“Ein verantwortungsvoller Umgang mit Daten muss die Norm werden. Mit unseren Lösungen befähigen wir Unternehmen schon heute dazu.”
Kathrin Schürmann
Geschäftsführerin caralegal GmbH
Das Datenschutz-Audit ist eine der wichtigsten Methoden, um die korrekte Umsetzung von Datenschutzvorgaben in Unternehmen sicherzustellen. Dabei gibt es für unterschiedliche Firmen und Zielsetzungen verschiedene Arten der Auditierung, die Datenschutzbeauftragte kennen sollten. In diesem Artikel erfährst du, wie du ein Audit durchführst und dabei alle Mitarbeitenden ins Boot holst.
Datenschutz-Audit ist nicht gleich Datenschutz-Audit. Tatsächlich gibt es mehrere Arten, die in Unternehmen regelmäßig praktiziert werden:
Datenschutz-Audit zur Bestandsaufnahme: Eine solche Prüfung dient dazu, den aktuellen Stand von Datenschutz-Maßnahmen in deinem Unternehmen festzustellen. Im Zuge dieser Gap-Analyse machst du zudem Lücken in deinem Datenschutzmanagement aus.
Audit zur Kontrolle des Datenschutzmanagementsystems (DSMS): Bei dieser Überprüfung wird die Wirksamkeit eines bestehenden DSMS überprüft. Der Umfang kann zwischen dem gesamten Unternehmen oder einzelnen Fachbereichen variieren.
Dienstleister-Audit: Die Kontrolle für Dienstleister und Auftragsverarbeiter ist wichtig, um Datenschutz im gesamten Verarbeitungsprozess zu gewährleisten. Mit einem Dienstleister-Audit stellst du unter anderem sicher, dass ein von deinem Unternehmen beauftragter Dienstleister geeignete technische und organisatorische Maßnahmen (TOMs) umsetzt.
TOM-Audit: Bei dieser Audit-Art werden TOMs in Bezug auf ihre Effektivität analysiert. Sorgen sie erfolgreich dafür, dass das angemessene Schutzniveau nach §32 DSGVO eingehalten wird? Oder lassen sich noch Lücken ausmachen, die behoben werden müssen?
Datenschutz-Audit zum Erhalt von Zertifizierung: Zahlreiche Unternehmenszertifikate fordern einen Mindeststandard im Datenschutzmanagement. Derartige zweckgebundene Datenschutz-Audits werden durchgeführt, wenn die Umsetzung von Maßnahmenkatalogen sichergestellt werden soll.
Ein Datenschutz-Audit muss aktiv angestoßen sowie ordentlich geplant und durchgeführt werden. Wer die Verantwortung dafür trägt, hängt vor allem von der Größe des Unternehmens ab.
Ein Datenschutz-Audit wird in der Regel von externen Datenschutzbeauftragten (DSB) bei Ihren Mandanten eingesetzt, um bei dem Beginn der Tätigkeit den aktuellen Stand im Datenschutzmanagement festzustellen. Außerdem ergibt sich aus dem Audit eine Liste an Verbesserungsmaßnahmen, die in der weiteren Zusammenarbeit sukzessive abgearbeitet werden können.
Größere Organisationen verfügen häufig über eine:n interne:n DSB oder gar über ein ganzes Datenschutz-Team. Dann liegt die Verantwortung für das Datenschutz-Audit in dessen Händen. Wenn dein Unternehmen ein DSMS im Sinne des PDCA-Zyklus eingeführt hat, sollten Audits regelmäßig durchgeführt werden. PDCA steht dabei für „Plan-Do-Check-Act“, eine Methode zur Weiterentwicklung von Prozessen mit sich wiederholenden Phasen, die zu einer kontinuierlichen Verbesserung führen (sollen).
Der Ablauf eines Datenschutz-Audits lässt sich in fünf Phasen unterteilen, die einen reibungslosen Ablauf und die Verbesserung des Datenschutzes im Unternehmen sicherstellen sollen.
Zu Beginn des Prozesses legst du als verantwortliche:r Datenschützer:in den Umfang (auch Scope genannt) und das Ziel des Audits fest. Zu diesem Zweck klärst du, ob das gesamte Unternehmen überprüft werden soll oder nur spezielle Abteilungen. Du ermittelst zudem, welche Personen im Rahmen des Datenschutz-Audits befragt werden sollen.
Zur Vorbereitung gehört auch, die Methode festzulegen: Möchtest du einen Fragebogen nutzen, der von den Beteiligten selbst ausgefüllt wird, oder Interviews führen? Es steht dir offen, unterstützende Tools festzulegen. Willst du beispielsweise auf Word beziehungsweise Excel setzen, oder nutzt du für dein Datenschutz-Audit eine Software wie caralegal?
Durch die IST-Analyse stellst du fest, ob dein Unternehmen in rechtlicher und tatsächlicher Hinsicht ein angemessenes Datenschutzniveau gewährleistet. „Tatsächlich“ meint vor allem, ob ausreichend TOMs ergriffen und wirklich umgesetzt werden. Aus „rechtlichem“ Blickwinkel überprüfst du unter anderem die Einhaltung des Transparenzgrundsatzes der DSGVO und die Reichweite von Einwilligungen, die dein Unternehmen von Personen einholt. Eine der großen Fragen, die du in der zweiten Phase des Datenschutz-Audits stellst, lautet: Sind alle Prozesse und Verarbeitungen so dokumentiert, dass die rechtlichen Anforderungen eingehalten werden? Dazu gehört auch, dass dein Unternehmen beispielsweise mit Bezug auf das Verzeichnis von Verarbeitungstätigkeiten (VVTs), Datenschutz-Folgenabschätzungen und Löschkonzepte seiner Rechenschaftspflicht nachkommt.
Kernfrage des Datenschutz-Audits ist jedoch: Setzt dein Unternehmen tatsächlich alles so um, wie es dokumentiert wurde? Dabei rückt also die Praxis in den Fokus der Untersuchung. Als Datenschützer:in prüfst du, ob das Gesetz in der Dokumentation umgesetzt wird und ob die alltägliche Arbeit der Dokumentation entspricht.
Du kannst dir zu diesem Zweck eine Datenschutz-Audit-Checkliste erstellen. Diese sollte für die Überprüfung der Verarbeitungstätigkeiten (VTs) in deinem Unternehmen Fragen wie diese enthalten:
Wurden für alle Abteilungen VTs dokumentiert?
Sind diese VTs vollständig?
Erfüllen die VTs die Anforderungen der DSGVO?
Sind interne Zuständigkeiten für VTs geklärt?
Gibt es einen regelmäßigen Überprüfungszyklus?
Die Analyse der Ergebnisse deines Datenschutz-Audits erfolgt auf Grundlage deiner in der Vorbereitungsphase gesetzten Ziele. High-Level Gap-Analysen haben – wie der Name schon sagt – primär den Zweck, Lücken im praktizierten Datenschutzmanagement zu identifizieren. Das gilt insbesondere in Bezug auf die Datenschutzdokumentation und -prozesse, die dein Unternehmen erstellt. Aus einem solchen Datenschutz-Audit ergibt sich in der Regel ein Maßnahmenkatalog, dessen Umsetzung du im Anschluss einleiten musst.
Wenn du mit deinem Audit einzelne Fachbereiche tiefergehend prüfen möchtest, geht es vor allem um Detailfragen zur Datenverarbeitung in der jeweiligen Abteilung. Dementsprechend sollte dein Bericht über die Audit-Ergebnisse detaillierter ausfallen als bei einer unternehmensweiten Gap-Analyse. Auch die zu treffenden Maßnahmen musst du in diesem Fall detaillierter formulieren und begründen.
Um nach dem Datenschutz-Audit Verbesserungen vorzunehmen, solltest du die erforderlichen Maßnahmen zunächst nach ihrem datenschutztechnischen Risiko priorisieren: Formuliere als erstes den Soll-Zustand, den du erreichen möchtest, und leite davon geeignete Maßnahmen ab.
Beseitige so schnell wie möglich etwaige Bußgeldrisiken.
Priorisiere sensible Daten (Art. 9) vor weniger sensiblen Daten.
Behebe Probleme bei der Verarbeitung externer Daten, bevor du dich um interne kümmerst – solange kein gegenteiliger Priorisierungsgrund vorliegt.
Stelle sicher, dass du gegebenenfalls erforderliche Auftragsverarbeitungsverträge abgeschlossen hast und diese auch vorlegen kannst, wenn eine Behörde sie anfragt.
Um die Umsetzung zu gewährleisten, solltest du im Anschluss an das Audit Verantwortlichkeiten für einzelne Maßnahmen festlegen. Klar definierte Fristen helfen ebenfalls bei der Implementierung. Nicht zuletzt solltest du stets genau nachverfolgen, ob die vereinbarten Schritte getätigt werden.
Der fünfte Schritt bei einem Datenschutz-Audit umfasst die Dokumentation des Prüfprozesses und seiner Ergebnisse. Dieser Auditbericht ist wichtig für deine interne Auswertung und hilft dabei, datenschutzrechtliche Verstöße zu verhindern. Der Bericht kann aber auch gegenüber Behörden zum Tragen kommen. Bei einem möglichen DSGVO-Verstoß entkräftet dein Unternehmen damit unter Umständen einen Fahrlässigkeitsvorwurf, wodurch das Bußgeldrisiko möglicherweise sinken kann. Außerdem kommt dein Unternehmen so seiner Rechenschaftspflicht gemäß der DSGVO nach.
Nicht zuletzt dienen Datenschutz-Auditberichte auch dazu, das Vertrauen in die Sicherheit der Datenverarbeitung zu erhöhen.
Du musst bei einem Datenschutz-Audit nicht von null anfangen. In den vergangenen Jahren haben sich bereits einige Best Practices herauskristallisiert, die du auf dein Unternehmen übertragen kannst.
Insbesondere bei der Feststellung des Ist-Zustandes gilt: Binde diejenigen Mitarbeitenden ein, die täglich mit tatsächlichen Datenströmen arbeiten und daher den Ist-Zustand bestmöglich kennen. Neben Abteilungsleiter:innen solltest du daher auch beispielsweise Process Owner zurate ziehen, um ein möglichst umfassendes und realistisches Bild zu erhalten. Dadurch sensibilisierst du diese Mitarbeitenden schon früh für den Datenschutz und steigerst die Wahrscheinlichkeit, dass sie die aus dem Audit folgenden Maßnahmen annehmen und umsetzen.
Du kannst das Datenschutz-Audit in deinem Unternehmen auf verschiedene Arten durchführen. Nutze Interviews, wenn
in deinem Unternehmen bisher eine eher geringe Datenschutz-Awareness und -Reife besteht, da du als Auditor so zentrale Prozesse identifizieren kannst,
du eine echte Momentaufnahme mit unmittelbaren Antworten erhalten und kritische Rückfragen stellen möchtest,
die Digitalkompetenz der Belegschaft eher gering ist,
wenig Bereitschaft zur Mitarbeit beim Datenschutz besteht,
die Anzahl der Ansprechpartner:innen überschaubar ist,
du eine persönliche Verbindung zur betroffenen Abteilung herstellen möchtest, da voraussichtlich Verbesserungsmaßnahmen ergriffen werden müssen und du dafür die Grundlage legen willst.
Du kannst das Datenschutz-Audit auch mithilfe eines Fragebogens als Selbstauskunft durchführen, den du an die Mitarbeitenden in den Fachabteilungen sendest. Diese Methode eignet sich besonders, wenn
du eine große Anzahl an Personen oder Abteilungen erreichen möchtest beziehungsweise verschiedene juristische Personen oder Standorte abgedeckt werden sollen,
du dir ein globales Bild über das Unternehmen verschaffen willst,
du beabsichtigst, deine Ergebnisse mithilfe quantitativer Metriken durch aggregierte Datenauswertung zu erfassen,
du zunächst nur eine Vorab-Prüfung durchführen möchtest, um festzustellen, an welchen Stellen ein Interview-Audit nötig ist.
Wenn du dein Datenschutzmanagement mit einer Softwarelösung betreibst, erleichtert dir das die Erfassung des Ist-Zustandes. Dann findet sich beispielsweise der Hinweis, dass es in der Marketing-Abteilung deines Unternehmens nur zwei Verarbeitungstätigkeiten gibt. Oder das Programm liefert dir adaptive Fragebögen, die auf die Anforderungen von Organisationen und Bereichen zugeschnitten sind.
Jedes Datenschutz-Audit lebt von der Teilnahme der befragten Mitarbeitenden. Um diese Quote zu steigern, solltest du das Audit mit ausreichend Vorlauf planen. Teile auch die Ziele des Audits mit und hebe hervor, welche Bedeutung es für dein Unternehmen und die Mitarbeitenden besitzt. Kommuniziere zudem das Commitment von C-Level-Kräften, beispielsweise über das Intranet. Ein gutes Fristenmanagement unterstützt den reibungslosen Ablauf eines Datenschutz-Audits. Sende automatische Reminder, beispielsweise fünf, zwei und einen Tag vor dem Ende der Abgabefrist.
Nicht zuletzt solltest du darauf achten, im Fragebogen oder auch in den Interviews eine verständliche Sprache zu verwenden. Dazu können Hinweistexte mit Erklärungen und Beispielen maßgeblich beitragen. In manchen Fällen ist jedoch vor dem Audit ein Webinar bzw. Meeting nötig, um die Mitarbeitenden vorzubereiten. Um mögliche Probleme bei der Verständlichkeit oder der Nutzbarkeit des Tools zu identifizieren, kannst du deinen Fragebogen vorab an Probanden testen.
Um mit Blick auf zukünftige Audits den Prozess zu verbessern, lohnt es sich abschließend ein Feedback einzuholen.
Damit das Datenschutz-Audit seine volle Wirkung erzielen kann, solltest du deine Ergebnisse sowie mögliche Maßnahmen und potenzielle Risiken an die Mitarbeitenden kommunizieren. Außerdem ist es wichtig, das C-Level-Commitment sicherzustellen und dafür Sorge zu tragen, dass Risiken korrekt priorisiert und ausreichend Ressourcen bereitgestellt werden.
Darüber hinaus hat es sich bewährt, nach dem Audit gemeinsam mit allen Verantwortlichen einen Projektplan mit einer klaren Timeline und konkreten Fristen zu erstellen.
Dabei ist es von Beginn an von besonderer Bedeutung, in der Kommunikation einen angemessenen Ton zu treffen: Nur wenn Mitarbeitende Vertrauen in das Audit-Team haben und keine persönlichen Konsequenzen für datenschutzrechtliche “Missstände” fürchten müssen, werden Sie zur vollen Transparenzschaffung beitragen.
Ein Audit ist gut, regelmäßige Datenschutz-Audits sind besser! Etabliere daher turnusmäßige Prüfprozesse als dauerhaften Einsatz für rechtskonformen Datenschutz in deinem Unternehmen. Dadurch nimmst du auch den Druck von einzelnen Audits, die gemeinsam mit der Datenschutz-Kompetenz in deinem Unternehmen wachsen können. Mithilfe des vorgestellten PDCA-Zyklus identifizierst du stets verlässlich die nächsten Verbesserungsschritte.
Denke stets daran: Datenschutz-Audits sind unerlässlich für einen korrekten Umgang mit personenbezogenen Daten, senken das Bußgeldrisiko und stärken das Vertrauen deiner Kund:innen und Partner:innen in dein Unternehmen.
Entdecke weitere Beiträge zu diesem Thema:
en_US
