Das Verfahrensverzeichnis ist angelegt, die Prozesse beschrieben und alle Einwilligungen unterzeichnet? Herzlichen Glückwunsch! Ob dieser optimale Zustand tatsächlich durchgehend umgesetzt ist und auch über mehrere Monate aufrecht erhalten bleibt, kann nur ein Datenschutzaudit zeigen.

In diesem Beitrag möchten wir Sie über die wichtigsten Punkte zum Datenschutzaudit informieren:

• Wer darf ein Datenschutzaudit durchführen?
• Wie oft muss geprüft werden?
• Was muss geprüft werden?
• Wie geht man mit dem Audit-Ergebnis um?

Auf den Punkt gebracht: Datenschutzaudit in der Praxis

Warum muss überhaupt ein Datenschutzaudit durchgeführt werden?

Diese Frage würde ich ungern auf einen Paragraphen oder eine Vorgabe zurück führen. Recherchiert man im Internet, kommt man schnell zur Aussage, die Durchführung eines Datenschutzaudits sei freiwillig. Das ist aber nur die halbe Wahrheit.

Rechtliche Grundlage

Nach Art. 5 DSGVO unterliegen Sie der Rechenschaftspflicht, das heißt, Sie müssen nachweisen, dass Sie die Vorgaben des Datenschutzes umsetzen. Einmal ein Datenschutzmanagement zu implementieren und dann fünf Jahre lang nichts mehr zu tun, wird nicht ausreichen. Wie können Sie also nachweisen, dass Sie auf dem aktuellen Stand sind? Da führt der Weg sehr schnell zu einem Datenschutzaudit.

Wenn Sie noch dazu in der Pflicht stehen, einen Datenschutzbeauftragten zu benennen oder freiwillig einen benannt haben, muss dieser die Einhaltung der Datenschutzvorgaben überwachen (Art. 39 Abs. 1 lit. b DSGVO). Das heißt, Sie als Unternehmen sind vielleicht indirekt verpflichtet, ein Datenschutzaudit auf Basis Art. 5 DSGVO Abs. 2 durchzuführen. Wir als Ihre Datenschutzbeauftragten müssen uns allerdings davon überzeugen, dass Sie die Vorgaben umsetzen. Dazu nutzen wir unter anderem die Datenschutzaudits als Werkzeug.

Über diesen Weg wird ein Datenschutzaudit trotz der genannten Freiwilligkeit für Sie als Unternehmen zwingend.

Kundeninteresse

Regelmäßig begleiten wir Kunden, die von ihren Kunden zum Thema Datenschutz auditiert werden. Das ist natürlich noch einmal eine andere Situation.

Der Kunde möchte, dass seine Daten entsprechend geschützt und behandelt werden. Aus unserer Erfahrung sind diese Audits strenger als interne Audits.

Zertifizierung zum Datenschutz

Laut Artikel 42 DSGVO kann man sich auch offiziell zum Datenschutz zertifizieren lassen. Dies dient gerade für Auftragsverarbeiter als Nachweis ihren Kunden gegenüber, dass die gesetzlichen Vorgaben eingehalten werden.

Als Kunde wiederum erfüllt man in der Regel seine Pflicht der Prüfung des Auftragsverarbeiters, wenn dieser ein aktuelles Zertifikat nach Art. 42 DSGVO vorlegen kann.

Der Markt zur Zertifizierung entsprechend der DSGVO Art. 42 befindet sich im Umbruch. Inzwischen gibt es auch eine Datenschutz-Zertifizierung, die den Anforderungen dieses Artikels nachkommt.

Allein ein ISO 27001 oder ein darauf aufgesetztes Datenschutzmanagement nach ISO 27701 reichen in der Regel nicht aus, um die Anforderungen aus Art. 42 DSGVO zu erfüllen. Da wir mit den Zertifizierungen (bezüglich Datenschutz) noch am Anfang stehen, wird die nächsten Jahre sicherlich noch einiges passieren.

Viel weiter möchte ich an dieser Stelle aber nicht in die Tiefe gehen.

Zweck von Datenschutzaudits: Schutz der Personen und kontinuierliche Verbesserung

Ich weiß schon, Sie wollen und können es gar nicht mehr hören (oder lesen). Trotzdem schreibe ich es hier. Sie machen ja den Datenschutz nicht zum Selbstzweck. Sie wollen die Personen schützen, deren Daten Sie verarbeiten. Aber Sie sollten auch den Anspruch an sich selbst haben, den Schutz und den Standard aufrecht zu halten. Das geht nur, wenn man sich selbst regelmäßig in Frage stellt. Wie sollte das besser gelingen als mit einem objektiven Blick von außen?

Wer darf ein Datenschutzaudit durchführen?

Kurz gesagt, dafür qualifizierte Personen.

Die Fachkunde zum Datenschutz muss nachweisbar sein. Wie und in welcher Form, ist nicht genau festgeschrieben. Eine Aus- oder Fortbildung zum Datenschutzbeauftragten sollte aber trotzdem in irgendeiner Form vorzeigbar sein. Wie man die Fachkunde als Datenschutzbeauftragter nachweist und aufrecht erhält, haben wir in einem eigenen Artikel beschrieben.

Persönlich finde ich es gut, wenn der Auditor mindestens eine Ausbildung zum internen Auditor vorweisen kann. Egal, ob er diese im QM-, ISMS- oder in einem sonstigen Fachbereich absolviert hat. Die grundlegende Durchführung und Planung von Audits kann damit nachgewiesen werden.

Wichtig – wie in jedem Audit – ist die Objektivität. Ein Auditor kann sich nicht selber prüfen. Er kann also keine Punkte prüfen, für die er in der Praxis selbst verantwortlich ist. In der Regel ist das beim Datenschutzbeauftragten nicht der Fall. Er ist nicht der Verantwortliche für die Datenverarbeitung und für die Umsetzung von Maßnahmen. Daher passt es im Betrieb sehr gut, wenn der DSB auch das Datenschutzaudit durchführt.

Darf ein ISB (Informationssicherheitsbeauftragter) ein Datenschutzaudit durchführen?

Na ja, wenn er die fachliche Kompetenz im Datenschutz hat, dann sicherlich. Ob dies der Fall ist, wage ich zu bezweifeln. Beide Themen (ISMS und Datenschutz) sind zwar irgendwie ähnlich, aber sie unterscheiden sich natürlich fachlich im Detail.

Meiner Einschätzung nach macht es auf jeden Fall Sinn, wenn der ISB oder IT-Sicherheitsbeauftragte die technischen und organisatorischen Maßnahmen kontrolliert und prüft. Das ist sein Fachgebiet. Ob er allerdings die Kompetenz hat, ein komplettes Datenschutzaudit zu führen, stelle ich mal in Frage.

Wie sieht ein Prozessablauf für ein Datenschutzaudit aus?

Egal ob Qualität, Arbeitsschutz oder Datenschutz, ein Audit sollte immer einem Standard folgen. Wenn Sie in Ihrem Unternehmen schon Managementsysteme implementiert haben, brauchen Sie das Rad nicht neu zu erfinden. Den bestehenden Prozess für die internen Audits können Sie direkt auf das Datenschutzmanagementsystem übertragen. Rein formell reicht es, wenn Sie in der Prozessbeschreibung zu den (internen) Audits auch das Datenschutzmanagement im Geltungsbereich erweitern.

Prozessflow interne Audits

Prozessablauf

1. Planung des Audits

Bevor es überhaupt ans eigentliche Audit geht, muss geplant werden, wann, wer und was auditiert werden soll. Auch wenn es noch so trivial klingen mag, ist es doch wichtig, mit den zu auditierenden Personen den Audittermin abzustimmen.

• Zeit mit den Personen abstimmen, klar benennen, welche Personen zu welcher Zeit am Audit teilnehmen sollten.
• Örtlichkeit festlegen und ggf. Raumbuchung organisieren.
• Auditplan erstellen und an die Teilnehmer versenden oder kurz in der Einladung beschreiben, worum es im Audit geht.

2. Auditvorbereitung

Gab es vorhergehende Audits? Egal ob intern, von Kunden oder externen Auditoren – wenn Datenschutzaudits durchgeführt wurden, sollten die Berichte als Input für die geplante Überprüfung herangezogen werden.

Ein besonderer Augenmerk muss auf offene Abweichungen oder Risiken gelegt werden.

Zusätzlich sollte eine Checkliste vorbereitet werden, welche die Punkte umfasst, die im Audit geprüft werden sollen.

Falls es neue Urteile im Datenschutz gibt, ist es ratsam, diese im Audit anzusprechen und zu prüfen, wie eine Umsetzung des Sachverhalts im auditierten Betrieb aussieht.

3. Datenschutzaudit durchführen

Jetzt sind wir im Audittermin angekommen.

• Auch trivial, aber doch nicht selbstverständlich. Holen Sie als Auditor erst einmal alle anwesenden Personen ab. Worum wird es in dem Termin gehen? Wie lange wird es dauern und was erwarten Sie von den anwesenden Personen?
• Wenn Sie als Auditor die Anwesenden nicht kennen, macht auch eine kurze Vorstellungsrunde Sinn.
• Jetzt geht es dann an den fachlichen Part des Audits, den wir unten noch einmal genauer erläutern. Sie gehen Ihren Auditplan inkl. Checkliste durch und prüfen die geplanten Themen ab.
• Manchmal kann es vorkommen, dass auch ungeplante Punkte auditiert werden. Nehmen Sie diese auf jeden Fall in die Dokumentation auf.
• Achten Sie auf ein gutes Klima während des Datenschutzaudits. Weisen Sie gleich auf die Punkte hin, die nicht entsprechend der Vorgaben umgesetzt wurden.
• Machen Sie sich während des Audits Notizen und vermerken Sie auch, welche Dokumente Sie angesehen haben.
• Bevor Sie den Termin beenden, fassen Sie bitte alle relevanten Punkte nochmals zusammen. Es kommt immer wieder vor, dass uns Kunden erzählen, dass im Audit alles so gut lief und der Auditor keine Beanstandungen hatte. Im Auditbericht kamen dann Abweichungen und Risiken in ungeahnter Anzahl. Das ist natürlich unschön für das Unternehmen und wirft erst einmal ein schlechtes Licht auf den Auditor. Diese Situation lässt sich leicht vermeiden, indem Sie transparent und offen kommunizieren.

4. Nachbehandlung eines Datenschutzaudits

Nun ist es wichtig, dass Sie sich gute Notizen während des Audits gemacht haben. Erstellen Sie den Auditbericht anhand der geprüften Punkte.

Geben Sie eine Gesamtzusammenfassung in ein paar Sätzen ab. Was lief gut, was war Ihr allgemeiner Eindruck? Dann beschreiben Sie im Detail, was auditiert wurde und was das Ergebnis dabei war.

Den Auditbericht übermitteln Sie im Anschluss an die relevanten Stellen und auch an den Verantwortlichen. Dieser bzw. das Team muss entscheiden, welche Maßnahmen Sie umsetzen werden, um die Nicht-Konformitäten zu bearbeiten.

Durchführung eines Datenschutzaudits

Hier gibt es kein Patentrezept. Ich kann Ihnen nur erzählen, wie wir an das Thema heran gehen.

Herzstück Verfahrensverzeichnis

Das wichtigste ist immer das Verarbeitungsverzeichnis nach Art. 30 DSGVO. Hier haben Sie eine Übersicht über Ihre Verfahren, bei denen Sie personenbezogene Daten verarbeiten.

Dieses Verzeichnis nehmen wir als Ausgangspunkt und prüfen zum Einen, ob die Verfahren noch aktuell sind. Auf der anderen Seite ist es auch wichtig zu prüfen, ob die Verfahren tatsächlich so gelebt werden, wie sie beschrieben wurden.

Auftragsverarbeiter

Mit dem Verfahrensverzeichnis als Basis sieht man schnell, ob das Verfahren einen Auftragsverarbeiter benötigt oder ob Sie dieses Verfahren als Auftragsverarbeiter durchführen. Hier gibt es viele Punkte zu prüfen. Ganz besonders das Thema US-Anbieter oder allg. Drittstaatenanbieter umfasst allein schon Bücher (im übertragenen Sinne).

Ohne ins Detail zu gehen, ist das auf jeden Fall ein Punkt, der zu prüfen ist.

Informationspflichten, Einwilligungen und mehr

Informationspflicht

Aus dem Verfahrensverzeichnis ergibt sich mehr oder weniger automatisch die Informationspflicht nach Art. 13 und Art. 14 DSGVO.

Wurden diese entsprechend umgesetzt? Sind sie vollständig? Sind sie zugänglich?

Einwilligungen

Sind die notwendigen Einwilligungen vorhanden? Sind sich fachlich richtig?

Gerade bei Beschäftigten werden Einwilligungen kritisch hinterfragt. Die Objektivität bei Einwilligungen von Mitarbeitern des Unternehmens muss betrachtet werden.

Aber auch der Zweck, zu dem eine Einwilligung eingeholt wird, ist wichtig. Wird zum Beispiel die Einwilligung für einen Newsletter mit Double Opt-in eingeholt?

Awareness / Schulungen

Sind die Mitarbeiter sensibilisiert zum Thema Datenschutz? Wurden Schulungen oder andere Maßnahmen durchgeführt?

Müssen die Mitarbeiter eine Policy zum Thema Informationssicherheit einhalten? Gibt es überhaupt klare Vorgaben? Was uns direkt zum nächsten Thema führt…

Technische und organisatorische Schutzmaßnahmen (TOMs) – Art. 32 DSGVO

Wie schon oben genannt, ist das ein Punkt, der auch gerne vom ISB oder IT-Sicherheitsbeauftragten übernommen werden kann.

Wir orientieren uns bei der Prüfung am Leitfaden des Bayerischen Landesamtes für Datenschutz. Hier gibt es eine sehr umfangreiche Orientierungshilfe für die TOMs.

Organisatorische oder technische Prüfung bei den TOMs?

Gute Frage. Wir bieten unseren Kunden generell beides an. Wir führen keine Penetrationtests durch, aber wir testen die Kundensysteme auf Schwachstellen.

Die organisatorische Prüfung umfasst das Audit in mündlicher Form, bei dem wir natürlich auch Einblick in die Umsetzung haben möchten. Zum Beispiel: Ist die Passwort Policy tatsächlich so umgesetzt wie auf dem Papier definiert? Gibt es die beschriebene Berechtigungsgruppen-Struktur tatsächlich in den Systemen?….

Begehung

Nicht nur die IT-technischen Maßnahmen sind zu beachten. Auch das Thema physische Sicherheit ist ein wichtiger Punkt.

Ein Rundgang mit geschultem Blick des Datenschutz-Auditors kann hier viele Fragen beantworten. Sind z.B. unbesetzte Büros und Bildschirme versperrt? Ist der Serverraum abgeschlossen? Etc…

Zusammenfassung des Inhalts

Das ist aus unserer Sicht eine grobe Übersicht über den inhaltlichen Aufbau eines Datenschutzaudits. Wie gesagt, es gibt im Audit nicht den einzig richtigen Weg. Jeder Auditor wird sich im Laufe der Zeit eine eigene Vorgehensweise erarbeiten und eigene Schwerpunkte setzen.

Wichtig ist in allen Punkten die Objektivität und nicht das persönliche Wollen des Auditors.

Hier dürfen Sie auch als Auditierter gerne einmal kritisch nachfragen und sich erklären lassen, warum ein bestimmter Punkt der Anforderungen für den Auditor wichtig ist.

Checkliste für die Durchführung eines Datenschutzaudits

Am Anfang, bei der Durchführung Ihrer ersten Datenschutzaudits, ist eine Checkliste ganz sinnvoll. Wir geben Ihnen eine Liste an die Hand, die exemplarisch einige Punkte beinhaltet. Bitte prüfen Sie diese vor dem Audit und ergänzen Sie sie dann mit eigenen Anmerkungen und Punkten.

Kann man ein einmaliges Datenschutzaudit auch von Extern durchführen lassen?

Natürlich. Gerade in diesem Fall ist die größte Objektivität gegeben. Sie holen sich einen erfahrenen externen Auditor ins Haus, der Ihr Datenschutzmanagement unter die Lupe nimmt. Ganz unvoreingenommen kann der Auditor Ihre Prozesse und Verfahren überprüfen und Ihnen Risiken aufzeigen.

Was kostet ein Datenschutzaudit?

Das kann man pauschal nicht sagen. Es kommt auf die Größe des Unternehmens an, aber natürlich auch auf dessen Tätigkeit.

• Ist der Unternehmenszweck eng mit der Aufgabe verbunden, personenbezogene Daten zu verarbeiten (z.B. Onlineshop für Endverbraucher)?
• Verarbeitet der Betrieb „nur“ personenbezogene Daten der Mitarbeiter und vielleicht Kontaktdaten von Externen?
• Sind Sie Auftragsverarbeiter?
• Und natürlich, wie groß ist das Unternehmen, wie ist es organisatorisch aufgestellt?

Kosten eines Datenschutzaudits durch die Datenbeschützerin®

Wenn wir die Datenschutzbeauftragung für Ihr Unternehmen haben, ist das Datenschutzaudit Teil der Leistungen. Einmal jährlich prüfen wir die Aktualität Ihres Datenschutzmanagements.

Natürlich führen wir auch Datenschutzaudits bei Unternehmen durch, die wir nicht als DSB betreuen. Je nach Größe des Unternehmens starten wir bei ca. 1,5 Tagen bis zu mehreren Tagen. In Unternehmen bis ca. 500 Mitarbeitern sind ungefähr drei Tage für ein Audit (inkl. Nachbereitung und Vorbereitung) ein guter Durchschnittswert.

Das Datenschutzaudit – Zusammenfassung

Der Beitrag soll Ihnen einen Überblick über dieses Thema geben. Vielleicht mag es zu Anfang komplex anmuten. Für einen erfahrenen Datenschutzbeauftragten ist die Durchführung aber nicht so schwierig.

Am wichtigsten ist aus meiner Sicht die Struktur, der rote Faden. Den haben zum Beispiel mit unserer Checkliste.

Wie ist Ihre Erfahrung mit den Datenschutzaudits? Schreiben Sie uns einen Kommentar!