Was ist ein Datenschutzaudit genau?
Ein Datenschutzaudit ist eine freiwillige Analyse und Prüfung der Datenschutzkonformität von datenverarbeitenden Vorgängen innerhalb eines Unternehmens. Es dient der Analyse, ob einzelne Datenverarbeitungsprozesse mit der DSGVO und dem Bundesdatenschutzgesetz (BDSG) sowie anderer Datenschutzgesetze (etwa TTDSG) im Einklang stehen, so zum Beispiel bei der Anwendung von standardisierter oder individueller Software (sog. Software-Audit).
Dabei findet bspw. eine Prüfung von Verträgen, Betriebsvereinbarungen, internen Richtlinien hinsichtlich ihrer Datenschutzkonformität statt. Neben der Prüfung der einzelnen Verarbeitungsprozesse bzgl. ihrer Vereinbarkeit mit der DSGVO dient ein Audit auch der Prüfung von entsprechenden Sicherheitsvorkehrungen, wie zum Beispiel des Schutzniveaus von technischen und organisatorischen Maßnahmen (TOM) gem. Art. 32 DSGVO (sog. TOM-Audit).
Was ist das Ziel eines Datenschutzaudits?
Zweck eines Datenschutzaudits ist die Schaffung einer Grundlage für die Entwicklung langfristiger Datenschutzstrategien. Dabei kann ein Audit sowohl dazu dienen, ein von Grund auf neues Datenschutzmanagement aufzuziehen, als auch bereits bestehende Betriebsabläufe umzugestalten und zu optimieren. Unternehmen profitieren von der Durchführung eines Audits, da mit dem Audit oftmals auch ein interner Lernprozess einhergeht.
Checkliste – Wann sollte ein Datenschutzaudit durchgeführt werden?
In folgenden Fällen ist ein Audit insbesondere empfehlenswert:
- Zweifel an der Notwendigkeit der Bestellung einer/eines Datenschutzbeauftragten
- Zweifel an der Effektivität des Datenschutzmanagementsystems, durchgeführter Datenschutz-Folgenabschätzungen, Prozesse zum Umgang mit Betroffenenanfragen und angelegter Verzeichnisse von Verarbeitungstätigkeiten
- Keine spezifischen Datenschutzmaßnahmen für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb, HR
- Umfangreiche Auftragsverarbeitungsverträge
- Gefahren für die IT-Sicherheit, drohende oder mögliche Hackerangriffe
- Zweifel an ausreichenden Sicherheitsvorkehrungen für Server und Büros
Wer führt ein Datenschutzaudit durch?
Der/Die Datenschutzbeauftragte (DSB) eines Unternehmens hat die Aufgabe, die Einhaltung der gesetzlichen Anforderungen an den Datenschutz im Unternehmen sicherzustellen und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen. Von ihm/ihr kann daher auch die Initiative ausgehen, ein „internes Audit“ durchzuführen.
Eine weitere Möglichkeit ist ein „externes Audit“. Dies hat den großen Vorteil, dass Personen, die außerhalb der Organisation oder Unternehmen stehen, mit einem neutralen Blick ein Audit durchführen können. Auch zur Unterstützung des/der Datenschutzbeauftragten bei der Durchführung eines internen Audits kann es von Vorteil sein, dieses gemeinsam mit einem externen Beratungsunternehmen durchzuführen.