Was ist ein Datenschutzaudit?
Der Begriff „Datenschutzaudit“ ist nicht genau definiert. Es gibt kein Gesetz oder Recht, das sagt, was ein Datenschutzaudit sein soll oder eine Verordnung, die vorschreibt, was konkret bei einem Datenschutzaudit zu tun ist.
Generell lässt sich sagen, dass ein Datenschutzaudit eine freiwillige Analyse und Datenschutz-Prüfung der Datenschutzkonformität innerhalb eines Unternehmens auf Basis der Datenschutzgrundverordnung (DSGVO) ist. In der Audit-Prüfung wird also kontrolliert, ob ein Unternehmen die Vorgaben der DSGVO und damit des europäischen Datenschutzrechts erfüllt, etwa hinsichtlich der Erfassung, Speicherung und Übermittlung personenbezogener Daten.
Das Datenschutzaudit i.S.d. DSGVO dient der Analyse, ob die einzelnen Datenverarbeitungsprozesse des Unternehmens mit der DSGVO im Einklang stehen und sicher sind, so zum Beispiel bei der Anwendung von Software oder der Nutzung von Diensteanbietern, wie Clouddiensten etc. aber auch bei den eigenen internen IT-Systemen und der darin implementierten Sicherheitsarchitektur. Dazu gehört dann auch die Prüfung des Schutzniveaus von technischen und organisatorischen Maßnahmen (TOM) des Unternehmens gemäß Art. 32 DSGVO.
Neben der Prüfung der genutzten Software, Applikationen, Anwendungen, Dienste und Services etc. findet aber auch eine Prüfung von Verträgen, Betriebsvereinbarungen, internen Richtlinien und Policies hinsichtlich ihrer Datenschutzkonformität statt. So werden beispielsweise die geschlossenen Auftragsverarbeitungsverträge, Standardvertragsklauseln oder Data Processing Agreements unter die Lupe genommen und auf ihren Einklang mit dem Datenschutzrecht überprüft.
Aber ein Audit für Datenschutz überprüft auch die Kontrollmechanismen der DSGVO selbst, wie das Datenschutzmanagementsystem (DSMS) oder das Verzeichnis von Verarbeitungstätigen (VVT).
Zweck eines DSGVO-Audit ist damit zum einen die Schaffung einer Grundlage für die Entwicklung langfristiger Datenschutzstrategien des Unternehmens selbst. Zum anderen dient das Datenschutzaudit aber auch dazu, Dritten, wie bspw. Geschäftspartnern, Kunden, Auftraggebern o.ä. den Nachweis der Datenschutzkonformität zu erbringen, indem das Ergebnis des Datenschutzaudit zur Verfügung gestellt wird.
Unternehmen profitieren von eine, Datenschutzaudit damit zweifach: Aus den Erkenntnissen des Audits können Strategien und Anpassungen für die Zukunft entwickelt werden (Stichwort interner Lernprozess) und es kann gleichzeitig nach Außen die eigenen Datenschutz-Compliance dokumentiert werden.
Wann sollte ein Datenschutzaudit durchgeführt werden
Kurz gesagt: Regelmäßig. Je dynamischer das Unternehmen, desto häufiger sollte man ein Audit machen. Warum? Weil sich die Maßnahmen, die Verarbeitungstätigkeiten, die Dienstleister etc. in der Regel häufig ändern bzw. neue hinzukommen. Außerdem gibt es immer wieder neue Urteile und Gesetze, neue Empfehlungen der Datenschutzbehörden und neue technische Entwicklungen. Es ist daher stets zu überprüfen, ob noch alles passt und den Vorgaben entspricht. Nur so kann der erforderliche Schutz der betroffenen Personen gewährleistet werden. Das beste aktuelle Beispiel ist das Thema Künstliche Intelligenz (KI), das die Datenschutz-Maßnahmen jedes Unternehmens zzt. kräftig durchwirbeln dürfte (bzw. sollte).
Natürlich kann es auch spezifische Branchenanforderungen geben, die Sie beim Datenschutzaudit beachten sollten. Je nach den Branchen-Anforderungen (bspw. an den Digitalisierungsgrad oder den Umfang der Datenverarbeitung) sollte auf diese Umstände bei der Durchführung ein besonderes Augenmerk gelegt werden.
Es gibt übrigens keine Datenschutzaudit-Pflicht im engeren Sinne. Aber aufgrund der Tatsache, dass jedes Unternehmen zur Datenschutz-Compliance verpflichtet ist und in der Praxis von Auftraggebern und Kooperationspartnern auch immer wieder nach aktuellen Nachweisen der Datenschutz-Konformität gefragt wird, kann zu einer regelmäßigen Durchführung eines Audits nur geraten werden.
So fordert Artikel 5 Absatz 2 DSGVO, dass jedes Unternehmen nicht nur für die Einhaltung der Anforderungen des Datenschutzes verantwortlich ist, sondern auch, dass es dessen Einhaltung nachweisen können muss („Rechenschaftspflicht“). Ein erfolgreich durchgeführtes Datenschutzaudit ermöglicht es, diesen Nachweis zu erbringen.
Da das Datenschutzaudit nicht per Gesetz vorgeschrieben ist, es also in der DSGVO keine Audit Pflicht gibt, gibt es auch keine feste Frequenz, wann es gemacht werden sollte. Wir empfehlen unseren Mandanten grundsätzlich mindestens alle 2 Jahre ein Datenschutzaudit zu machen.
Notwendig ist ein solches Datenschutzaudit für alle Datenverarbeiter, also für alle Unternehmen, egal ob groß oder klein. Bei kleineren Unternehmen kann aber die Frequenz der Durchführung nach oben angepasst werden. Das sollte aber auch nur dann gemacht werden, wenn das Unternehmen nicht aufgrund der Branche und er damit einhergehenden Dynamik ein per se hohes Datenschutzniveau haben sollte.
Und welchen Umfang soll das Datenschutzaudit haben? Berücksichtigt werden müssen grundsätzlich alle Bereiche Ihres Unternehmens. Denn Hauptziel eines Datenschutzaudits ist die umfassende Auditierung und damit Begutachtung der Datenverarbeitungsvorgänge und der getroffenen Maßnahmen des Unternehmens.
Dennoch kann es im Einzelfall auch sinnvoll sein, einzelne Bereiche einzeln zu auditieren, bspw. wenn diese besondere Datenschutzanforderungen haben oder es sich bspw. um neue Geschäftsfelder handelt.
Ablauf des Datenschutzaudits
Wie läuft nun so ein Audit als Datenschutzprüfung ab? Im Grunde erfolgt ein Datenschutzaudit einem standardisierten Prozess, der abhängig von der Größe und der Art des Unternehmens und von Art und Menge der personenbezogenen Daten unterscheiden kann.
Zur Vorbereitung des Unternehmens sollte ausreichend vorher mit dem Auditor gesprochen und das konkrete Procedere, bspw. Im Hinblick auf die zu prüfenden Bereiche, die erforderlichen Ressourcen etc. abgestimmt werden. Dabei sollte auch geklärt werden, wie die Mitarbeitenden in den Prozess des Datenschutzaudits einbezogen werden können.
Übliche Schritte eines Datenschutzaudits sind:
- Planungsphase: Zunächst sollten im Vorfeld Umfang und Methodik des Audits festgelegt werden. Dazu sollte ein Auditplan erstellt werden. Hier sollten die die Methoden und Werkzeuge für das Audit und der Zeitplan festgelegt werden, ggf. auch die einzelnen Bereiche oder Geschäftsfelder, die geprüft werden sollen, wenn es kein Gesamtaudit sein soll.
- Auditphase: Sodann wird das Datenschutzaudit anhand der Planung durchgeführt. Der Auditor hat hier verschiedene Möglichkeiten und Wege, wie er konkret die Durchführung vornimmt. Er kann bspw. Interviews mit Mitarbeitern führen. Insbesondere aber werden die Datenschutzdokumente geprüft sowie die IT-Systeme, insbesondere im Hinblick auf getroffene Sicherheitsmaßnahmen. Geprüft werden dabei insbesondere: die internen Datenschutzrichtlinien des Unternehmens, wie das Unternehmen personenbezogene Daten erhebt, speichert, verwendet und löscht, die technischen und organisatorischen Sicherheitsmaßnahmen, die regelmäßige Durchführung von Schulungen und ob das Bewusstsein bei den Beschäftigten für Datenschutz vorhanden ist, die festgelegten Prozesse im Falle von Datenschutzverletzungen und das Datenschutzmanagement, also die Organisation des Datenschutzes.
- Berichtsphase: Nach Abschluss des Audits erstellt der Auditor einen Bericht, der die Ergebnisse des Audits zusammenfasst und an die Geschäftsleitung bzw. das Management des Unternehmens übermittelt wird. Dieser Bericht enthält regelmäßig die festgestellten Mängel und die Empfehlungen zur Behebung dieser Mängel.
- Verbesserungsphase: Sodann sind die im Auditbericht genannten Empfehlungen umzusetzen.
- Nachprüfungsphase: In manchen Fällen kann eine Überprüfung der Änderungen und Verbesserungen erforderlich sein, um sicherzustellen, dass die Empfehlungen korrekt umgesetzt wurden.
Die Dauer eines Datenschutzaudits ist sehr unterschiedlich. Sie hängt von mehreren Faktoren ab, insbesondere von der Größe des Unternehmens, der Menge und Art der zu prüfenden Prozesse
und Datenverarbeitungen, des Umfangs der Mitwirkungsleistungen des Unternehmens etc. Eine einfache DSGVO Auditierung für ein kleines Unternehmen kann nur ein paar Tage dauern, während ein umfangreiches Audit für ein großes Unternehmen mehrere Wochen oder sogar Monate dauern kann.
Wen kann ich mit einem Datenschutzaudit beauftragen?
Mit der Durchführung des Datenschutzaudits sollte eine sach- und fachkundige Person beauftragt werden, bestenfalls eine externe Person, um die Objektivität und Glaubhaftigkeit des Audits zu erhöhen. Bei einem rein internen Team besteht die Gefahr, dass das Auditergebnis subjektiv geprägt ist (Stichwort „Betriebsbrille“) oder, dass die Anerkennung durch Dritte problematisch wird.
Der Auditor bzw. das Audit-Team sollte über Erfahrung verfügen, Branchenkenntnisse haben und neben der rechtlichen auch technische Expertise hinsichtlich Daten und Datenverarbeitung mitbringen. Bei der externen Person oder Organisation, die das Audit durchführt, kann es sich bspw. um den externen Datenschutzbeauftragten oder einen Datenschutzanwalt – wie uns – handeln. Es gibt auch externe Auditoren des TÜV oder der DEKRA sowie von anderen Organisationen, die solche Audits durchführen.
Ein externer Datenschutzbeauftragter hat bspw. den Vorteil, dass er das Unternehmen und die Prozesse gut kennt (was die Dauer des Audits und die Kosten reduziert), aber dennoch als Außenstehender und weisungsunabhängiger Dritter eine objektive Prüfung sicherstellen kann.
Welche Kosten entstehen durch ein Datenschutzaudit?
Die Kosten für ein Datenschutzaudit können stark variieren. Dabei spielen viele Faktoren eine Rolle, bspw. die Expertise des Auditors, die Größe des Auditoren-Teams, die Größe des Unternehmens und der damit verbundene zeitliche und organisatorische Aufwand sowie die Arbeit für die Prüfung, die damit verbunden ist.
Konkret sollten Sie bei einem Datenschutzaudit mit Kosten im mittleren vierstelligen bis unteren fünfstelligen Bereich rechnen. Hinzu kommen die internen Kosten für abgestellte Mitarbeiter, zur Verfügung gestellte Ressourcen u.ä.
Datenschutz und Datenschutz-Compliance gibt es allgemein nicht zum Nulltarif, insbesondere, weil es sich um eine komplexe Materie handelt, für welche es gut ausgebildeter Fachleute bedarf, die über viel Erfahrung und Expertise verfügen.
Was passiert nach dem Datenschutzaudit?
Alle Mängel, die im Datenschutzaudit-Bericht genannt werden, müssen behoben werden, alle Empfehlungen sind umzusetzen, fehlende oder unzureichende Maßnahmen sind anzupassen. Nur so macht die Durchführung eines Audits Sinn. Denn am Ende des Tages soll das Unternehmen Datenschutz-Konform sein und damit in der Folge weder Bußgelder noch Schadensersatzansprüche oder sonstige Risiken fürchten müssen. Das Zeil des Unternehmens ist schließlich: Sicherheit.
Die Umsetzung kann dabei in Ansehung der Mittel des konkreten Unternehmens auch in Schritten erfolgen. Sie können die Ergebnisse des Datenschutzaudits also nutzen, um die Datenschutzpraxis Ihres Unternehmens kontinuierlich zu verbessern. Das Zeil sollte dann die vollständige Erfüllung der Empfehlungen des Auditberichts sein. Dabei hilft Ihnen ganz konkret wieder der Datenschutzbeauftragte und/oder der Datenschutzanwalt. Sprechen Sie uns jederzeit an. Wir können Ihnen die erforderliche Unterstützung bieten.