Risikoklassifizierung von KI-Anwendungsfällen - AI Act Best Practices
Zum Webinar anmelden

In 10 Fragen zur passenden Datenschutz-Auditmethode

von Dennis Kurpierz, Co-Founder & COO
30. Juni 2023
8 Minuten
Mit einem Datenschutz-Audit stellst du sicher, dass in deinem Unternehmen die gesetzlichen Vorgaben aus DSGVO und Co. erfüllt werden. Je nach deiner Zielsetzung eignen sich unterschiedliche Auditmethoden. Die folgenden 10 Fragen helfen dir bei der Entscheidung, ob du das Audit per Fragebogen oder Interview durchführst.

Audit per Interview vs. Fragebogen – so unterscheiden sich die Auditmethoden

Damit du dich für eine Auditmethode entscheiden kannst, musst du den Prozess gut vorbereiten. Konkretisiere dazu das Ziel und bestimme den Umfang des Audits: Welche Prozesse möchtest du untersuchen? Und in welche Abteilungen gilt es dafür zu blicken? Am wichtigsten ist jedoch, die Auditmethode festzulegen. Welche sich am besten eignet, hängt von verschiedenen Faktoren ab. Mithilfe der folgenden 10 Fragen findest du die passende Methode für dein Datenschutz-Audit.

1. Wie groß ist die Datenschutz-Awareness in deinem Unternehmen?

Wenn die Datenschutz-Awareness in deinem Unternehmen eher gering ist, solltest du die Auditmethode Interview wählen. Denn dabei hast du die Möglichkeit, die Befragten stärker anzuleiten und ihre Rückfragen ad hoc zu beantworten. Gibt es Verständnisprobleme aufgrund eines unbekannten Fachbegriffs? Oder benötigt ein:e Mitarbeitende:r zusätzliche Hintergrundinformationen, um eine Frage zu beantworten? Während des Interviews kannst du Unklarheiten aus dem Weg räumen, eventuell notwendige Zusatzinformationen geben und so die Grundlage dafür schaffen, dass du qualitativ hochwertige Antworten erhältst.

Außerdem kannst du als Interviewer:in im Gespräch mit Mitarbeitenden selbst festlegen, welche Schwerpunkte du setzen und an welchen Stellen du Nachfragen stellen möchtest. So identifizierst du zentrale Prozesse, die aus datenschutzrechtlicher Perspektive für das Audit relevant sind.

2. Wie hoch ist die Digitalkompetenz in deinem Unternehmen?

Eine geringe Digitalkompetenz bei den Mitarbeitenden in deinem Unternehmen spricht ebenfalls dafür, das Audit per Interview durchzuführen. So können sich die Befragten ganz auf ihre Antworten konzentrieren und du kannst an den entscheidenden Punkten Hilfestellung geben und Rückfragen beantworten. Dies ist insbesondere wichtig, wenn die Mitarbeitenden nicht dafür ausgebildet sind, technische Risiken einzuschätzen. Aus diesem Grund sollten Auditor:innen selbst über eine hohe Digitalkompetenz verfügen. Das versetzt sie in die Lage, die Befragten inhaltlich und methodisch optimal zu unterstützen.

3. Möchtest du kritische Rückfragen stellen und stark in die Tiefe gehen?

Der Interviewprozess ermöglicht kritische Rückfragen und Schleifen, bei denen ein Thema von mehreren Seiten beleuchtet wird. Dies ist einer der zentralen Vorteile gegenüber einem Datenschutz-Audit mit Fragebogen. Wenn dein Anspruch an das DSGVO-Audit ein echter Deep Dive ist, anstatt lediglich einen allgemeinen Eindruck zu gewinnen, eignet sich das Interview als Auditmethode am besten.

4. Soll eine große Anzahl an Personen und Abteilungen befragt werden?

Ein Audit mittels Fragebogen ist besonders tauglich dafür, eine große Anzahl an Mitarbeitenden zu befragen. Beim Erstellen des Audit-Fragebogens ist vernachlässigbar, an wie viele Personen er geschickt wird. Erst bei der Auswertung kommt die Anzahl der auditierten Personen zum Tragen. Wenn du ein digitales Tool mit automatisierten Auswertungen nutzt, wird dieser Faktor abgefangen.

Interviews hingegen sind mit einem größeren Aufwand verbunden, vorrangig weil sie individuell terminiert und durchgeführt werden müssen. Daher eignen sie sich eher für intensive Audits mit wenigen Personen als für Befragungen in großem Rahmen.

5. Möchtest du vergleichbare Daten sammeln, die du systematisch auswerten kannst?

Ein Interview bietet dir die Option, durch spontane Zwischenfragen stark ins Detail zu gehen. Dadurch entwickeln sich die einzelnen Gespräche jedoch teils unterschiedlich, was der Vergleichbarkeit der Antworten schadet. Durch den formellen Aufbau eines Fragebogens hingegen ist er vor allem dienlich bei einer systematische Auswertung. Gerade wenn du mit standardisierten Fragen und einem digitalen Tool arbeitest, fällt die Analyse eines Datenschutz-Audits mit Fragebogen extrem leicht.

6. Wie groß ist die Bereitschaft, Maßnahmen für mehr Datenschutz zu ergreifen?

Wenn die Bereitschaft der Mitarbeitenden, zusätzliche Maßnahmen für mehr Datenschutz in deinem Unternehmen umzusetzen, eher gering ist, ist ein Fragebogen weniger das Mittel der Wahl für das Audit: Bei einem Fragebogen fällt es leichter, Fragen oberflächlich oder ausweichend zu beantworten. Verschaffe dir daher zunächst einen Überblick über die Akzeptanz für Datenschutz, bevor du dich für eine der beiden Auditmethoden entscheidest. Engagierte Mitarbeitende können auch bei einem schriftlichen Fragebogen qualitativ hochwertige Antworten geben, die deinen Ansprüchen genügen.

Falls Datenschutz in deinem Unternehmen keinen guten Stand hat, lohnt es sich, seine Bedeutung zunächst in einem anderen Format zu vermitteln. Dies kann mit einem Vortrag oder in einem offenen Forum geschehen.

7. Möchtest du eine unmittelbare Momentaufnahme von Prozessen im Unternehmen bekommen?

Eine unmittelbare Momentaufnahme gewinnst du am besten, wenn du die Mitarbeitenden interviewst. Dann beantworten sie deine Fragen nämlich direkt und intuitiv. Wenn du ihnen jedoch einen Fragebogen vorlegst, haben sie mehr Zeit, sich Antworten zu überlegen, die sie für richtig oder angebracht halten. Dabei besteht die Gefahr, dass diese Antworten die angestrebte ideale Praxis widerspiegeln und nicht die Realität des täglichen Geschäfts. Zudem haben die Mitarbeitenden so die Möglichkeit und die Zeit, sich untereinander abzusprechen – das könnte das Ergebnis verfälschen, auch wenn dies nicht in mutwilliger Absicht geschieht.

8. Wie viel Zeit und Ressourcen kannst du aufbringen?

Ein Interview-gestütztes Datenschutz-Audit erfordert mehr Ressourcen, als wenn du es mittels eines Fragebogens realisierst. Die Terminvereinbarung, die Durchführung und erst recht die Auswertung erfordern mehr Zeit, wenn das Audit mithilfe von persönlichen Gesprächen geschieht. Kläre daher vor der Entscheidung für eine der beiden Auditmethoden, wie viel Zeit und Ressourcen du aufbringen kannst und möchtest.

9. Gibt es schwerwiegende Konflikte, für die eine Anonymisierung der Befragten nötig ist?

In manchen Fällen existieren in einem Unternehmen in Datenschutzfragen große Konflikte. Um dem Problem auf den Grund zu gehen, solltest du dann bei deinem Audit geschickt vorgehen. Eine Anonymisierung der Antworten hilft mitunter dabei, besonders ehrliche Antworten zu erhalten. So haben Mitarbeitende die Gelegenheit, auf Vergehen bestimmter Abteilungen hinweisen, ohne sich um ihre Rolle im Unternehmen sorgen zu müssen. Dieser Schutz der Identität ist nur beim Datenschutz-Audit per Fragebogen möglich.

10. Möchtest du ein persönliches Vertrauensverhältnis zu den Befragten aufbauen?

Gerade wenn Umstrukturierungen und Prozessänderungen zu erwarten sind, ist es oft hilfreich, ein persönliches Vertrauensverhältnis zu den betroffenen Mitarbeitenden aufzubauen. Dafür eignet sich ein Interview, bei dem du von Angesicht zu Angesicht mit den Personen sprichst und kommunikative Nähe erzeugen kannst.
Gut zu wissen:

Es macht einen Unterschied, ob du den Ist- oder den Soll-Zustand in deinem Unternehmen untersuchst. Wenn der Ist-Zustand auditiert wird, ist es sinnvoll, mit dem verantwortlichen Fachbereich in die Systeme hineinzusehen. Dann kommt es auf direkte Kommunikation und einen gemeinsam koordinierten Prozess an.

Die richtige Auditmethode für deine Ziele

Die genannten 10 Fragen unterstützen dich dabei, die richtige Auditmethode für dein Unternehmen zu finden. Bedenke dabei, dass auch eine Kombination beider Formen umsetzbar ist. Du kannst dir beispielsweise erst mit einem Fragebogen einen allgemeinen Überblick verschaffen und etwaige Konfliktfelder identifizieren, die du danach konkret in Interviews untersuchst. Welche Auditmethode du wählst, hängt dabei von den Mitarbeitenden und den verfügbaren Ressourcen ab. Worauf du abgesehen von der passenden Auditmethode zudem achten musst, erfährst du in unserem umfassenden Artikel zum Thema Datenschutz-Audit. Wichtig ist, das Ziel nicht aus den Augen zu verlieren: Prozesse datenschutzrechtlich zu optimieren und dein Unternehmen damit voranzubringen.
Auf dieser Seite
Primary Item (H2)

Über den Autor

Dennis Kurpierz
Co-Founder & COO von caralegal
Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Betroffenenanfragen – der Erfolgsguide
Mehr erfahren
7 SDM-Gewährleistungsziele
Mehr erfahren
Auf einen Blick: Schwellwertanalyse
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum