Was ist ein Datenschutzaudit und warum brauchst du es?

Du bist für den Datenschutz in deinem Unternehmen zuständig und sollst ein Datenschutzaudit durchführen? Hier erfährst du, warum dies sinnvoll ist und wie ein solches Audit abläuft.

Dein Zeugnis in puncto Datenschutz

Die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz verpflichten Unternehmen dazu, personenbezogene Daten angemessen zu verarbeiten und zu schützen. Daher sind regelmäßige Kontrollen und Prüfungen der Prozesse in deinem Unternehmen notwendig, die die korrekte Verarbeitung sicherstellen. Bei einem Datenschutzaudit nimmst du diese Abläufe in Augenschein und zeigst – wenn notwendig - Verbesserungspotenziale auf. In diesem Artikel erfährst du, was ein Datenschutzaudit ist und warum es sinnvoll ist, regelmäßig Audits durchzuführen. Außerdem wirst du lesen, wie ein Datenschutzaudit abläuft und was es kostet. Last but not Least stellen wir dir verschiedene Tools vor, die dich bei der Durchführung eines Datenschutzaudits unterstützen können.

Was ist ein Datenschutzaudit?

Ein Datenschutzaudit ist die freiwillige Prüfung der Datenschutzkonformität deines Unternehmens. Das Recht auf seine Durchführung ist in §9a Bundesdatenschutzgesetz erfasst. Es erfasst den Ist-Zustand bezüglich der Erfassung, Speicherung und Weitergabe personenbezogener Daten. Damit soll sichergestellt werden, dass deine Datenverarbeitungsprozesse mit der DSGVO in Einklang stehen. Die Datenschutzgrundverordnung schreibt nämlich die Einführung eines Datenschutzmanagementsystems vor. Daraus ergibt sich, dass deine Verarbeitung von Daten regelkonform und systematisch nachweisbar sein muss. Das Audit kann sowohl dazu genutzt werden, um ein neues Datenschutzmanagement zu schaffen, als auch bestehende Abläufe zu optimieren und umzugestalten. Du kannst ein Datenschutzaudit daher auch als internen Lernprozess verstehen. 

Wenn dein Unternehmen eine*n Datenschutzbeauftragte*n hat, ist diese*r für die Einhaltung der gesetzlichen Anforderungen an den Datenschutz verantwortlich. Somit kommt dieser Person auch das Recht zu, ein internes Audit anzustoßen. Es gibt aber auch die Möglichkeit, ein externes Datenschutzaudit durchzuführen. Die Zusammenarbeit mit unabhängigen, zertifizierten Gutachter*innen kann die interne Arbeit von Datenschutzbeauftragten unterstützen und einen frischen Blick in deine Organisation bringen.

Zur Überprüfung können das Datenschutzkonzept deines Betriebes, Dokumentenprüfungen und Mitarbeitergespräche genutzt werden. Nach Abschluss des Audits kann dein Unternehmen die Prüfungsergebnisse veröffentlichen, um nachzuweisen, dass es die Anforderungen an den Datenschutz erfüllt.

Darum ist ein Datenschutzaudit sinnvoll

Generell ist die freiwillige Überprüfung der Einhaltung des Datenschutzes für jedes Unternehmen sinnvoll. Schließlich stellt es eine Bestandsaufnahme dar und liefert dir konkrete Handlungsempfehlungen zur Verbesserung des Datenschutzes bei deinem Arbeitgeber. Auch wenn du bereits über ein Datenschutzkonzept verfügst, ist es wichtig, dessen Einhaltung regelmäßig zu kontrollieren. Immerhin kann es mit der Zeit passieren, dass „lästige“ Vorschriften nicht so genau genommen werden, da sie die tägliche Arbeit erschweren. Da der Schutz personenbezogener Daten allerdings höchste Priorität für dein Unternehmen haben sollte, musst du sicherstellen, dass die Regelungen der DSGVO und deines Datenschutzkonzeptes eingehalten werden. Falls du deine personenbezogenen Daten von einem Partnerunternehmen verarbeiten lässt, solltest du diese ebenfalls regelmäßig auf den Prüfstand stellen. Durch den Prüfungsbericht können deine Geschäftspartner*innen nachweisen, dass sie die Vorschriften einhalten, zu denen sie sich in eurem Vertrag verpflichtet haben.

Ein Datenschutzaudit kann außerdem in folgenden Fällen sinnvoll sein:

• Dein Unternehmen verfügt nicht über eine*n Datenschutzbeauftragte*n.

• Die Abteilungen Sales und Marketing kennen sich nicht mit den Regelungen der DSGVO aus.

• Du hast Zweifel daran, dass deine IT-Systeme ausreichend geschützt sind, beispielsweise durch Firewalls und Verschlüsselungen.

• Es wurden noch nicht alle IT-Systeme vollständig geprüft und dokumentiert.

• Du hast umfangreiche Auftragsverarbeitungsverträge mit Fremdfirmen geschlossen.

• Es soll sichergestellt werden, dass dein Unternehmen nur Daten von Mitarbeitenden, Kund*innen und Partner*innen erfasst, zu deren Erhebung es befugt ist.

• Bei deinem E-Mail Marketing werden die Einwilligungen nicht per Double-Opt eingeholt.

Wie läuft ein Datenschutzaudit ab?

Ein Datenschutzaudit solltest du mit genügend Vorlauf vorbereiten, um einen reibungslosen Ablauf während der Prüfung sicherzustellen. Dazu gehört, dass alle Mitarbeitenden des Unternehmens über das anstehende Audit informiert werden. Das ist wichtig, da neben den Kernprozessen auch die Sekundärprozesse geprüft werden. Hierbei handelt es sich um Prozesse im Einkauf, Personal und Vertrieb sowie in der IT, da auch dort personenbezogene Daten erhoben werden. Jede Abteilung sollte feste Mitarbeitende als Ansprechpartner*innen für Rückfragen benennen. Dann geht es auch schon an die zeitliche Planung deines Datenschutzaudits. Um den zeitlichen Aufwand realistisch einzuschätzen, kannst du ein sogenanntes Voraudit durchführen. Bei dessen Durchführung kannst du dich an einem beispielhaften Fragebogen für ein Datenschutzaudit orientieren und anhand der Ergebnisse Schlüsse auf die benötigte Zeit während des richtigen Audits ziehen. Falls dir schon im Voraudit Mängel auffallen sollten, hast du bis zum Audit Zeit, diese zu beseitigen.

Am Prüfungstag arbeiten die Auditor*innen einen vorgefertigten Fragenkatalog ab, in dem sie sich auf vier Bereiche fokussieren. Dies sind der allgemeine Datenschutz (z. B. Informationspflicht und Erfassung von Daten) und die anschließende Datenverarbeitung (z. B. verwendete Programme und Zugriffsrechte auf erhobene Daten). Außerdem sind die Weitergabe von erhobenen Daten an Interne und Dritte (z. B. Auftragsverarbeiter, Steuerberater*innen, Verbundunternehmen) und die Sicherheit der Informationen (z. B. durch technische Vorkehrungen) prüfungsrelevant. Folgende Punkte können die Auditor*innen des Datenschutzaudits bei dir erfragen:

• Ist eine* e Datenschutzbeauftragte*r vorhanden?

• Sind die Mitarbeitenden zum Datengeheimnis nach §5 BDSG verpflichtet?

• Erfolgen Schulungen zum Datenschutz?

• Wurde ein Datenschutzkonzept erarbeitet?

• Ist der Zutritt zum Unternehmen beschränkt?

• Sind die Rechnerräume nur für befugte Mitarbeiter*innen zugänglich?

• Sind die Server sicher aufgestellt?

• Ist der Zutritt zu Räumen, in denen Daten verwahrt werden, beschränkt?

• Wurden Bildschirmsperren eingerichtet?

• Ist eine Firewall vorhanden, aktiviert und auf dem aktuellen Stand?

• Wurde Software zum Schutz vor Schadsoftware installiert, aktiviert und aktualisiert?

• Ist eine Benutzeridentifikation/Authentifizierung vorhanden?

• Sind die genutzten Passwörter sicher?

• Gibt es ein Konzept für Zugriffsberechtigungen?

• Werden Verletzungen der Zugriffsberechnungen protokolliert?

• Werden Datenträger sicher entsorgt?

• Ist eine Datenverschlüsselung eingerichtet und aktiv?

• Werden regelmäßige Wartung und Prüfung der Datenverarbeitungssysteme durchgeführt?

• Wird veraltetes Equipment entsorgt?

• Gibt es eine Beschränkung bei der Nutzung privater Geräte?

• Werden Erhebungen, Änderungen und Löschungen dokumentiert?

• Ist ein Konfliktmanagement bei Verstößen oder Verdachtsfällen installiert?

• Sind Mechanismen zur Selbstkontrolle auf Seiten der Auftragnehmer*innen vorhanden?

• Sind die Daten gegen eine unbeabsichtigte Löschung oder Vernichtung abgesichert?

• Gibt es Sicherungskopien?

• Werden gemeinsam erhobene Daten getrennt voneinander verarbeitet?

Bei der Beantwortung der Fragen sind Ehrlichkeit und Präzision besonders wichtig. Du musst deutlich machen, welche Maßnahmen dein Unternehmen ergreift, um die gesetzlichen Richtlinien zu erfüllen. 

Sobald die Prüfer*innen ihren Bericht abgegeben haben, kannst du aus den Ergebnissen geeignete Maßnahmen ableiten, um den Soll-Zustand zu erreichen. Je präziser diese formuliert sind, desto besser sind sie später nutzbar. Für die Behebung etwaiger Schwachstellen gibt die prüfende Person eine Priorisierung an, die du unbedingt berücksichtigen solltest. Sobald du entsprechende Maßnahmen getroffen hast, sollten diese dauerhaft implementiert werden, um bei einem erneuten Audit nicht noch einmal darauf hingewiesen zu werden. Nach jeder erfolgten Prüfung solltest du deine Datenschutzerklärung überarbeiten. Sobald diese von externen, unabhängigen Gutachter*innen geprüft wurde, erteilen diese bei positiver Beurteilung ein Zertifikat. Nun kannst du deine neue Datenschutzerklärung veröffentlichen. Bevor du mit dem Gütesiegel werben darfst, musst du dein Datenschutzaudit noch in einem zentralen Verzeichnis registrieren lassen.

Welche Kosten können bei einem Datenschutzaudit entstehen?

Die Kosten für ein Datenschutzaudit hängen davon ab, ob du es durch deine*n Datenschutzbeauftragte*n, also intern, oder extern durchführen lassen möchtest. Bei einem internen Datenschutzaudit musst du den Stundenlohn deiner Mitarbeitenden ansetzen, die das Audit durchführen und an der Zulieferung von Daten und Informationen beteiligt sind. Für ein externes Audit hängen die Kosten unter anderem von der Größe deines Unternehmens ab. Für kleine und mittelständische Betriebe können die Kosten zwischen 1000 und 3000 Euro betragen. Also lediglich ein Bruchteil der Summe eines Verstoßes gegen die DSGVO. Bei größeren Unternehmen mit mehr Mitarbeitenden können die Kosten für extern durchgeführte Audits entsprechend höher ausfallen.

Diese Tools unterstützen dich bei der Durchführung eines Datenschutzaudits

Dein Datenschutzaudit ist ein sinnvoller Schritt zur Wahrung der datenschutzrechtlichen Regelungen der DSGVO. Da die Maßnahmen zur Durchführung des Audits und die daraus resultierenden Maßnahmen sehr umfangreich sein können, ist es sinnvoll, wenn du dir technische Unterstützung in Form einer Datenschutzmanagement-Software holst. Du kannst sie dafür nutzen, um bösartige Software zu identifizieren und zu entfernen, Daten zu verschlüsseln und zu tracken sowie den Zugriff auf ein Netzwerk von außen einzuschränken. Bei der Einhaltung der Regelungen der Datenschutzgrundverordnung unterstützen dich folgende Tools: 

• heyData
• Legally ok
• NoSpamProxy
• PrivacyBee
• SAI360
• ConsentManager
• DSM-Online
• Collibra

Anhand von umfangreichem Nutzer*innen-Feedback auf OMR Reviews kannst du das ideal zu deinem Unternehmen passende Datenschutzmanagement-Tool identifizieren.

Dein Prüfstand für mehr Sicherheit

Mithilfe eines Datenschutzaudits beleuchtest du die Datenschutzprozesse innerhalb deines Unternehmens. Es hilft dir dabei, den Ist-Zustand zu erheben, den du mit der Soll-Vorstellung abgleichen kannst. Anhand der gewonnenen Ergebnisse erarbeitest du konkrete Maßnahmen, mit denen du eine langfristige und optimale Sicherung der in deinem Betrieb erhobenen und verarbeiteten Daten sicherstellst. Außerdem stärkt ein transparent kommuniziertes Auditergebnis die Bindung und das Vertrauen deiner Kund*innen zu deinem Unternehmen. So wird ein regelmäßiges Datenschutzaudit zu einer kleinen Aufgabe für deine*n Datenschutzbeauftragte*n, aber zu einem großen Mehrwert für deine Firma.