzungen für die entdeckten Probleme zu finden. Das nächste Datenschutzaudit findet im darauffolgenden Datenschutz-PDCA-Zyklus statt. Wann der nächste Zeitpunkt für ein Audit ist, hängt daher davon ab, ob die vorangegangenen PDCA-Schritte bereits durchlaufen sind. Ein jährlichen Rhythmus ist zu empfehlen.

Was macht ein Datenschutzauditor?

Der Datenschutzauditor überprüft auf unterschiedlichen Ebenen, ob und wie die auditierte Stelle Datenschutzanforderungen umsetzt und wo sie sich verbessern kann. Neben Dokumentenprüfungen vor dem Audit stellt der Auditor in Gesprächen mit den Mitarbeitern fest, wie gut es gelingt, die Anforderungen im Organisationsalltag umzusetzen.

Was prüft man in einem Datenschutzaudit?

Im Datenschutzaudit überprüft man, ob Richtlinien, Dokumente und getroffene Maßnahmen vorhanden und geeignet sind, die gesteckten Schutzziele zu erreichen. Des weiteren überprüft man darin, ob die Organisation bestehende Richtlinien auch den beteiligten Personen zugänglich macht. Liegen die Richtlinien nur in einer Schublade für die Aufsichtsbehörde bereit? Oder hat die Organisation diese nachweislich den Beschäftigten vermittelt und sie mit den erforderlichen Kenntnissen vertraut gemacht? Außerdem prüft man in einem Audit, ob die Mitarbeiterinnen und Mitarbeiter diese Inhalte korrekt im Arbeitsalltag anwenden.

Wie bereitet man ein Datenschutzaudit vor?

Vor jedem Datenschutzaudit ist das Ziel des Audits festzulegen. Ein übliches Ziel ist es, die rechtmäßige Verarbeitung von personenbezogenen Daten durch die Verantwortliche Stelle sicherzustellen oder Verbesserungsmöglichkeiten zu entdecken.

Außerdem gilt es im Vorfeld den Anwendungsbereich des Audits zu klären: Soll die gesamte Organisation einem allgemeinen Datenschutzaudit unterzogen werden oder soll ein besonderer Prozessablauf genauer geprüft werden?

Wie läuft ein Datenschutzaudit ab?

Vor dem Datenschutzaudit überprüft der Auditor Dokumente, Richtlinien, Arbeitsanweisungen, Betriebs- und Dienstvereinbarungen, sofern diese Gegenstand des Audits sind. Im folgenden Schritt prüft er, inwiefern die Mitarbeiterinnen und Mitarbeiter diese im Arbeitsalltag umsetzen. Dies geschieht vorwiegend in Interviews mit den am Prozess beteiligten Mitarbeitern, sowie Beobachtungen des Auditors.

Was sind mögliche Stolpersteine / Fallen bei einem Datenschutzaudit?

Häufiger Stolperstein eines Datenschutzaudits ist, dass man im Vorfeld nicht klärt, was erforderlich ist, um dieses erfolgreich durchführen zu können. So fehlen in der Praxis häufig Zugänge zu IT-Systemen oder wichtige Ansprechpartner. Insofern muss der Auditor kommunizieren, welche Voraussetzungen für ein erfolgreiches Audit gegeben sein müssen.

Was kostet ein Datenschutzaudit?

Die Kosten eines Datenschutzaudits hängen davon ab, was man dabei prüft. Der Aufwand hierfür reicht von einzelnen Personentagen bis zu mehreren Personentagen. Sofern man z.B. nur den Supportprozess eines Softwareanbieters prüft, so ist dies weniger aufwändig als wenn man zusätzlich die getroffenen Schutzmaßnahmen und die eines beauftragten Dienstleisters prüft. Sprechen Sie uns an und wir klären mit Ihnen den Auftrag und ermitteln die voraussichtlichen Kosten!

Kontaktieren Sie das Team der ENSECUR um ein für ihr Unternehmen zugeschnittenes Angebot für ein Datenschutzaudit zu erhalten.

Kontaktieren Sie uns

    Bildquellen: