Wir haben ja bereits ausführlich dargestellt, welche Zwecke man mit einem Datenschutzaudit erfüllen kann. Wer dies noch einmal genauer wissen möchten, kann auch hier gerne noch einmal nachlesen.
In Schulungen hört man darzu häufig die Frage, ob es hierfür auch eine gesetzliche Verpflichtung gibt, weswegen wir diese Frage hier noch einmal vertiefen wollen. Um es vorweg zu sagen, es gibt keine gesetzlichen Norm, die Datenschutzaudits ausdrücklich vorschreibt (Es gibt allerdings Normierungen, wie z.B. die ISO/IEC 27001, die ein festes Auditprogram im Rahmen einer Zertifizierung verlangen, selbst aber keinen Gesetzescharakter haben).
Indirekt kann man aus den datenschutzrechtlichen Normen aber sehr wohl die Verpflichtung herauslesen, regelmäßige Überprüfungen des "Datenschutzmanagmements" durchzuführen (leider auch ein Begriff, der im Gesetz nicht legaldefiniert ist).
Anhaltspunkte, ob der Verantwortliche z. B. im Rahmen seiner Rechenschaftspflicht zur Durchführung eines Datenschutzaudits verpflichtet sein könnte, liefert Art. 5 DSGVO: Gemäß Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der Grundsätze „Rechtmäßigkeit“, „Verarbeitung nach Treu und Glauben“, „Transparenz“, „Zweckbindung“, „Datenminimierung“; „Richtigkeit“, „Speicherbegrenzung“ sowie „Integrität und Vertraulichkeit“ verantwortlich („Verantwortlichkeit“) und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Wie das zu erfolgen hat, sagt uns Art. 5 DSGVO nicht.
Eine weitere einschlägige Vorschrift ist dann Art. 24 Abs. 1 S. 1 DSGVO. Danach hat der Verantwortlichen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zur Umsetzung geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß Datenschutz-Grundverordnung erfolgt. Nach Art. 24 Abs. 1 S. 2 DSGVO werden diese Maßnahmen erforderlichenfalls überprüft bzw. sind zu überprüfen.
Um die Erfüllung der Pflichten nachzuweisen, verweist Art. 24 Abs. 3 DSGVO noch auf genehmigte Zertifizierungsverfahren gemäß Artikel 42. Diese können im Rahmen der Nachweispflicht als ein Gesichtspunkt mit herangezogen werden. Es gibt aber bisher und wird es wohl auch zukünftig nach dieser Vorschrift Zertifizierungsverfahren, die das komplette Datenschutzmanagementsystem des Unternehmen zertifizieren und selbst wenn würde man eine solche Zertifizierung nur bekommen, wenn man durch eine externe Stelle auditiert wurde. Welche Zertifizierungen es gibt, kann man übrigens über die Akkreditierungsstelle DAkkS erfahren.
Eine Zertifizierung ist jedenfalls nicht verpflichtend und auch aus Art 24 DSGVO ergibt sich keine ausdrückliche Verpflichtung für Verantwortliche in einer bestimmten Form die Umsetzung der Verpflichtung aus Art. 24 Abs. 1 DSGVO nachzuweisen.
Im Ergebnis besteht, wie bereits eingangs geschrieben keine Verpflichtung für Verantwortliche zur Durchführung eines Datenschutzaudits. Die Durchführung eines Datenschutzaudits bringt einem Unternehmen jedoch erhebliche Vorteile, die die Kosten deutlich vernachlässigbar erscheinen lassen.
Ein dokumentiertes Audit unterstützt bei der Einhaltung der Rechenschafts- und Nachweispflicht. Insbesondere die Prüfung durch einen externen Datenschutzauditor trägt dazu bei, das Datenschutzniveau weiter zu verbessern, in dem Verbesserungspotential identifiziert wird und Maßnahmenempfehlungen und nachgelagerte Folgeaudit durchgeführt werden. Wenn es gelingt gravierende Fehler proaktiv zu identifizieren und dadurch die z.T. erhebliclhen Bußgelder in diesem Bereich zu vermeiden, um so mehr. Denn bei bei Verstößen gegen Grundsätze der Verarbeitung nach Art. 5 DSGVO kann die Aufsichtsbehörde gegenüber einem Unternehmen eine Geldbuße von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, vgl. Art. 83 Abs. 5 lit. a DSGVO. Das möchte man ja nicht wirklich haben, oder?
