Muss mein Unternehmen Datenschutzaudits durchführen?

26.10.2022. 13:32

 

Wir haben ja bereits ausführlich dargestellt, welche Zwecke man mit einem Datenschutzaudit erfüllen kann. Wer dies noch einmal genauer wissen möchten, kann auch hier gerne noch einmal nachlesen.

In Schulungen hört man darzu häufig die Frage, ob es hierfür auch eine gesetzliche Verpflichtung gibt, weswegen wir diese Frage hier noch einmal vertiefen wollen. Um es vorweg zu sagen, es gibt keine gesetzlichen Norm, die Datenschutzaudits ausdrücklich vorschreibt (Es gibt allerdings Normierungen, wie z.B. die ISO/IEC 27001, die ein festes Auditprogram im Rahmen einer Zertifizierung verlangen, selbst aber keinen Gesetzescharakter haben).

 

Indirekt kann man aus den datenschutzrechtlichen Normen aber sehr wohl die Verpflichtung herauslesen, regelmäßige Überprüfungen des "Datenschutzmanagmements" durchzuführen  (leider auch ein Begriff, der im Gesetz nicht legaldefiniert ist).

 

Art. 5 Abs. 2 DSGVO

 

Anhaltspunkte, ob der Verantwortliche z. B. im Rahmen seiner Rechenschaftspflicht zur Durchführung eines Datenschutzaudits verpflichtet sein könnte, liefert Art. 5 DSGVO: Gemäß Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der Grundsätze „Rechtmäßigkeit“, „Verarbeitung nach Treu und Glauben“, „Transparenz“, „Zweckbindung“, „Datenminimierung“; „Richtigkeit“, „Speicherbegrenzung“ sowie „Integrität und Vertraulichkeit“ verantwortlich („Verantwortlichkeit“) und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Wie das zu erfolgen hat, sagt uns Art. 5 DSGVO nicht.

 

Art. 24 Abs. 1 DSGVO

 

Eine weitere einschlägige Vorschrift ist dann  Art. 24 Abs. 1 S. 1 DSGVO. Danach hat der Verantwortlichen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zur Umsetzung geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß Datenschutz-Grundverordnung erfolgt. Nach Art. 24 Abs. 1 S. 2 DSGVO werden diese Maßnahmen erforderlichenfalls überprüft bzw. sind zu überprüfen.

Um die Erfüllung der Pflichten nachzuweisen, verweist Art. 24 Abs. 3 DSGVO  noch auf genehmigte Zertifizierungsverfahren gemäß Artikel 42. Diese können im Rahmen der Nachweispflicht als ein Gesichtspunkt mit herangezogen werden. Es gibt aber bisher und wird es wohl auch zukünftig  nach dieser Vorschrift Zertifizierungsverfahren, die das komplette Datenschutzmanagementsystem des Unternehmen zertifizieren und selbst wenn würde man eine solche Zertifizierung nur bekommen, wenn man durch eine externe Stelle auditiert wurde. Welche Zertifizierungen es gibt, kann man übrigens über die Akkreditierungsstelle DAkkS erfahren.

Eine Zertifizierung ist jedenfalls nicht verpflichtend und auch aus Art 24 DSGVO ergibt sich keine ausdrückliche Verpflichtung für Verantwortliche in einer bestimmten Form die Umsetzung der Verpflichtung aus Art. 24 Abs. 1 DSGVO nachzuweisen.

 

Ergebnis

 

Im Ergebnis besteht, wie bereits eingangs geschrieben keine Verpflichtung für Verantwortliche zur Durchführung eines Datenschutzaudits. Die Durchführung eines Datenschutzaudits bringt einem Unternehmen jedoch erhebliche Vorteile, die die Kosten deutlich vernachlässigbar erscheinen lassen. 

Ein dokumentiertes Audit unterstützt bei der Einhaltung der Rechenschafts- und Nachweispflicht. Insbesondere die Prüfung durch einen externen Datenschutzauditor trägt dazu bei, das Datenschutzniveau weiter zu verbessern, in dem Verbesserungspotential identifiziert wird und Maßnahmenempfehlungen und nachgelagerte Folgeaudit durchgeführt werden. Wenn es gelingt gravierende Fehler proaktiv zu identifizieren und dadurch die z.T. erhebliclhen Bußgelder in diesem Bereich zu vermeiden, um so mehr. Denn bei bei Verstößen gegen Grundsätze der Verarbeitung nach Art. 5 DSGVO kann die Aufsichtsbehörde gegenüber einem Unternehmen eine Geldbuße von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, vgl. Art. 83 Abs. 5 lit. a DSGVO. Das möchte man ja nicht wirklich haben, oder?

 

 

Das könnte Sie auch interessieren

14 November 2022

900.000 Euro Bußgeld…

900.000 Euro Bußgeld wegen unzulässiger Auswertung von Kundendaten eines Kreditinstitutes in Niedersachsen

Mehr Erfahren
04 November 2022

Neues Whitepaper zur…

Die TÜV Rheinland Akademie GmbH hat ein kostenfreies Whitepaper zur Kompetenz von Auditoren vorgestellt

Mehr Erfahren
25 Oktober 2022

Bußgeld in Höhe von 525.000…

Bußgeld in Höhe von 525.000 EUR gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns

Mehr Erfahren
06 Oktober 2022

Datenschutzaudits in…

Datenschutzaudits in Callcentern

Mehr Erfahren
31 August 2022

Call Center Audits

Wir führen Call Center Audits für Sie durch. Überzeugen Sie potentielle oder bestehende Kunden mit einer…

Mehr Erfahren
27 August 2022

Warum sind regelmäßige…

Wir erläutern Ihnen, warum Sie die Einhaltung des Datenschutzes durch Audits regelmäßig kontrollieren…

Mehr Erfahren