Was bedeutet Datenschutzaudit?
Beim Datenschutzaudit geht es um eine Analyse der Datenschutzkonformität von datenverarbeitenden Vorgängen innerhalb eines Unternehmens. Damit soll beispielsweise sichergestellt werden, dass das Unternehmen alle Vorgaben des Gesetzgebers einhält. Andernfalls kann es beispielsweise zu hohen Bußgeldern durch die zuständige Aufsichtsbehörde kommen.
Ist ein Datenschutzaudit verpflichtend?
Grundsätzlich basiert ein Datenschutzaudit auf Freiwilligkeit. Eine gesetzliche Pflicht dazu besteht nicht. Das betroffene Unternehmen kann sich dementsprechend auch gegen ein solches Audit entscheiden.
Anders dagegen beim Datenschutzbeauftragen. Dieser muss ab einer bestimmten Unternehmensgröße von der Geschäftsführung benannt werden. Sofern mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter verpflichtend.
Ein Datenschutzaudit ist aber immer dann zu empfehlen, wenn beispielsweise Zweifel an der IT-Sicherheit bestehen oder bereits sogar ein Hackerangriff stattgefunden hat.
Darüber hinaus sollten Unternehmen sich auch für ein Datenschutzaudit entscheiden, wenn sie unsicher sind, ob sie einen Datenschutzbeauftragten ernennen müssen. Hierbei ist die Grenze oftmals verschwimmend, sodass bei kleineren Unternehmen immer eine gewisse Unsicherheit besteht.
Wie läuft ein Datenschutzaudit ab?
Entschließt sich ein Unternehmen dazu, eine solche Analyse vorzunehmen, geschieht dies in drei Schritten. Dabei werden alle Abteilungen, die mit personenbezogenen Daten arbeiten, überprüft. Dies betrifft in der Regel den Einkauf, den Vertrieb, die Personalführung, die Finanzen und die IT.
1. Die Vorbereitung des Datenschutzaudits
Grundsätzlich sollte ein Datenschutzaudit gut vorbereitet sein. Dies fängt damit an, dass Sie die Abteilungen über das Audit informieren und pro Abteilung einen Ansprechpartner ernennen sollten. Dieser sollte über den genauen zeitlichen Rahmen des Audits Bescheid wissen.
Viele Unternehmen üben den Ablauf auch schon in einem kurzen Testaudit, in dem beispielhafte Fragen gestellt werden.
2. Die eigentliche Überprüfung
Beim eigentlichen Datenschutzaudit arbeitet die beauftragte Person in der Regel mit vorgefertigten Fragen. So will sie Informationen über die Arbeitsweise des Unternehmens bekommen. Dabei konzentriert man sich auf vier Bereiche:
- Der allgemeine Datenschutz – Wie werden Daten erfasst?
- Die Datenverarbeitung – Wer hat Zugriff auf die erhobenen Daten und welche Programme werden dabei verwendet?
- Die Datenweitergabe – Werden die Daten intern oder an Dritte weitergegeben?
- Die Datensicherheit – Welche technischen Vorkehrungen werden getroffen, um die Betroffenenrechte zu sichern?
3. Die Nachbereitung des Datenschutzaudits
Nachdem das Datenschutzaudit abgeschlossen ist, erstellt der Auditor einen Auditbericht. In diesem erläutert er seine Ergebnisse und beleuchtet etwaige Probleme hinsichtlich der Datensicherheit innerhalb des Unternehmens. Dies erfolgt oftmals durch eine detaillierte Übersicht der verschiedenen Unternehmensbereiche.
Daran anschließend wird in der Regel eine Maßnahmenliste erstellt. Mit dieser wissen die Unternehmen, was sie vornehmen müssen, um den gesetzlichen Vorgaben gerecht zu werden.
Der Auditbericht kann beispielsweise auch sehr hilfreich bei einem vermeintlichen DSGVO-Verstoß sein. Oftmals lassen sich dadurch die Vorwürfe der Behörden sogar gänzlich entkräften und somit ein hohes Bußgeld abwenden.
Wer sollte ein Datenschutzaudit durchführen?
Grundsätzlich sollte ein Datenschutzaudit immer jemand durchführen, der sich eingehend mit dem Thema Datenschutz auseinandergesetzt hat. Denn nur so können entsprechende organisatorische Maßnahmen durchgesetzt werden, um den gesetzlichen Anforderungen gerecht zu werden.
Für die Durchführung eines Datenschutzaudits kommen zwei Stellen in Betracht: Entweder der (interne) Datenschutzbeauftragte oder ein externes Unternehmen. Sofern der Datenschutz eines Unternehmens durch einen externen Datenschutzbeauftragten sichergestellt wird, übernimmt dieser in aller Regel auch das Datenschutzaudit. Man nennt dies dann auch externes Audit.
Die mit dem Datenschutzaudit beauftragte Person arbeitet in der Regel darüber hinaus mit Gutachtern zusammen. Diese überprüfen beispielsweise die IT-Sicherheit innerhalb eines Unternehmens.
Wie können Wir Ihnen weiterhelfen?
Wir als Steinbock & Partner stellen Ihren externen Datenschutzbeauftragten nach Art. 37 DSGVO und sorgen für einen optimalen Schutz vor Datenschutzverletzungen. Gleichzeitig bieten wir unsere langjährige Erfahrung auch beim Thema Datenschutzaudit an. Dementsprechend nehmen wir eine Analyse und Prüfung der Datenschutzkonformität von den Vorgängen Ihres Unternehmens vor.
Doppelte Expertise durch unsere Experten für Datenschutzrecht
Das Datenschutzrecht ist ein sehr dynamisches Rechtsgebiet, welches wir durch unseren Rechtsanwalt Alexander Stegmann sowie Rechtsanwalt Domenic Ipta doppelt abdecken. Rechtsanwalt Stegmann ist beispielsweise zertifizierter Datenschutzbeauftragter und gleichzeitig seit Jahren als Rechtsanwalt im Datenschutz tätig. Er hat somit die (doppelte) fachliche Expertise und eine langjährige Erfahrung, um Sie bestens zum Thema Datenschutz beraten zu können.
Die Kanzlei Steinbock & Partner mbB ist insgesamt sehr breit aufgestellt und verfügt neben den Spezialisten im Datenschutzrecht auch über Experten in vielen anderen Fachbereichen. Insbesondere das Arbeitsrecht spielt beim Datenschutz im Unternehmen eine große Rolle. Hier haben wir seit dem Beginn unserer Kanzlei einen besonderen Fokus, sodass wir eine umfassende rechtliche Beratung anbieten können.