Dienstag, 20. September 2022

Datenschutz-Audits

Datenschutz-Audits 

Datenschutz-Audits sind zunehmend ein Thema. Sie verlaufen erfolgreich, wenn alle beteiligten Stellen im Unternehmen konstruktiv mitwirken.


Warum Datenschutz-Audits?

 

Audits stellen Standards sicher

Audits gibt es auf vielen Gebieten. Generell soll ein Audit feststellen, ob bestimmte Standards erfüllt sind. Ein Datenschutz-Audit soll herausfinden, ob die Standards eingehalten sind, die das Datenschutzrecht vorgibt. Diese Vorgaben können sich auf rechtliche Fragen, aber auch auf technische Abläufe und Prozesse beziehen.

Ein Datenschutz-Audit ist kein Selbstzweck

„Erst haben alle viel Aufwand und am Ende steht eine Bestätigung, die dann in irgendeiner Schublade schlummert.“ Solche spöttischen Kommentare gibt es immer wieder einmal, wenn ein Datenschutz-Audit ansteht. Sie unterschätzen seine Bedeutung. Intern sorgt es dafür, dass Schwachstellen erkannt und behoben werden können. Extern zeigt es Auftraggebern des Unternehmens, dass sie
sich auf dessen Datenschutzbemühungen verlassen können. Das kann beim Wettbewerb um lukrative Aufträge den Ausschlag geben.


Datenschutz-Audits sind in der EU-DSGVO verankert

Das Wort „Datenschutz-Audit“ findet man in der Europäischen Datenschutz Grundverordnung (EU-DSGVO) zwar nicht. Dafür enthält sie jedoch die Verpflichtung, die Einhaltung der Datenschutzvorschriften jederzeit nachweisen zu können. Einschlägiges Stichwort hierfür ist die „Rechenschaftspflicht“, die in Art. 5 Abs. 2 EU-DSGVO verankert ist. Ein bewährtes Mittel, um diese Pflicht zu erfüllen, ist ein erfolgreiches Datenschutz-Audit.

Es gibt interne und externe Datenschutz-Audits

Unternehmen haben die freie Entscheidung zwischen beiden Varianten. Welche im Einzelfall sinnvoll ist, hängt von vielen Faktoren ab. Ein eher neutraler Blick von außen kann sehr wertvoll sein. Ihm entgeht aber vielleicht auch das eine oder andere, das ein Insider erkannt hätte. Manchmal kombinieren Unternehmen auch beide Formen. Dann steuert beispielsweise der Datenschutzbeauftragte den Ablauf des Audits. Für die Durchführung im Einzelnen kann er auf externe Unterstützung zurückgreifen. Wesentlich beteiligt ist der Datenschutzbeauftragte in jedem Fall. Denn zu seinen Aufgaben gehört es, die Einhaltung datenschutzrechtlicher Vorschriften zu überwachen. Das legt Art. 39 Abs. 1 Buchstabe b EU-DSGVO so fest.

Datenschutz-Audits setzen umfassend an

Es hilft einem Unternehmen wenig, wenn es zwar rechtlich korrekte Einwilligungen bei seinen Kunden einholt, die Daten der Kunden dann aber sicherheitstechnisch nicht ausreichend schützt. Dieses Beispiel zeigt, dass ein Datenschutz-Audit mehrere Kontrollbereiche abdecken muss:
  •  Im Bereich „Recht“ steht die Einhaltung der „Paragrafen“ im Fokus. Beispiel: Entsprechen Einwilligungserklärungen den Vorgaben der EU-DSGVO und der Aufsichtsbehörden?
  •  Im Bereich „Organisation und Prozesse“ geht es vor allem darum, ob die rechtlichen Anforderungen in den Abläufen korrekt abgebildet sind. Beispiel: Ist sichergestellt, dass die vorgeschriebenen Datenschutzinformationen alle Kunden auch tatsächlich erreichen?
  • Im Bereich „IT“ geht es um die Sicherheitsanforderungen des Datenschutzes. Beispiel: Ist durch geeignete Backup-Routinen sichergestellt, dass Kundendaten trotz eines erfolgreichen Störangriffs von außen schnell wieder verfügbar sind?

Schwachstellen sind willkommen

Bei einem Datenschutz-Audit geht es nicht um eine Leistungsprüfung, die mit einem Zeugnis abschließt. Es soll vielmehr objektiv feststellen, wie die Lage des Datenschutzes ist. Dazu dokumentiert es die vielen Dinge, die in der Regel
schon gut laufen. Zum anderen zeigt es allen Beteiligten, wo Optimierungsbedarf besteht oder wo beispielsweise ein vorgeschriebener Ablauf noch gar nicht vorhanden ist. Hier ist dann für die Zukunft anzusetzen.

Die Datenschutz-Aufsicht bleibt außen vor

Ein Datenschutz-Audit löst auch Diskussionen aus, was eigentlich vorgeschrieben
ist und was nicht. Solche Diskussionen laufen manchmal kontrovers ab. Dann sind sie besonders wertvoll. Sie finden nämlich rein intern statt. Die Datenschutz-Aufsichtsbehörden sind dabei völlig außen vor. Es ist stets besser, mögliche Schwachstellen intern zu diskutieren, als dies später bei einer Kontrolle mit einer Datenschutz-Aufsichtsbehörde tun zu müssen. Der Stress und der Druck wären dann wesentlich höher.

Routine braucht Zeit

Das erste Datenschutz-Audit in einem Unternehmen verlangt allen Beteiligten einiges ab. Die Abläufe sind ungewohnt. Es gibt Diskussionen über die Maßstäbe des Audits und darüber, was seine Ergebnisse bedeuten. Das zweite Audit funktioniert dann erfahrungsgemäß schon recht „rund“. Der Aufwand des Anfangs trägt dann Früchte.

Benötigen Sie Hilfe? Kein Problem!

  Jetzt Kontakt aufnehmen


Das könnte Sie auch interessieren: