Welche Arten von Datenschutz-Audits gibt es?
Datenschutz-Audit ist nicht gleich Datenschutz-Audit. Tatsächlich gibt es mehrere Arten, die in Unternehmen regelmäßig praktiziert werden:
1.
Datenschutz-Audit zur Bestandsaufnahme:
Eine solche Prüfung dient dazu, den aktuellen Stand von Datenschutz-Maßnahmen in Ihrem Unternehmen festzustellen. Im Zuge dieser Gap-Analyse machen Sie zudem Lücken in Ihrem Datenschutzmanagement aus.
2.
Audit zur Kontrolle des Datenschutzmanagementsystems (DSMS):
Bei dieser Überprüfung wird die Wirksamkeit eines bestehenden DSMS überprüft. Der Umfang kann zwischen dem gesamten Unternehmen oder einzelnen Fachbereichen variieren.
3.
Dienstleister-Audit:
Die Kontrolle für Dienstleister und Auftragsverarbeiter ist wichtig, um Datenschutz im gesamten Verarbeitungsprozess zu gewährleisten. Mit einem Dienstleister-Audit stellen Sie unter anderem sicher, dass ein von Ihrem Unternehmen beauftragter Dienstleister geeignete technische und organisatorische Maßnahmen (TOMs) umsetzt.
4.
TOM-Audit:
Bei dieser Audit-Art werden TOMs in Bezug auf ihre Effektivität analysiert. Sorgen sie erfolgreich dafür, dass das angemessene Schutzniveau nach §32 DSGVO eingehalten wird? Oder lassen sich noch Lücken ausmachen, die behoben werden müssen?
5.
Datenschutz-Audit zum Erhalt von Zertifizierung:
Zahlreiche Unternehmenszertifikate fordern einen Mindeststandard im Datenschutzmanagement. Derartige zweckgebundene Datenschutz-Audits werden durchgeführt, wenn die Umsetzung von Maßnahmenkatalogen sichergestellt werden soll.
Wer führt ein Datenschutz-Audit durch?
Ein Datenschutz-Audit muss aktiv angestoßen sowie ordentlich geplant und durchgeführt werden. Wer die Verantwortung dafür trägt, hängt vor allem von der Größe des Unternehmens ab.
Externes Datenschutz-Audit
Ein Datenschutz-Audit wird in der Regel von externen Datenschutzbeauftragten (DSB) bei Ihren Mandanten eingesetzt, um bei dem Beginn der Tätigkeit den aktuellen Stand im Datenschutzmanagement festzustellen. Außerdem ergibt sich aus dem Audit eine Liste an Verbesserungsmaßnahmen, die in der weiteren Zusammenarbeit sukzessive abgearbeitet werden können.
Internes Datenschutz-Audit
Größere Organisationen verfügen häufig über eine:n interne:n DSB oder gar über ein ganzes Datenschutz-Team. Dann liegt die Verantwortung für das Datenschutz-Audit in dessen Händen. Wenn Ihr Unternehmen ein DSMS im Sinne des PDCA-Zyklus eingeführt hat, sollten Audits regelmäßig durchgeführt werden. PDCA steht dabei für „Plan-Do-Check-Act“, eine Methode zur Weiterentwicklung von Prozessen mit sich wiederholenden Phasen, die zu einer kontinuierlichen Verbesserung führen (sollen).
Wie läuft ein Datenschutz-Audit ab?
Der Ablauf eines Datenschutz-Audits lässt sich in fünf Phasen unterteilen, die einen reibungslosen Ablauf und die Verbesserung des Datenschutzes im Unternehmen sicherstellen sollen.
1. Die Audit-Vorbereitung
Zu Beginn des Prozesses legen Sie als verantwortliche:r Datenschützer:in den Umfang (auch Scope genannt) und das Ziel des Audits fest. Zu diesem Zweck klären Sie, ob das gesamte Unternehmen überprüft werden soll oder nur spezielle Abteilungen. Sie ermitteln zudem, welche Personen im Rahmen des Datenschutz-Audits befragt werden sollen.
Zur Vorbereitung gehört auch, die Methode festzulegen: Möchten Sie einen Fragebogen nutzen, der von den Beteiligten selbst ausgefüllt wird, oder Interviews führen? Es steht Ihnen offen, unterstützende Tools festzulegen. Wollen Sie beispielsweise auf Word beziehungsweise Excel setzen, oder nutzen Sie für Ihr
Datenschutz-Audit eine Software wie caralegal?
2. Den Status quo analysieren (IST-Analyse)
Durch die IST-Analyse stellen Sie fest, ob Ihr Unternehmen in rechtlicher und tatsächlicher Hinsicht ein angemessenes Datenschutzniveau gewährleistet. „Tatsächlich“ meint vor allem, ob ausreichend TOMs ergriffen und wirklich umgesetzt werden. Aus „rechtlichem“ Blickwinkel überprüfen Sie unter anderem die Einhaltung des Transparenzgrundsatzes der DSGVO und die Reichweite von Einwilligungen, die Ihr Unternehmen von Personen einholt. Eine der großen Fragen, die Sie in der zweiten Phase des Datenschutz-Audits stellen, lautet: Sind alle Prozesse und Verarbeitungen so dokumentiert, dass die rechtlichen Anforderungen eingehalten werden? Dazu gehört auch, dass Ihr Unternehmen beispielsweise mit Bezug auf das Verzeichnis von Verarbeitungstätigkeiten (VVTs), Datenschutz-Folgenabschätzungen und Löschkonzepte seiner Rechenschaftspflicht nachkommt.
Kernfrage des Datenschutz-Audits ist jedoch: Setzt Ihr Unternehmen tatsächlich alles so um, wie es dokumentiert wurde? Dabei rückt also die Praxis in den Fokus der Untersuchung. Als Datenschützer:in prüfen Sie, ob das Gesetz in der Dokumentation umgesetzt wird und ob die alltägliche Arbeit der Dokumentation entspricht.
Sie können sich zu diesem Zweck eine Datenschutz-Audit-Checkliste erstellen. Diese sollte für die Überprüfung der Verarbeitungstätigkeiten (VTs) in Ihrem Unternehmen Fragen wie diese enthalten:
Wurden für alle Abteilungen VTs dokumentiert?
Sind diese VTs vollständig?
Erfüllen die VTs die Anforderungen der DSGVO?
Sind interne Zuständigkeiten für VTs geklärt?
Gibt es einen regelmäßigen Überprüfungszyklus?
3. Die Analyse und Bewertung Ihrer Audit-Ergebnisse
Die Analyse der Ergebnisse Ihres Datenschutz-Audits erfolgt auf Grundlage Ihrer in der Vorbereitungsphase gesetzten Ziele. High-Level Gap-Analysen haben – wie der Name schon sagt – primär den Zweck, Lücken im praktizierten Datenschutzmanagement zu identifizieren. Das gilt insbesondere in Bezug auf die Datenschutzdokumentation und -prozesse, die Ihr Unternehmen erstellt. Aus einem solchen Datenschutz-Audit ergibt sich in der Regel ein Maßnahmenkatalog, dessen Umsetzung Sie im Anschluss einleiten müssen.
Wenn Sie mit Ihrem Audit einzelne Fachbereiche tiefergehend prüfen möchten, geht es vor allem um Detailfragen zur Datenverarbeitung in der jeweiligen Abteilung. Dementsprechend sollte Ihr Bericht über die Audit-Ergebnisse detaillierter ausfallen als bei einer unternehmensweiten Gap-Analyse. Auch die zu treffenden Maßnahmen müssen Sie in diesem Fall detaillierter formulieren und begründen.
4. Die Umsetzung der im Audit identifizierten Maßnahmen
Um nach dem Datenschutz-Audit Verbesserungen vorzunehmen, sollten Sie die erforderlichen Maßnahmen zunächst nach ihrem datenschutztechnischen Risiko priorisieren: Formulieren Sie als erstes den Soll-Zustand, den Sie erreichen möchten, und leiten davon geeignete Maßnahmen ab.
Beseitigen Sie so schnell wie möglich etwaige Bußgeldrisiken.
Priorisieren Sie sensible Daten (Art. 9) vor weniger sensiblen Daten.
Beheben Sie Probleme bei der Verarbeitung externer Daten, bevor Sie sich um interne kümmern – solange kein gegenteiliger Priorisierungsgrund vorliegt.
Stellen Sie sicher, dass Sie gegebenenfalls erforderliche Auftragsverarbeitungsverträge abgeschlossen haben und diese auch vorlegen können, wenn eine Behörde diese anfragt.
Um die Umsetzung zu gewährleisten, solltest du im Anschluss an das Audit Verantwortlichkeiten für einzelne Maßnahmen festlegen. Klar definierte Fristen helfen ebenfalls bei der Implementierung. Nicht zuletzt sollten Sie stets genau nachverfolgen, ob die vereinbarten Schritte getätigt werden.
5. Die Dokumentation und Überprüfung des Prozesses
Der fünfte Schritt bei einem Datenschutz-Audit umfasst die Dokumentation des Prüfprozesses und seiner Ergebnisse. Dieser Auditbericht ist wichtig für Ihre interne Auswertung und hilft dabei, datenschutzrechtliche Verstöße zu verhindern. Der Bericht kann aber auch gegenüber Behörden zum Tragen kommen. Bei einem möglichen DSGVO-Verstoß entkräftet Ihr Unternehmen damit unter Umständen einen Fahrlässigkeitsvorwurf, wodurch das Bußgeldrisiko möglicherweise sinken kann. Außerdem kommt Ihr Unternehmen so seiner Rechenschaftspflicht gemäß der DSGVO nach.
Nicht zuletzt dienen Datenschutz-Auditberichte auch dazu, das Vertrauen in die Sicherheit der Datenverarbeitung zu erhöhen.
Best Practices: Wie lässt sich ein Datenschutz-Audit bestmöglich gestalten?
Sie müssen bei einem Datenschutz-Audit nicht von null anfangen. In den vergangenen Jahren haben sich bereits einige Best Practices herauskristallisiert, die Sie auf Ihr Unternehmen übertragen können.
Binden Sie Prozessverantwortliche ein
Insbesondere bei der Feststellung des Ist-Zustandes gilt: Binden Sie diejenigen Mitarbeitenden ein, die täglich mit tatsächlichen Datenströmen arbeiten und daher den Ist-Zustand bestmöglich kennen. Neben Abteilungsleiter:innen sollten Sie daher auch beispielsweise Process Owner zurate ziehen, um ein möglichst umfassendes und realistisches Bild zu erhalten. Dadurch sensibilisieren Sie diese Mitarbeitenden schon früh für den Datenschutz und steigern die Wahrscheinlichkeit, dass sie die aus dem Audit folgenden Maßnahmen annehmen und umsetzen.
Wann eignet sich ein Interview als Audit-Methode?
Sie können das Datenschutz-Audit in Ihrem Unternehmen auf verschiedene Arten durchführen. Nutzen Sie Interviews, wenn
in Ihrem Unternehmen bisher eine eher geringe Datenschutz-Awareness und -Reife besteht, da Sie als Auditor so zentrale Prozesse identifizieren können,
Sie eine echte Momentaufnahme mit unmittelbaren Antworten erhalten und kritische Rückfragen stellen möchten,
die Digitalkompetenz der Belegschaft eher gering ist,
wenig Bereitschaft zur Mitarbeit beim Datenschutz besteht,
die Anzahl der Ansprechpartner:innen überschaubar ist,
Sie eine persönliche Verbindung zur betroffenen Abteilung herstellen möchten, da voraussichtlich Verbesserungsmaßnahmen ergriffen werden müssen und Sie dafür die Grundlage legen wollen.
Wann eignet sich der Versand von Fragebögen als Audit-Methode?
Sie können das Datenschutz-Audit auch mithilfe eines Fragebogens als Selbstauskunft durchführen, den Sie an die Mitarbeitenden in den Fachabteilungen senden. Diese Methode eignet sich besonders, wenn
Sie eine große Anzahl an Personen oder Abteilungen erreichen möchten beziehungsweise verschiedene juristische Personen oder Standorte abgedeckt werden sollen,
Sie sich ein globales Bild über das Unternehmen verschaffen wollen,
Sie beabsichtigen, Ihre Ergebnisse mithilfe quantitativer Metriken durch aggregierte Datenauswertung zu erfassen,
Sie zunächst nur eine Vorab-Prüfung durchführen möchten, um festzustellen, an welchen Stellen ein Interview-Audit nötig ist.
Nutzen Sie eine Software zur (Teil-)Automatisierung des Prozesses
Wenn Sie Ihr Datenschutzmanagement mit einer Softwarelösung betreiben, erleichtert Ihnen das die Erfassung des Ist-Zustandes. Dann findet sich beispielsweise der Hinweis, dass es in der Marketing-Abteilung Ihres Unternehmens nur zwei Verarbeitungstätigkeiten gibt. Oder das Programm liefert Ihnen adaptive Fragebögen, die auf die Anforderungen von Organisationen und Bereichen zugeschnitten sind.
Wie maximiere ich die Teilnahmequote bei Datenschutz-Audits?
Jedes Datenschutz-Audit lebt von der Teilnahme der befragten Mitarbeitenden. Um diese Quote zu steigern, sollten Sie das Audit mit ausreichend Vorlauf planen. Teilen Sie auch die Ziele des Audits mit und heben hervor, welche Bedeutung es für Ihr Unternehmen und die Mitarbeitenden besitzt. Kommunizieren Sie zudem das Commitment von C-Level-Kräften, beispielsweise über das Intranet. Ein gutes Fristenmanagement unterstützt den reibungslosen Ablauf eines Datenschutz-Audits. Senden Sie automatische Reminder, beispielsweise fünf, zwei und einen Tag vor dem Ende der Abgabefrist.
Nicht zuletzt sollten Sie darauf achten, im Fragebogen oder auch in den Interviews eine verständliche Sprache zu verwenden. Dazu können Hinweistexte mit Erklärungen und Beispielen maßgeblich beitragen. In manchen Fällen ist jedoch vor dem Audit ein Webinar bzw. Meeting nötig, um die Mitarbeitenden vorzubereiten. Um mögliche Probleme bei der Verständlichkeit oder der Nutzbarkeit des Tools zu identifizieren, können Sie Ihren Fragebogen vorab an Probanden testen.
Um mit Blick auf zukünftige Audits den Prozess zu verbessern, lohnt es sich abschließend ein Feedback einzuholen.
Maßnahmen zur Steigerung der Audit-Effektivität
Damit das Datenschutz-Audit seine volle Wirkung erzielen kann, sollten Sie Ihre Ergebnisse sowie mögliche Maßnahmen und potenzielle Risiken an die Mitarbeitenden kommunizieren. Außerdem ist es wichtig, das C-Level-Commitment sicherzustellen und dafür Sorge zu tragen, dass Risiken korrekt priorisiert und ausreichend Ressourcen bereitgestellt werden.
Darüber hinaus hat es sich bewährt, nach dem Audit gemeinsam mit allen Verantwortlichen einen Projektplan mit einer klaren Timeline und konkreten Fristen zu erstellen.
Dabei ist es von Beginn an von besonderer Bedeutung, in der Kommunikation einen angemessenen Ton zu treffen: Nur wenn Mitarbeitende Vertrauen in das Audit-Team haben und keine persönlichen Konsequenzen für datenschutzrechtliche “Missstände” fürchten müssen, werden Sie zur vollen Transparenzschaffung beitragen.
Führen Sie regelmäßige Audits durch
Ein Audit ist gut, regelmäßige Datenschutz-Audits sind besser! Etablieren Sie daher turnusmäßige Prüfprozesse als dauerhaften Einsatz für rechtskonformen Datenschutz in Ihrem Unternehmen. Dadurch nehmen Sie auch den Druck von einzelnen Audits, die gemeinsam mit der Datenschutz-Kompetenz in Ihrem Unternehmen wachsen können. Mithilfe des vorgestellten PDCA-Zyklus identifizieren Sie stets verlässlich die nächsten Verbesserungsschritte.
Denken Sie stets daran: Datenschutz-Audits sind unerlässlich für einen korrekten Umgang mit personenbezogenen Daten, senken das Bußgeldrisiko und stärken das Vertrauen Ihrer Kund:innen und Partner:innen in Ihrem Unternehmen.
en_US
