Datenschutzaudit für Unternehmen

Die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und andere Vorschriften verlangen eine strikte Umsetzung des Datenschutzes in Unternehmen. Ein professionelles Datenschutzaudit zeigt Ihnen den Ist-Zustand und akuten Verbesserungsbedarf auf. Doch was macht ein gutes Audit des unternehmerischen Datenschutzes aus? Worauf müssen beim Datenschutzaudit unter der DSGVO besonders achten? Wer sollte die Auditierung durchführen? Ein Überblick.

Wann ist eine Datenschutzprüfung im Unternehmen sinnvoll?

Grundsätzlich sollte jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen. Bei einem Audit nach DSGVO ist insbesondere zu prüfen, ob Ihr Unternehmen den gestiegenen Anforderungen der Datenschutz-Grundverordnung gerecht wird. Gleichzeitig können so Möglichkeiten offengelegt werden, wie Sie die Datenschutzprozesse in Ihrem Unternehmen weiter optimieren können.

Ob eine Prüfung des Ist-Zustandes Ihres betrieblichen Datenschutzes konkret sinnvoll ist, können Sie selbst anhand einiger Fragen herausfinden:

  • Ist eine ordentliche Bestellung des Datenschutzbeauftragten (sofern notwendig) erfolgt?
  • Sind Ihre Geschäftsräume und insbesondere Ihr Serverraum ausreichend geschützt?
  • Kennt Ihr Marketing die seit 25. Mai 2018 gültigen Anforderungen der DSGVO?
  • Wird Ihre IT-Umgebung ausreichend durch eine funktionierende Datensicherung und Firewall geschützt?
  • Haben Sie mit Ihren IT-Dienstleistern aktuelle Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen und die Dienstleister dokumentiert geprüft?
  • Besteht eine ausreichende Dokumentation Ihrer IT-Umgebung, um nicht anhängig von Ihren Administratoren zu sein?
  • Erfassen Sie von Ihren Beschäftigten nur Daten, zu deren Verarbeitung Sie auch berechtigt sind?

Sofern Sie nicht all diese Fragen mit „Ja“ beantworten können, sollte auf jeden Fall ein Datenschutzaudit durchgeführt werden.

Wie funktioniert ein Datenschutzaudit?

Die DSGVO fordert – im Gegensatz zum alten Bundesdatenschutzgesetz – die Einführung eines sog. Datenschutzmanagementsystems. Das bedeutet, dass es nicht mehr reicht, den Datenschutz lediglich einzuhalten. Vielmehr ist erforderlich, dass der Datenschutz im Unternehmen systematisch geplant wird, um die Umsetzung später überprüfen und bei Abweichungen nachbessern zu können. Dieses Konzept entstammt der „ISO-Welt“ und wird allgemein für Managementsysteme verwendet. Aus diesem Grund bietet es sich an, das Datenschutzaudit nach dem ISO 19011-Standard durchzuführen. In diesem ist detailliert die Auditplanung, -durchführung und die -nachbereitung geregelt.

Das Audit selbst lässt sich in drei Hauptteile untergliedern: Der allgemeine Datenschutz, die Datenverarbeitung in den einzelnen Geschäftsbereichen und die Informationssicherheit bezogen auf den Datenschutz.

Allgemeiner Datenschutz

Im allgemeinen Teil werden die einzelnen Pflichten, die die Datenschutz-Grundverordnung an die verantwortliche Stelle stellt, evaluiert. Es ist zu prüfen, ob es Regelungen in den einzelnen Bereichen gibt und ob diese auch umgesetzt werden. Bei Folgeaudits wird überprüft, ob diese Regelungen eingehalten wurden und ob diese das gewünschte Ziel erfüllt haben. Sollte das nicht der Fall sein, dann findet im Anschluss eine Verbesserung der mangelhaften Punkte an. Konkret geht es hierbei um folgende Bereiche:

  • Datenschutzmanagement: Hier ist festzustellen, ob es allgemeine Regelungen gibt, die tauglich sind, um die Ziele des Datenschutzes zu erfüllen. Konkret wäre hier nach Datenschutzleitlinie, Datenschutzhandbuch, Richtlinie zur IT-Nutzung, etc. zu fragen.
  • Organisation des Datenschutzes: Dieser Punkt beschäftigt sich mit der korrekten Bestellung des Datenschutzbeauftragten und der Verteilung der Rollen und Aufgaben weiterer Verantwortlicher.
  • Handhabung von Datenschutzverletzungen: Datenschutzverletzungen gem. Art. 33 und 34 DSGVO sind nach max. 72 Stunden der Behörde zu melden. Ohne standardisierten Prozess bzw. eine Richtlinie für Datenschutznotfälle ist diese Frist kaum einzuhalten.
  • Betroffenenrechte: Bei diesem Punkt ist auf Regelungen zum Umgang mit Anträgen betroffener Personen nach Art. 15 bis 21 DSGVO einzugehen.
  • Auftragsverarbeitung: Nahezu jedes Unternehmen setzt zur Ausübung seiner Tätigkeiten Dienstleister ein. Sofern diese im Auftrag und auf Weisung Daten verarbeiten, ist ein Auftragsverarbeitungsvertrag Art. 28 DSGVO zu schließen. Das Gleiche gilt, wenn Sie selbst Daten für ein anderes Unternehmen verarbeiten.
  • Verzeichnis von Verarbeitungstätigkeiten: Wie bereits nach alten Recht hat nahezu jedes Unternehmen ein Verarbeitungsverzeichnis gem. Art. 30 DSGVO zu führen. Inzwischen genügt es, wenn lediglich ein internes Verarbeitungsverzeichnis geführt wird, ein externes wird vom Gesetz nicht mehr verlangt.
  • Erfüllung von Informationspflichten: Die Informationspflichten der Art. 13 und 14 DSGVO sind von jeder verantwortlichen Stelle zu erfüllen.
  • Datenschutzfolgenabschätzung: Bei besonders heiklen Datenverarbeitungen kann die Notwendigkeit bestehen, eine sog. Datenschutzfolgenabschätzung gem. Art. 35 DSGVO durchzuführen.
  • Sensibilisierung der Mitarbeiter: Mitarbeiter sind regelmäßig hinsichtlich des Datenschutzes zu schulen.
  • Verpflichtung Beschäftigter und Dienstleister: Mitarbeiter und Dienstleister müssen sich vor dem ersten Kontakt mit personenbezogenen Daten verpflichten, mit diesen sorgsam umzugehen und vertraulich zu behandeln.

Datenverarbeitung in den Geschäftsbereichen

Sobald die obigen Punkte, die für jedes Unternehmen gelten, überprüft sind, sollte sich den einzelnen Geschäftsbereichen zugewandt werden. Hierfür bietet es sich an, mit den jeweiligen Abteilungsleitern zu sprechen, da diese den besten Überblick über die Datenverarbeitungen in ihren Bereichen haben. In jedem Fall sollten Sie die Abteilungen IT, Personal, Marketing, Vertrieb und Service evaluieren, da diese erfahrungsgemäß mit vielen personenbezogenen Daten in Kontakt kommen. Je nach Unternehmen können zusätzliche Bereiche relevant werden.

Mit den Leitern werden die Vorgänge in den Abteilungen besprochen, um eine Übersicht über die Verarbeitungstätigkeiten zu erhalten und nicht optimierte Prozesse zu identifizieren.

Informationssicherheit

Die meisten Datenverarbeitungsvorgänge erfolgen nicht mehr auf Papier, sondern auf Computersystemen. Aus diesem Grund ist der Bereich der Informationssicherheit ein zentraler Punkt bei der Einhaltung der Vorgaben der DSGVO.

Umso erstaunlicher ist es, dass der Gesetzgeber diesen wichtigen Bereich lediglich in Art. 32 DSGVO eher rudimentär beschrieben hat. Es wird lediglich eine nicht abschließende Liste mit Maßnahmen zur Verfügung gestellt, die zu beachten sind. Daher ist es notwendig, sich weiterer Hilfestellung zu bedienen.

Dies können etwa diverse Fragenkataloge sein, die etwa von im Datenschutz engagierten Verbänden zur Verfügung gestellt werden. Diese enthalten zu den einzelnen Punkten des Art. 32 DSGVO mehrere Fragen, anhand derer die Informationssicherheit überprüft werden kann.

Eine andere Möglichkeit ist die Heranziehung der ISO 27002. Vereinfacht gesagt, stellt diese Norm die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) dar. Da die DSGVO ein Datenschutzmanagementsystem erfordert, kann man sich dieser ISO-Norm bedienen und damit die Informationssicherheit im Bereich Datenschutz auditieren. Selbstverständlich sind nicht alle Anforderungen vollständig zu erfüllen. Es genügt, wenn diese in risikoangemessen Umfang eingehalten werden. Bei der Verwendung der ISO 27002 ist von Vorteil, wenn der Auditor bereits Erfahrung in Managementsystemen vorzuweisen hat.

Nach dem Audit

Im Anschluss an das Audit sollte zeitnah die Erstellung eines Auditberichts samt Maßnahmenliste erfolgen. Dies gewährleistet, dass die Auditierung noch geistig präsent ist, sollten die Aufzeichnungen an gewissen Stellen nicht eindeutig sein.

Der Auditbericht selbst ist eine Übersicht über den aktuellen Stand des Datenschutzes im Unternehmen. Er gibt einen schnellen Überblick über kritische Bereiche und sollte grafisch ansprechend gestaltet sein. Dies erleichtert eine schnelle Bewertung ohne die zwingende Notwendigkeit, den gesamten Bericht zu lesen.

Ebenso wichtig ist die Maßnahmenliste, die eine detaillierte Übersicht über die noch durchzuführenden Maßnahmen gibt. Sie dient als Arbeitsgrundlage zur weiteren Verbesserung des Datenschutzmanagementsystems. Je präziser die Maßnahmenliste die noch offenen Aufgaben beschreibt, desto leichter sind die später umzusetzen.

Wer soll das Audit durchführen?

Dies kann durch eigene Mitarbeiter erfolgen oder von externen Auditoren durchgeführt werden. Letztere bringen diverse Vorteile mit:

  • Es besteht keine „Betriebsblindheit“, d.h. der externe Auditor hat einen neutralen und objektiven Blick auf das Unternehmen.
  • Externe Auditoren werden von den eigenen Mitarbeitern anders wahrgenommen.
  • Mitarbeiter versuchen bei einem externen Auditor seltener das Auditergebnis zu ihren Gunsten zu beeinflussen. Sie erhalten ein objektives Ergebnis.

Wie geht die activeMind AG bei einem Audit vor?

Wir orientieren uns bei Datenschutzaudits an den oben aufgeführten Best Practices:

In einem ersten Schritt schulen unsere Experten die Geschäftsführung Ihres Unternehmens hinsichtlich der gesetzlichen Grundlagen des Datenschutzes. Anschließend führen wir mit den Leitern der Bereiche IT, Personal, Marketing und Service Gespräche und erfassen so den Ist-Zustand des Datenschutzes in Ihrem Unternehmen. Dabei profitieren Sie als Unternehmen von der langjährigen Expertise unserer Auditoren und einem eigens entwickelten System zur Reifegradmessung Ihrer Datenschutzprozesse.

Nach dem Audit erhalten Sie einen kompakten und anwendungsbezogenen Bericht sowie eine Liste mit konkreten und priorisierten Handlungsempfehlungen, um den Datenschutz in Ihrem Unternehmen rechtskonform und effizient zu optimieren. Vorlagen und Checklisten für Datenschutzbeauftragte sowie Verpflichtung und Datenschutzschulung Ihrer Mitarbeiter runden das Datenschutzaudit ab.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Leave a Reply

Your email address will not be published. * Required fields.

Nettiquette: We do not tolerate grossly unobjective contributions or advertising on our own behalf and will not publish corresponding entries but delete them.