Mit einem Datenschutz-Audit stellst du sicher, dass in deinem Unternehmen die gesetzlichen Vorgaben aus DSGVO und Co. erfüllt werden. Je nach deiner Zielsetzung eignen sich unterschiedliche Auditmethoden. Die folgenden 10 Fragen helfen dir bei der Entscheidung, ob du das Audit per Fragebogen oder Interview durchführst.
Damit du dich für eine Auditmethode entscheiden kannst, musst du den Prozess gut vorbereiten. Konkretisiere dazu das Ziel und bestimme den Umfang des Audits: Welche Prozesse möchtest du untersuchen? Und in welche Abteilungen gilt es dafür zu blicken? Am wichtigsten ist jedoch, die Auditmethode festzulegen. Welche sich am besten eignet, hängt von verschiedenen Faktoren ab. Mithilfe der folgenden 10 Fragen findest du die passende Methode für dein Datenschutz-Audit.
Wenn die Datenschutz-Awareness in deinem Unternehmen eher gering ist, solltest du die Auditmethode Interview wählen. Denn dabei hast du die Möglichkeit, die Befragten stärker anzuleiten und ihre Rückfragen ad hoc zu beantworten. Gibt es Verständnisprobleme aufgrund eines unbekannten Fachbegriffs? Oder benötigt ein:e Mitarbeitende:r zusätzliche Hintergrundinformationen, um eine Frage zu beantworten? Während des Interviews kannst du Unklarheiten aus dem Weg räumen, eventuell notwendige Zusatzinformationen geben und so die Grundlage dafür schaffen, dass du qualitativ hochwertige Antworten erhältst.
Außerdem kannst du als Interviewer:in im Gespräch mit Mitarbeitenden selbst festlegen, welche Schwerpunkte du setzen und an welchen Stellen du Nachfragen stellen möchtest. So identifizierst du zentrale Prozesse, die aus datenschutzrechtlicher Perspektive für das Audit relevant sind.
Eine geringe Digitalkompetenz bei den Mitarbeitenden in deinem Unternehmen spricht ebenfalls dafür, das Audit per Interview durchzuführen. So können sich die Befragten ganz auf ihre Antworten konzentrieren und du kannst an den entscheidenden Punkten Hilfestellung geben und Rückfragen beantworten. Dies ist insbesondere wichtig, wenn die Mitarbeitenden nicht dafür ausgebildet sind, technische Risiken einzuschätzen. Aus diesem Grund sollten Auditor:innen selbst über eine hohe Digitalkompetenz verfügen. Das versetzt sie in die Lage, die Befragten inhaltlich und methodisch optimal zu unterstützen.
Der Interviewprozess ermöglicht kritische Rückfragen und Schleifen, bei denen ein Thema von mehreren Seiten beleuchtet wird. Dies ist einer der zentralen Vorteile gegenüber einem Datenschutz-Audit mit Fragebogen. Wenn dein Anspruch an das DSGVO-Audit ein echter Deep Dive ist, anstatt lediglich einen allgemeinen Eindruck zu gewinnen, eignet sich das Interview als Auditmethode am besten.
Ein Audit mittels Fragebogen ist besonders tauglich dafür, eine große Anzahl an Mitarbeitenden zu befragen. Beim Erstellen des Audit-Fragebogens ist vernachlässigbar, an wie viele Personen er geschickt wird. Erst bei der Auswertung kommt die Anzahl der auditierten Personen zum Tragen. Wenn du ein digitales Tool mit automatisierten Auswertungen nutzt, wird dieser Faktor abgefangen.
Interviews hingegen sind mit einem größeren Aufwand verbunden, vorrangig weil sie individuell terminiert und durchgeführt werden müssen. Daher eignen sie sich eher für intensive Audits mit wenigen Personen als für Befragungen in großem Rahmen.
Ein Interview bietet dir die Option, durch spontane Zwischenfragen stark ins Detail zu gehen. Dadurch entwickeln sich die einzelnen Gespräche jedoch teils unterschiedlich, was der Vergleichbarkeit der Antworten schadet. Durch den formellen Aufbau eines Fragebogens hingegen ist er vor allem dienlich bei einer systematische Auswertung. Gerade wenn du mit standardisierten Fragen und einem digitalen Tool arbeitest, fällt die Analyse eines Datenschutz-Audits mit Fragebogen extrem leicht.
Wenn die Bereitschaft der Mitarbeitenden, zusätzliche Maßnahmen für mehr Datenschutz in deinem Unternehmen umzusetzen, eher gering ist, ist ein Fragebogen weniger das Mittel der Wahl für das Audit: Bei einem Fragebogen fällt es leichter, Fragen oberflächlich oder ausweichend zu beantworten. Verschaffe dir daher zunächst einen Überblick über die Akzeptanz für Datenschutz, bevor du dich für eine der beiden Auditmethoden entscheidest. Engagierte Mitarbeitende können auch bei einem schriftlichen Fragebogen qualitativ hochwertige Antworten geben, die deinen Ansprüchen genügen.
Falls Datenschutz in deinem Unternehmen keinen guten Stand hat, lohnt es sich, seine Bedeutung zunächst in einem anderen Format zu vermitteln. Dies kann mit einem Vortrag oder in einem offenen Forum geschehen.
Eine unmittelbare Momentaufnahme gewinnst du am besten, wenn du die Mitarbeitenden interviewst. Dann beantworten sie deine Fragen nämlich direkt und intuitiv. Wenn du ihnen jedoch einen Fragebogen vorlegst, haben sie mehr Zeit, sich Antworten zu überlegen, die sie für richtig oder angebracht halten. Dabei besteht die Gefahr, dass diese Antworten die angestrebte ideale Praxis widerspiegeln und nicht die Realität des täglichen Geschäfts. Zudem haben die Mitarbeitenden so die Möglichkeit und die Zeit, sich untereinander abzusprechen – das könnte das Ergebnis verfälschen, auch wenn dies nicht in mutwilliger Absicht geschieht.
Ein Interview-gestütztes Datenschutz-Audit erfordert mehr Ressourcen, als wenn du es mittels eines Fragebogens realisierst. Die Terminvereinbarung, die Durchführung und erst recht die Auswertung erfordern mehr Zeit, wenn das Audit mithilfe von persönlichen Gesprächen geschieht. Kläre daher vor der Entscheidung für eine der beiden Auditmethoden, wie viel Zeit und Ressourcen du aufbringen kannst und möchtest.
In manchen Fällen existieren in einem Unternehmen in Datenschutzfragen große Konflikte. Um dem Problem auf den Grund zu gehen, solltest du dann bei deinem Audit geschickt vorgehen. Eine Anonymisierung der Antworten hilft mitunter dabei, besonders ehrliche Antworten zu erhalten. So haben Mitarbeitende die Gelegenheit, auf Vergehen bestimmter Abteilungen hinweisen, ohne sich um ihre Rolle im Unternehmen sorgen zu müssen. Dieser Schutz der Identität ist nur beim Datenschutz-Audit per Fragebogen möglich.
Gerade wenn Umstrukturierungen und Prozessänderungen zu erwarten sind, ist es oft hilfreich, ein persönliches Vertrauensverhältnis zu den betroffenen Mitarbeitenden aufzubauen. Dafür eignet sich ein Interview, bei dem du von Angesicht zu Angesicht mit den Personen sprichst und kommunikative Nähe erzeugen kannst.
Gut zu wissen:
Es macht einen Unterschied, ob du den Ist- oder den Soll-Zustand in deinem Unternehmen untersuchst. Wenn der Ist-Zustand auditiert wird, ist es sinnvoll, mit dem verantwortlichen Fachbereich in die Systeme hineinzusehen. Dann kommt es auf direkte Kommunikation und einen gemeinsam koordinierten Prozess an.
Die genannten 10 Fragen unterstützen dich dabei, die richtige Auditmethode für dein Unternehmen zu finden. Bedenke dabei, dass auch eine Kombination beider Formen umsetzbar ist. Du kannst dir beispielsweise erst mit einem Fragebogen einen allgemeinen Überblick verschaffen und etwaige Konfliktfelder identifizieren, die du danach konkret in Interviews untersuchst. Welche Auditmethode du wählst, hängt dabei von den Mitarbeitenden und den verfügbaren Ressourcen ab. Worauf du abgesehen von der passenden Auditmethode zudem achten musst, erfährst du in unserem umfassenden Artikel zum Thema Datenschutz-Audit. Wichtig ist, das Ziel nicht aus den Augen zu verlieren: Prozesse datenschutzrechtlich zu optimieren und dein Unternehmen damit voranzubringen.
Entdecke weitere Beiträge zu diesem Thema:
Wir informieren monatlich zu den Best Practices aus der Welt des Datenschutzmanagements und mehr.
Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Datenschutzthemen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.
en_US