Datenschutzaudit

Worum geht es?

Laut Duden wird Audit als „unverhofft durchgeführte Überprüfung, Revision“ beschrieben. Ein Audit ist jedoch keine Prüfung im klassischen Sinn, sondern stellt eine systematische Untersuchung von Prozessen, Dokumenten oder Systemen dar.

Ziel eines Datenschutzaudit ist es festzustellen, inwieweit gesetzliche Datenschutzanforderungen eingehalten werden. Für das jeweilige Audit ist der zu prüfende Bereich vorher festzulegen. Dies geschieht z.B. durch die Begutachtung des Arbeitsbereichs, der Tätigkeiten und Abläufe sowie der IT-Infrastruktur, um deren Erfüllungsgrad in Bezug auf Sicherheit, Wirtschaftlichkeit, Funktionalität, Ordnungsmäßigkeit und Wirksamkeit des internen Kontrollsystems (Compliance) zu dokumentieren und Abweichungen zu erkennen.

Die Notwendigkeit der Auditierung leitet sich aus dem Art. 5 Abs. 2 DS-GVO, der Rechenschaftspflicht über die Einhaltung der Datenschutzgrundsätze (Rechtmäßigkeit, Transparenz, Zweckbindung, Datensparsamkeit, Integrität) aus Art. 5 Abs. 1 DS-GVO ab. Das Datenschutzaudit dient als Nachweis über die Einhaltung (Compliance) des Datenschutzes zur Abwendung von wirtschaftlichen Schäden für das Unternehmen.

Vorgehensweise

Der Auditor (z.B. Datenschutzauditor, Datenschutzbeauftragter) erstellt einen Prüfplan (z.B. gemäß der ISO 19011) und legt die Prüfungsziele fest. Diese können sein:

  • allgemeine Datenschutzvorgaben wie Richtlinien/Policies,
  • spezielle Datenschutzprozesse wie Umgang mit Datenpannen, Umgang mit Betroffenenanfragen, Auftragsverarbeitung, Schulung der Mitarbeiter, Verzeichnis der Verarbeitungstätigkeiten
  • Informationssicherheit über die technischen und organisatorischen Maßnahmen

Dabei findet der risikoorientierte Ansatz Anwendung unter Berücksichtigung der unterschiedlichen Risiken, der Vielzahl von Verarbeitungsprozessen und der begrenzten Ressourcen.

 

Anhand des Prüfplans ist eine Vorbereitung der betroffenen Bereiche möglich, so dass die Anforderungen im Vorfeld des Audits klar sind. Beim Datenschutzaudit nehmen neben dem Auditor Ansprechpartner aus den betroffenen Bereichen teil. Die Fragen bzw. Prüfpunkte des Auditors werden Punkt für Punkt geprüft. Als Ergebnis entsteht ein Prüfbericht der die Ergebnisse aller Fragen enthält, damit nachvollziehbar ist, was wie geprüft wurde und welche Ergebnisse festgestellt wurden.

Ihr Nutzen

Die Durchführung regelmäßiger Datenschutzaudits hat mehrere Vorteile. Sie erhalten einen regelmäßigen Nachweis über:

  • die Einhaltung der datenschutzrechtlichen Anforderungen
  • den Erfüllungsgrad der Datenschutzorganisation sowie deren Datenschutzprozesse
  • die Einhaltung und Verbesserung der technischen und organisatorischen Maßnahmen

Letztendlich erhalten Sie den Nachweis gegenüber Kunden und Aufsichtsbehörden als Beleg für die konforme Umsetzung und Einhaltung der gesetzlichen Datenschutzanforderungen.

Eine regelmäßige Auditierung sorgt somit für Vertrauen bei Kunden, sichert die Organisation vor potentiellen Verstößen ab und stellt den Nachweis von vertraglichen und gesetzlichen Anforderungen sicher.

Verfasser: Marco Kurz