Worum geht's?
Als Unternehmen sind Sie gesetzlich verpflichtet, für einen umfassenden Datenschutz zu sorgen, wenn Sie personenbezogene Daten erheben und verarbeiten. Konkret regeln die EU-Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) diese Pflichten. Um sicherzustellen, dass Ihr Unternehmen in Sachen Datenschutz auf dem neuesten Stand ist, sind regelmäßige Kontrollen wichtig. Möglich macht das ein Datenschutzaudit. Was das genau ist, wer ein solches Audit durchführen darf und wie die Prüfung abläuft, erfahren Sie in diesem Artikel.
1. Was ist ein Datenschutzaudit?
Ein Datenschutzaudit ist eine freiwillige Prüfung auf Basis der Datenschutzgrundverordnung (DSGVO). In der Audit-Prüfung wird kontrolliert, ob ein Unternehmen die Vorgaben der DSGVO erfüllt – etwa hinsichtlich der Erfassung, Speicherung und Übermittlung personenbezogener Daten. Auch das grundlegende Datenschutzkonzept des Unternehmens kann im Firmen-Audit geprüft werden.
Durch Dokumentenprüfungen, Gespräche mit Mitarbeitenden und die Untersuchung verschiedener Systeme und Prozesse lassen sich durch das Audit Schwachstellen hinsichtlich des Datenschutzes aufdecken. Sind diese bekannt, kann das Unternehmen Maßnahmen ergreifen, um die eigene Informationssicherheit und die ihrer Kunden zu erhöhen. Die vom Auditor aufgezeigten Handlungsempfehlungen sollen dann vom (möglicherweise mangelhaften) Ist-Zustand zu einem idealen Soll-Zustand führen.
Ein Datenschutzaudit richtet sich also zum einen an Unternehmen, die wissen möchten, wie es aktuell um ihren Datenschutz steht (Ist-Zustand). Das kann wichtig sein, wenn ein Verkauf des Betriebs bevorsteht oder aufgrund eines Datenschutz-Verstoßes hohe DSGVO-Bußgelder verhängt werden könnten.
Zum anderen können auch Auftragnehmer einer Auftragsverarbeitung ein Audit benötigen – und zwar dann, wenn sie dem Datenschutzverantwortlichen bestätigen müssen, dass sämtliche technische und organisatorische Maßnahmen (TOM) zur Einhaltung der DSGVO ordnungsgemäß umgesetzt werden.
2. Was wird im Datenschutzaudit geprüft?
Im Datenschutzaudit wird geprüft, ob die einzelnen Pflichten der datenschutzverantwortlichen Person und gewünschte Ziele eingehalten werden. Ist das nicht der Fall, werden die mangelhaften Punkte im Anschluss nachgebessert.
Folgende Aspekte und Bereiche der DSGVO spielen beim Datenschutzaudit eine Rolle:
- Datenschutzkonforme Webseite
- Einwilligungsprozesse
- Organisation des Datenschutzes
- Datenschutzmanagement
- Umgang mit Datenschutzverletzungen
- Rechte von Betroffenen
- Erfüllung von Informationspflichten
- Auftragsverarbeitung
- Verzeichnis von Verarbeitungstätigkeiten
- Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO
- Sensibilisierung der Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten
3. Warum ist ein Datenschutzaudit sinnvoll?
Auch wenn ein Datenschutzaudit grundsätzlich freiwillig ist, lohnt es sich für jedes Unternehmen, sobald es personenbezogene Daten erfasst, verarbeitet und übermittelt – und das ist bei sämtlichen Firmen in Deutschland der Fall. Auch kleinere Unternehmen, für die die DSGVO in ihrem Geschäftsalltag eine vermeintlich nur geringe Rolle spielt, können einer unangekündigten Datenschutzprüfung durch die Aufsichtsbehörde unterzogen werden.
Um teure Abmahnungen und die Risiken einer DSGVO-Datenpanne mitsamt empfindlichen Bußgeldern zu vermeiden, ist es für jedes Unternehmen sinnvoll, regelmäßig zu prüfen, ob die Vorgaben der DSGVO eingehalten werden. Ein Datenschutzaudit zeigt, wie der aktuelle Stand beim Datenschutz ist und wo Verbesserungsbedarf besteht. Es dient also als vorbeugende Maßnahme, um Kunden- und Mitarbeiterdaten zu schützen und kostspieligen Abmahnungen und Bußgeldern einen Schritt voraus zu sein.
Sie möchten mehr dazu erfahren, was es für Unternehmen beim Thema DSGVO zu beachten gilt? Ausführliche Informationen finden Sie in unserem Beitrag „Was müssen Unternehmen nach der DSGVO intern alles regeln?“.
4. Wann ist eine Datenschutzprüfung sinnvoll?
Eine Audit-Prüfung hinsichtlich DSGVO-Konformität lohnt sich in jeder Phase Ihres Unternehmens.
- Haben Sie (sofern notwendig) für Ihr Unternehmen bereits einen Datenschutzbeauftragten benannt?
- Erfasst Ihr Unternehmen nur diejenigen Daten von Mitarbeitern, Kunden und Partnern, zu deren Erhebung es auch befugt ist?
- Holt Ihr Unternehmen die Einwilligungen zur Datenverarbeitung mittels Double-Opt-In-Verfahren ein?
- Kennen sich die Abteilungen (Sales, Marketing) mit den Anforderungen der DSGVO aus?
- Sind Geschäftsräume – insbesondere Serverräume – ausreichend geschützt?
- Sind Ihre IT-Systeme ausreichend gesichert (z. B. durch Firewall, regelmäßige Datensicherung, Verschlüsselung)?
- Haben Sie mit Ihren IT-Dienstleistern aktuelle Auftragsverarbeitungen gemäß 28 DSGVO (AV-Verträge) abgeschlossen?
- Ist die IT-Umgebung ausreichend dokumentiert, um eine Abhängigkeit von Administratoren zu vermeiden?
Wichtig:
Können Sie all diese Fragen nicht eindeutig mit „Ja“ beantworten, ist es in jedem Fall sinnvoll, für Ihr Unternehmen ein Datenschutzaudit durchzuführen.
5. Wer darf die Datenschutzprüfung durchführen?
Prinzipiell dürfen sowohl interne Mitarbeitende als auch externe Datenschutzauditoren die Datenschutzprüfung durchführen. Interne Beschäftigte müssen eine entsprechende Qualifikation und fachliche Erfahrung vorweisen können.
Oftmals ist es am sinnvollsten, wenn Sie für das Datenschutzaudit in Ihrem Unternehmen einen unabhängigen Gutachter oder Ihren (externen) Datenschutzbeauftragten beauftragen – denn dieser kann Sie auch vor und nach der Audit-Prüfung zu geeigneten Maßnahmen und Handlungsoptionen beraten.
Praxis-Tipp:
Ein externer Datenschutzbeauftragter hat den Vorteil, dass er unbefangen und objektiv auf Ihr Unternehmen blicken kann. Es besteht keine „Betriebsblindheit“ wie bei einem internen Mitarbeiter. Außerdem wird er von den eigenen Mitarbeitenden im Unternehmen anders wahrgenommen und ein neutrales, unbeeinflusstes Ergebnis ist wahrscheinlicher.
In der Regel führen Datenschutzbeauftrage, IT-Sicherheitsbeauftragte oder Datenschutzkoordinatoren eine „externe“ Datenschutzprüfung durch.
Kann ich für mein Unternehmen auch selbst ein Datenschutzaudit durchführen?
Grundsätzlich: Ja – sofern Sie die nötige Qualifikation haben. Aber da die Objektivität während des Firmen-Audits das Maß aller Dinge ist, ist es ratsam, einen externen Datenschutzauditor zu beauftragen. Führen Sie selbst die Audit-Prüfung durch, besteht die Gefahr der Betriebsblindheit. Durch einen externen Datenschutzauditor erhalten Sie hingegen objektive Ergebnisse und können von seiner Beratung auch im Nachhinein profitieren – etwa, wenn es um Maßnahmen zur Nachbesserung des Datenschutzes geht.
Aber: Es ist möglich, dass der interne Datenschutzbeauftragte Ihres Unternehmens vorab eine Einschätzung über die Einhaltung der DSGVO abgibt, die dann von einem externen Datenschutzauditor im Rahmen des Audits geprüft wird.
Prüft ein externer Datenschutzbeauftragter immer vor Ort?
Ein Datenschutzaudit muss nicht zwangsläufig vor Ort in Ihrem Unternehmen stattfinden – es gibt auch die Möglichkeit, das Firmen-Audit remote durchzuführen. Sie erhalten den Fragenkatalog dann digital und dokumentieren alle Informationen zum Thema Datenschutz gemeinsam mit dem Auditor in (Video-)Telefonaten.
Eine Remote-Audit hat klare Vorteile: Der Auditor muss nicht persönlich zu Ihrem Unternehmen kommen, wodurch Sie Kosten sparen. Auch der Zeitaufwand kann geringer ausfallen, da sich Online-Termine oftmals meist flexibler gestalten lassen. Wichtig ist in jedem Fall eine stabile Internet-Verbindung, um einen unkomplizierten und sicheren Datenaustausch zu ermöglichen.
Welches Audit passt für Ihr Unternehmen?
Ob ein Vor-Ort-Audit oder ein Remote-Audit sinnvoller ist, hängt unter anderem von der Größe und dem Standort Ihres Unternehmens ab. Gern beraten Sie die Datenschutzexperten der Kanzlei SiebertLexow in einem persönlichen Gespräch.
6. Wie läuft eine DSGVO-Datenschutzprüfung ab?
Führen Sie ein Firmen-Audit in Ihrem Betrieb durch, werden die Prozesse aller Abteilung auf ihren Umgang mit personenbezogenen Daten untersucht. Damit diese Untersuchung möglichst reibungsfrei abläuft, sind einige Schritte notwendig. So sollte das Audit im ersten Schritt gut vorbereitet und geplant werden.
Grundsätzlich setzt sich die Audit-Prüfung aus vier Phasen zusammen:
1. Planung des Datenschutzaudits
Bevor das Datenschutzaudit startet, müssen Sie planen, wann, wo und was überhaupt auditiert werden soll. Auch wenn es trivial klingen mag: Bestimmen Sie zunächst einen Auditor, der die Prüfung durchführen soll und stimmen Sie mit diesem einen passenden Termin ab. Benennen Sie, wer am Audit teilnehmen soll und legen Sie einen entsprechenden Ort fest.
Praxis-Tipp:
Erstellen Sie gemeinsam mit dem Auditor einen Auditplan, in dem der Umfang der DSGVO-Prüfung und die zu prüfenden Abteilungen (z. B. Einkauf, Sales, Personal, Finanzen, IT) festgehalten werden. Planen Sie den zeitlichen Ablauf und briefen Sie die Teilnehmer, worum es im Audit geht. So können sich alle Abteilungen vorbereiten. Außerdem ist es sinnvoll, einen Mitarbeitenden aus jeder Abteilung zum Ansprechpartner zu benennen.
2. Vorbereitung des Firmen-Audits
Um einzuschätzen, wie lange das Firmen-Audit dauert, kann es sinnvoll sein, in der Vorbereitungsphase ein Testaudit mit einem Beispiel-Fragebogen durchzuführen. So wissen Sie, welchen Zeitaufwand Sie am Tag der Prüfung tatsächlich einberechnen müssen. Zeigen sich bereits beim Testaudit Fehlerquellen und Schwachstellen, können Sie diese bis zum richtigen Datenschutzaudit beseitigen.
Erarbeiten Sie – bzw. der Datenschutzauditor – eine Audit-Checkliste (Fragenkatalog), die alle Punkte umfasst, die im Audit geprüft werden sollen. Sollte es neue Urteile in Sachen Datenschutz geben oder hat sich die Rechtsprechung geändert, ist es sinnvoll, auch diese im Audit zu besprechen.
3. Durchführung des Datenschutzaudits
Ist der Tag der Audit-Prüfung gekommen, arbeitet der Datenschutzauditor den erstellten Fragenkatalog ab.
- Allgemeiner Datenschutz: z. B. Erhebung und Verarbeitung der personenbezogenen Daten, Informationspflicht gemäß DSGVO
- Datenverarbeitung: z. B. Zugriffsrechte auf die erfassten Daten, verwendete Programme und Software, eingesetzte Tools
- Datenweitergabe: z. B. Übermittlung der personenbezogenen Daten innerhalb des Unternehmens und an Dritte wie Auftragsverarbeiter, Verbundunternehmen, Steuerberater
- Informationssicherheit: z. B. technische Maßnahmen, die zur Sicherung der Daten eingesetzt werden, Wahrung der Betroffenenrechte gemäß DSGVO
Bei der Durcharbeitung des Fragenkatalogs geht es darum, ehrlich und so präzise wie möglich zu antworten – denn die Datenschutzbehörden sehen pauschale Antworten nicht gern. Es muss exakt deutlich werden, welche Maßnahmen Sie in Ihrem Unternehmen ergreifen, um die Daten von Kunden, Partnern und Mitarbeitenden zu schützen – beispielsweise, indem Sie Datenträger mit personenbezogenen Daten verschlüsseln.
Alle Punkte, die der Auditor prüft, müssen dokumentiert werden. Nur so können Sie im Nachgang den Ablauf des Datenschutzaudits jederzeit wieder nachvollziehen. Eine transparente Kommunikation ist in dieser Phase also besonders wichtig.
4. Nachbereitung des Firmen-Audits
Im Anschluss an das Audit erstellt der Auditor einen Prüfbericht – den sogenannten Auditbericht. Dieser enthält detailliert, was geprüft wurde und fasst die Ergebnisse zusammen. Gibt es in Ihrem Unternehmen Schwachstellen bezüglich des Datenschutzes, werden diese in der Nachbereitungsphase besprochen. Sie erhalten Handlungsempfehlungen, wie Sie mit geeigneten Maßnahmen nachbessern und Sicherheitslücken schließen können.
Gut zu wissen:
In fast jedem Datenschutzaudit werden zumindest minimale Schwachstellen und Defizite aufgedeckt. Die DSGVO ist ein komplexes Thema und Fehler passieren schnell, ohne dass sich Geschäftsführung und Mitarbeitende darüber bewusst sind. Daher ist es wichtig, mit allen Beschäftigten im Unternehmen darüber zu sprechen, wie diese Fehler schnellstmöglich behoben werden können. Das könnte z. B. für die Personalabteilung bedeuten, dass Bewerberdaten nach einer gewissen Zeit gelöscht werden müssen.
7. Nach dem Datenschutzaudit: Empfehlungen umsetzen
Nach dem Firmen-Audit können Sie anhand der erstellen Maßnahmenliste konkrete Schritte entwickeln, um die Datensicherheit in Ihrem Unternehmen zu erhöhen und sämtliche Datenschutzvorgaben der DSGVO umzusetzen. Je präziser die erarbeiteten Vorschläge, desto leichter ist deren Umsetzung.
Ein erster Schritt könnte sein, im Unternehmen einen Datenschutzbeauftragten zu benennen, sofern dies noch nicht erfolgt ist. Ein externer Datenschutzauditor unterstützt Sie auch nach dem Audit bei der Umsetzung der Maßnahmen und steht Ihnen als Ansprechpartner zur Seite, wenn Fragen auftauchen.
Es ist wichtig, dass auch nach dem Audit sämtliche Prozesse, die die Datenerhebung, -verarbeitung und -übermittlung beinhalten, dokumentiert werden. Diese Datenschutzdokumentation ist gesetzlich vorgeschrieben. Entscheiden Sie sich, für das Audit einen externen Datenschutzauditor zu beauftragen, kann dieser für die Dokumentation automatisierte Tools und Programme verwenden. So ist eine fehlerfreie Dokumentation sichergestellt.
Sie möchten Ihr Unternehmen DSGVO-konform machen?
Die Kanzlei Siebert Lexow unterstützt Sie bei Ihrem Datenschutzaudit. Wir prüfen Ihr Unternehmen schnell, sicher und professionell auf mögliche Schwachstellen beim Datenschutz. So können Sie sich ganz auf Ihr Kerngeschäft konzentrieren.
8. FAQ: Häufig gestellte Fragen
- Zurück zur Übersicht: "Datenschutz"
- Welche Unternehmen brauchen einen Datenschutzbeauftragten?
- Wann macht ein externer Datenschutzbeauftragter Sinn?
- Datenschutz im Homeoffice
- Standardvertragsklauseln
- Datenschutzerklärung einbinden
- Datenschutz bei Software as a Service (SaaS)
- Haftung bei Verstößen gegen das Datenschutzrecht
- Datenschutz beim Recruiting
- Datenschutz für ausgeschiedene Mitarbeiter
- Datenschutz bei Kundendaten
- Weitergabe von Kundendaten an Dritte
- Datenschutz beim Gewinnspiel
- Ist ein CDN DSGVO-konform?