Datenschutzaudit

 

Datenschutzaudit und Bestandsaufnahme zum Datenschutz

 

Zu unseren Hauptaufgaben, als eine auf den Datenschutz spezialisierte Kanzlei, gehört die Begutachtung aller mit den Datenschutz und der Verarbeitung personenbezogener Daten in Betracht kommender Datenschutzfragen. Meist sind das die folgenden Fallgruppen:

  • Die Aufnahme der bisherigen Datenschutzaktivitäten im Rahmen einer Bestandsaufnahme zum Datenschutz. Hier geht es u.A. auch darum, inwieweit Sie Ihre getroffenen Maßnahmen für eine evtl. Anfrage einer Aufsichtsbehörde oder ein Audit auch ausreichend dokumentiert haben.
  • Die Vorabkotrolle eines Dienstleisters, z.B. eines Sofwareanbieters oder Rechenzentrums.
  • Die regelmäßige Überprüfung von Dienstleistern.
  • Die jährliche Kontrolle der Datenschutzaktivitäten für die Erstellung von Datenschutzberichten. Diese sind insbesondere für Auftragsverarbeiter interessant, die ihren Kunden gegenüber einen Nachweis benötigen oder zeigen wollen, dass das Thema Datenschutz nachhaltig verfolgt wird und einem kontinuierlichen Verbesserungsprozess unterliegt.

 

Unternehmen entscheiden sich häufig aus folgenden Gründen zu der Durchführung eines Datenschutzaudits

 

  • Datenschutzaudit als Bestandsaufnahme und zur Ableitung von Maßnahmen in Hinblick auf einen rechtssicheren Datenschutz

Ein effektiver Datenschutz erfordert regelmäßig die Etablierung eines Datenschutzmanagments. Idealerweise sollt dies dokumentiert und eingehalten, sprich gelebt, werden. Für die Erstellung eines solchen Konzepts beginnt man regelmäßig mit der Bestandsaufnahme, also der IST-Stand Analyse.  Im Rahmen des Audits ermitteln wir hierbei, welche Risiken im Datenschutz bestehen. Datenverarbeitende Prozesse und Verfahren und rechtliche Regelungen, wie z.B. Verträge, werden hierbei betrachtet und bewertet.

Basierend auf den Ergebnissen des Datenschutzaudits entwickeln wir einen detaillierten Aktionspunkteplan. Er gibt konkrete Maßnahmen zur Umsetzung vor und dient gleichzeitig der Nachverfolgung der einzelnen Maßnahmen.

Gerade was das Thema Bestandsaufnahmen betrifft, haben wir unseres Erachtens ein sehr gutes System entwickelt. Das profitiert davon, dass der Kanzleiinhaber über seine Firma Daseco GmbH bei einer Vielzahl von Unternehmen und kirchlichen Einrichtungen als externer Datenschutzbeaufragter bestellt ist und insofern bereits hunderte solcher Bestandsaufnahmen durchführen konnte. Die Bestandsaufnahme ist weitergehender als ein Audit, da Sie hier konkrete Verbesserungsvorschläge bekommen und je nach Angebot auch auf unsere jahrelang erprobten Muster zur Durchführung und Dokumentation Ihrer Datenschutzmaßnahmen, zurückgreifen können.

  • Datenschutzaudit zur Kontrolle des Datenschutzkonzepts

Auch wenn Sie bereits ein Datenschutzmanagement-System eingeführt haben und dieses vielleich sogar in einem Datenschutzkonzept dokumentiert ist, bieten sich Audits an, um dieses System regelmäßig intern auf seine Wirksamkeit zu prüfen. Ein Datenschutzkonzept bedeutet nämlich nicht automatisch, dass ein angemessenes Datenschutzniveau besteht und damit die datenschutzrechtlichen Anforderungen erfüllt werden.

  • Datenschutzaudit zur Kontrolle von Auftragsverarbeitungen (AVV). Wenn Sie Dienstleister einsetzen, sollen diese entsprechend Ihren Weisungen personenbezogene Daten verarbeiten. Sie haften aber gleichwohl dafür, dass der Dienstleister sich an diese Weisungen hält, auch wenn möglicherweise Regressmöglichkeiten bestehen, sofern Masse vorhanden ist. Fehlende Kontrollen erhöhen das Schadenersatz- und Bussgeldrisiko deutlich. Aus diesem Grunde sind Kontrollrechte  auch in allen Standardverträgen vorgesehen. Durch ein Audit sind derartige Überprüfungen nachweisbar. Sie vermeiden oder vermindern zumindest durch regelmäßige Überprüfungen generell bestimmte Betriebsrisiken, die Ihnen z.B. duch Datenverlust etc. entstehen könnten.
  •  
  • Audits zur Verlängerung von Zertifizierungen
    Bestimmte Zertifizierungen sehen regelmäßige interne und externe Audits vor.

Unterstützung des Internen Datenschutzbeauftragten

Auch wenn Ihr Unternehmen einen Datenschutzbeauftragten benannt hat, macht der Blick von aussen in Form einer externen Ünterstützung Sinn. Wir treten dann zwar als externe Auditoren auf, sind aber tatsächlich interne Auditoren. Der Beratungs- und verbesserungaspekt kann hier viel mehr zur Geltung kommen, als bei den regulären Datenschutzaudit. Unterstützung durch interne Kontrollen kann aus verschiedenen Gründen sinnvoll sein.

  • Externer Prüfer werden besser akzeptiert. Widerstände sind hier meist deutlich geringer.
  • Rechtliche Fragen können durch den Datenschutzbauftragten nicht immer geklärt werden.
  • Fehlende Ressourcen.
  • Unsicherheit bei bestimmten Fachfragen. Best Practice Ansätze nicht bekannt.

 

Kosten einer Bestandsaufnahme

Die Auswertung der Ergebnisse einer Bestandsaufnahme, die Prüfung rechtlicher Dokumente und die Erstellung des Berichts mit einer Aktionspunkteliste gehen weit über den Aufwand vor Ort hinaus. Wir rechnen vor Ort Bestandsaufnahme und Berichterstellung pauschal über Honorarvereinbarung ab. Die Kosten liegen hier bei 4.000 - 6.000 Euro (inkl. der Reisekosten). Wir auditieren deutschlandweit.

 

Auditieren von Dienstleistern

Es gilt der Grundsatz, dass Sie die Aufgabe auslagern können, aber die Verantwortung für die Rechtmäßigkeit der Datenverbeitung weiterhin bei Ihnen verbleibt. Das betrifft vor allem die technischen und organisatorischen Maßnahmen. Der Vorteil einer Auslagerung ist allerdings, wenn man bei der Auswahl hinreichende Qualitätskriterien berücksichtigt hatte, dass der Dienstleister in der Regel Ahnung davon hat, was er macht, da es sein Hauptgeschäft ist. Das muss aber nicht immer so sein und Dienstleister können auch mal etwas übersehen. Oder es haben sich Bequemlichkeiten eingeschlichen, die der Dienstleister selber nicht wahrnimmt. Um zu verhindern, dass man als Auftraggeber in eine Mithaftung gerät, sind regelmäßige Kontrollen unerläßlich. Man muss s^ich auch mal die Zeit nehmen und den Prozess an sich von Zeit zu Zeit zu überprüfen. Viele haben z.B. eine Internetagentur beauftragt und gehen (fälschlicherweise) davon aus, dass sich die Agentur um alle rechtlichen Anforderungen kümmert oder rechtliche Änderungen automatisch berücksichtigt. Das ist aber im Normalfall nicht der Fall, da es gar nicht vereinbart worden ist oder generell keine Verträge existieren.

Natürlich führen wir die Kontrollen Ihrer Dienstleister gerne für Sie durch. Wir helfen Ihnen aber auch gerne bei der vollständigen Prozessimplementierung und Terminabstimmung. Die Probleme, die Unternehmen mit dem Thema Auftragskontrolle haben, fangen in der Regel bereits ja schon viel früher an. Es gibt überhaupt keinen Prozess, wann und wie oft, was konkret geprüft werden soll. Zunächst mal geht es also darum einen Prozess der Auftragskontrolle zu implemetieren. Ein solcher Prozess fängt bei der Einbeziehung des Datenschutzbeauftragten und  bei der Auswahl von Dienstleistern an und berücksichtigt auch die Verwendung geeigneter Auftragsverarbeitungsverträge. In regelmäßigen Abständen müssen die Unternehmen dann schließlich nach einem standadisierten Verfahren geprüft werden. Hierfür entwerfen wir für Sie entsprechende Fragebögen, die als Self-Assessment an die Kunden verschickt und anschließend überprüft werden können sofern eine vor Ort Prüfung nicht erforderlich ist.

Aufsichtsbehörden zum Prüfauftrag des Unternehmens bzw. des Datenschutzbeauftragten

Die Aufsichtsbehörden habe hier in der Regel auch die klare Erwartung, dass solche Kontrolle durchgeführt werden. Exemplarisch sei hier einmal aus dem Tätigkeitsbericht 2021 des BfDI zitiert, der Mängel bei Datenschutzbeauftragten beanstandet. Man kann das aber generell auf Unternehmen beziehen. Insbesondere, wenn diese keine Datenschutzbeauftragten haben oder dieser diese Aufgabe zeitlich nicht erfüllen kann.

,,Nach Art. 37 Abs. 1 DS-GVO sind Jobcenter als öffentliche Stellen dazu verpflichtet, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen. Die oder der Datenschutzbeauftragte hat eine entscheidende Position innerhalb der Behörde, um die Einhaltung datenschutzrechtlicher Vorschriften zu gewährleisten." Weiter wird dann dazu ausgeführt: Weitere Beanstandungen gab es im Bereich der Kontrolltätigkeiten der Datenschutzbeauftragten. Diese sind verpflichtet, die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen. Nur durch eine umfassende strukturierte Kontrolltätigkeit, die jeden Geschäftsbereich des Jobcenters in regelmäßigen Abständen umfasst, ist die Einhaltung eines hohen Datenschutzniveaus möglich. Nur mit Jahreskontrollplan und entsprechenden Kontrollberichten kann sichergestellt werden, dass auch tatsächlich regelmäßige Kontrollen jobcenterintern vorgenommen werden und die Ergebnisse der Kontrolle dem Verantwortlichen zugänglich sind. So können Beanstandungen zeitnah durch den Verantwortlichen abgestellt werden. 

 

Häufige Fragen zum Thema Datenschutzaudit und die Antworten

 

Was ist ein Datenschutzaudit?

Wenn Sie den Text zuvor gelesen haben, wissen Sie natürlich bereits, was ein Audit ist. Zusammenfassend kann man sagen, dass ein Datenschutzaudit eine unabhängige und objektive Überprüfung der Einhaltung exisitierender technischen, organisatorischen ud rechtlichen Anforderungen in Zusammenhang mit dem Datenschutz ist. Der Fokus kann auf das gesamte Unternehmen oder auf Teilbereiche, wie eine Abteilung oder ein angebotenes Produkt (z.B. eine Software) gerichtet sein.
 

Wie oft wird ein Audit im Datenschutz durchgeführt?

Die DSGVO sieht keinen zeitlichen Intervall für die Durchführung von Datenschutzaudits vor. Abstände unter zwei Jahren stellen meist eine zu große Belastung für das Unternehmen dar. Abstände über drei Jahren erhöhen jedoch das Risiko von Schwachstellen, die unerkannt beiben,  erheblich. Soll ein Audit dem Erhalt oder der Verlängerung einer Zertifizierung dienen, ist im Regelfall ein fester Zeitabstand (z.B. erneute Auditierung in zwei Jahren) vorgeschrieben. Zusätzlich sind in kürzeren Abständen eigene internen Audits abzuhalten (die natürlch auch von externen Gutachtern durchgeführt werden können).

 

Welche Kosten gehen mit der Datenschutzauditierung einher?

Die Kosten eines Datenschutzaudits sind von verschiedenen Faktoren wie Zeit und Umfang abhängig. Je umfangreicher das Datenschutzaudit ausfallen soll, desto höher werden die Kosten. Neben den Kosten für eigene Gutachter kommen evtl. noch Kosten für Unterstützungshandlungen der Dienstleister hinzu, wenn es sich um Dienstleister handelt, mit denen an Auftragsverarbeitungsvertrag (AVV, AV-Vertrag) geschlossen wurde, die geprüft werden sollen.

 

Kann ein Audit eine mögliche Datenschutzverletzung erkennen?

Audits sind regelmäßig Stichprobenüberprüfungen und bieten keinen hunderprozentigen Schutz, dass nicht doch irgendwann einmal eine Datenschutzpanne passiert. Gleichwohl werden offensichtliche Fehler zuverlässig eleminiert und generell tragen Audits auch dazu bei, dass die auditierten Bereiche besser für das Thema Datenschutz sensibilisiert werden. Der Erfolg ist natürlich immer auch abhängig von der Person des Auditors, wie gut dieser also seinen Job macht.

 

 

 

Seite ausdrucken

Das könnte Sie auch interessieren

30 Januar 2024

Call-Center Audits 2023

Call-Center Audits 2023

Mehr Erfahren
27 März 2023

Anforderung der Prüfberichte…

Anlasslose aufsichtsbehördliche Prüfung: Anforderung der Prüfberichte des Datenschutzbeauftragten

Mehr Erfahren
17 Januar 2023

Warum es keine gute Idee…

Warum es keine gute Idee ist, seine Dienstleister nicht regelmäßig zu überprüfen

Mehr Erfahren
16 Januar 2023

Bußgeld wegen fehlernder…

Bußgeld wegen fehlernder Dokumentation der Überprüfung des Auftragsverarbeiters

Mehr Erfahren
04 November 2022

Neues Whitepaper zur…

Die TÜV Rheinland Akademie GmbH hat ein kostenfreies Whitepaper zur Kompetenz von Auditoren vorgestellt

Mehr Erfahren
26 Oktober 2022

Muss mein Unternehmen…

Muss mein Unternehmen Datenschutzaudits durchführen?

Mehr Erfahren