Datenschutz-Audit

Mit einem Datenschutz-Audit den Datenschutz im Unternehmen prüfen

Durch das Bundesdatenschutzgesetz (BDSG) und den Erlass der Datenschutzgrundverordnung (DSGVO) spielt das Thema Datenschutz inzwischen eine entscheidende Rolle für Unternehmen und ist zudem Teil vieler Bereiche eines Unternehmens.

Die Verarbeitung personenbezogener Daten wird seit Mai 2018 von der DSGVO geregelt (vorher BDSG) und nimmt Unternehmen in die Pflicht personenbezogene Daten angemessen zu schützen und entsprechende Maßnahmen zur Datensicherheit zu ergreifen. Mit einem Datenschutzaudit gelingt es alle integrierten Datenschutzprozesse zu kontrollieren und eine effiziente Datenschutzprüfung durchzuführen. Dazu untersucht ein Audit, ob die in Frage stehenden Datenschutzprozesse die geforderten Standards erfüllen. Wir zeigen Ihnen, wie die Durchführung eines Datenschutzaudits funktioniert und wie Ihnen die Umsetzung mithilfe einer Checkliste leicht gemacht wird.

Was ist ein Datenschutz Audit?

Mit einem Datenschutzaudit können Unternehmen überprüfen, wie gut die Datenschutzvorgaben und die Richtlinien der DSGV in ihrem Unternehmen umgesetzt und eingehalten werden. Es bietet zusätzlich die Möglichkeit Schwachstellen des internen Datenschutzes zu entdecken und zu erkennen, wo konkreter Verbesserungsbedarf beim Datenschutzniveau besteht.

Ist ein Datenschutzaudit Pflicht?

Ein Datenschutzaudit stärkt darüber hinaus das Datenschutzkonzept eines Unternehmens und gewährleistet die Einhaltung der Regelungen der DSGVO. Somit bietet ein Audit ein hohes Maß an Sicherheit und Vertrauen für den Verbraucher. Die Durchführung eines Datenschutzaudits ist für Unternehmen nicht verpflichtend und kann daher auf freiwilliger Basis erfolgen. Datenschutzbeauftragte oder auch unabhängige Gutachter sind zuständig für die Umsetzung eines solchen Audits.

Was macht ein Datenschutzauditor?

Ein Datenschutzauditor prüft die Umsetzung der datenschutzrechtlichen Anforderungen eines Unternehmens und dient dazu, den Ist-Zustand der gesamten Verarbeitung personenbezogener Daten festzustellen. Dazu zählt die Bewertung des Datenschutzmanagements, die Erfüllung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit von personenbezogenen Daten sowie die Bewertung der Datenschutzkonformität des gesamten Betriebs und dessen Prozesse.

Der Auditor stellt Schwächen und Optimierungsbedarf des Ist-Zustandes fest, spricht jedoch keine Handlungsempfehlungen oder Lösungen aus. Dies ist alleinige Aufgabe des Datenschutzbeauftragten.
Businessmann mit verschränkten Armen

Welche Personen dürfen ein Datenschutzaudit durchzuführen? 

Um einen Datenschutzaudit durchführen zu können, ist eine entsprechende Qualifikation und fachliche Kompetenz der Person erforderlich.

Externer Datenschutzbeauftragter

Viele Unternehmen entscheiden sich bei der Beauftragung eines Datenschutzaudits für einen unabhängigen externen Gutachter oder Datenschutzbeauftragten, da dieser unbefangen dem Unternehmen gegenüber agieren und neutral beraten kann. Zudem liegt dessen Kernkompetenz im Bereich Datenschutz, wodurch er ausreichend an Erfahrung für die Prüfung nachweisen kann und die Regelungen der DS GVO und die Anwendung der gängigen Fragebögen beherrscht.

Darüber hinaus sind externe Datenschutzberater Experten auf dem gesamten Gebiet des Datenschutzes, die auch besonders gut über die Risiken informiert sind.

Interner Datenschutzbeauftragter

Grundsätzlich ist es auch möglich, einen internen Mitarbeiter mit einem Audit zu betrauen. Er bringt den Vorteil mit sich, dass er mit den Abläufen, Produkten und Leistungen des Unternehmens vertraut ist, was ihm ein schnelleres Handeln ermöglicht. Mithilfe von einem Fragebogen oder den Vorgaben der technischen und organisatorischen Maßnahmen lässt sich ein Audit nachvollziehbar erstellen.

Jedoch liegt die Hauptaufgabe eines internen Mitarbeiters oft woanders, sodass er beim Thema Datenschutz auch mal leichter den Überblick verlieren kann, was auch gewisse Risiken mit sich bringen kann.
Zwei Businesspersonen an einem Tisch mit Stift und Block ohne Gesichter

Wann ist ein Datenschutzaudit für Unternehmen sinnvoll?

Prinzipiell ist eine regelmäßige Datenschutzprüfung durch ein Datenschutzaudit für jedes Unternehmen sinnvoll, welches mit der Verarbeitung personenbezogener Daten beschäftigt ist.

Eine regelmäßige Überprüfung zur Einhaltung der Anforderungen der DSGVO (ergänzend zum BDSG) bietet Unternehmen zum einen die Absicherung bei einer spontanen Datenschutzprüfung durch die zuständige Aufsichtsbehörde, dient aber auch der Optimierung von allen Datenschutzprozessen im Betrieb.

Fragen-Checkliste - ist ein Datenschutzaudit für Ihr Unternehmen sinnvoll?

Wenn sich einer der folgenden Fragen nicht mit einem „Ja“ beantworten lassen, ist ein Datenschutzaudit für Ihr Unternehmen notwendig.

  • Hat Ihr Unternehmen einen Datenschutzbeauftragten benannt?
  • Sind die Bereiche Marketing, Vertrieb und Sales mit dem Thema Datenschutz und der Einhaltung der DSGVO vertraut?
  • Sind Ihre Büro- oder Geschäftsräume umfassend geschützt – insbesondere, wenn vorhanden der Serverraum?
  • Ist ihre IT-Umgebung durch eine funktionierende Datensicherheit ausreichend geschützt (zum Beispiel durch eine Firewall oder entsprechende Verschlüsselungssysteme)?
  • Hat eine ausreichende Überprüfung Ihrer IT-Umgebung stattgefunden und existiert eine ausreichende Dokumentation darüber?
  • Haben Sie Auftragsverarbeitungsverträge mit IT-Dienstleistern nach Art. 28 DSGVO geschlossen?
  • Hat eine ausreichende Prüfung des Auftragsverarbeitungsvertrags stattgefunden und besteht darüber eine entsprechende Dokumentation?
  • Erfasst Ihr Unternehmen nur Daten, über deren Verarbeitung Sie auch berechtigt sind, da hierzu eindeutige Einwilligungen eingeholt worden sind

Die Anforderung der DSGVO zum Managementsystem

Anders als noch im Bundesdatenschutzgesetz (BDSG) fordert die Datenschutz-Grundverordnung (DSGVO) für Unternehmen die Einführung von einem Datenschutzmanagementsystem. Zur Anwendung solcher Managementsysteme gelten die ISO-Normen. Dabei wird die DIN EN ISO 19011 speziell für die Anleitung zur Auditierung von Managementsystemen verwendet.

Sie regelt u.a. die Auditplanung, die Steuerung, Durchführung und Nachbereitung eines Auditprogramms, aber auch Bewertungen über alle, die in die Prozesse des Audits einbezogen sind. Ein Datenschutzaudit nach dem ISO 19011-Standard durchzuführen ist demzufolge empfehlenswert und zeitsparend.

Businessmann an einem Aktenschrank

Der Ablauf eines Datenschutzaudits

Beim Datenschutzaudit findet eine Überprüfung der Prozesse aller Bereiche im Unternehmen statt, die sich mit personenbezogenen Daten beschäftigen. Der Datenschutz in einem Unternehmen sollte demnach einer zielgerichteten Planung unterlegen sein, damit eine Überprüfung der Umsetzung und Einhaltung überhaupt möglich ist – auch um diese bei Bedarf optimieren zu können.

Zudem bietet ein Audit die Möglichkeit den genauen Ist-Zustand festzustellen, um den Soll-Zustand gezielt zu erreichen. Damit Sie eine gute Übersicht über die wichtige Punkte erhalten, haben wir Ihnen den Ablauf von einem Audit in einzelne Vorgänge untergliedert.

Auditvorbereitung

Für ein professionelles Datenschutzaudit bedarf es an guter Vorbereitung. Dazu zählt auch, einen Auditor für die Prüfung festzulegen. Diese Aufgabe kann ein interner Datenschutzbeauftragter übernehmen, aber auch externe Datenschutzbeauftragte oder Gutachter bieten Leistungen zur Vorbereitung und Durchführung von Datenschutzaudits an.

Gutachter

Externe Datenschutzbeauftragte oder Gutachter bedienen sich beim Datenschutzaudit an einem Fragenkatalog, um die Bestandsaufnahme oder die Überprüfung des generellen Datenschutzes Ihres Unternehmens abzubilden.

Zudem sollten in den einzelnen Abteilungen des Unternehmens feste Ansprechpartner verfugt werden, die den gesamten Bereich zeitlich und inhaltlich gut auf das Audit vorbereiten.

Datenschutz allgemein

Der Datenschutz zählt zum allgemeinen Teil beim Datenschutzaudit. Es findet eine Prüfung über die Einhaltung der DSGVO-Vorgaben in den verantwortlichen Stellen statt und ob diese richtig umgesetzt werden. Wenn einzelne Pflichten zu erfüllen sind, gilt es diese zu evaluieren und im Rahmen eines Folgeaudits anhand der erforderlichen Ziele zu bewerten. Wenn diese nicht erreicht wurden, müssen im Anschluss entsprechende Maßnahmen ergriffen werden, die das Datenschutzkonzept verbessern.

Hierbei handelt es sich zum Beispiel um das Datenschutzmanagement, die Erfüllung der Informationspflichten und Informationssicherheiten sowie der allgemeinen Datenschutzorganisation und die Einhaltung der Vorgaben zur Auftragsverarbeitung.

Datenverarbeitung in den einzelnen Unternehmensbereichen

Nachdem die Prüfung des allgemeinen Datenschutzes in den verantwortlichen Stellen abgeschlossen ist, gilt es sich in den einzelnen Bereichen im Unternehmen hinsichtlich der Datenverarbeitung einen Überblick zu verschaffen.

Um hierzu die gewünschten Informationen zu erhalten, sollte man sich an die jeweiligen Abteilungsleiter aus den relevanten Bereichen wenden. Diese sind am besten mit der gesamten Abteilung vertraut und haben die Möglichkeit alle Informationen von den Personen zusammen zu fassen, die für die Datenverarbeitung verantwortlich sind. Personenbezogene Daten werden speziell in den Bereichen Marketing, Vertrieb, HR, Vertrieb und IT verarbeitet.

Informationssicherheit

Die Verarbeitung von Daten findet in der Praxis fast ausschließlich digital unter Verwendung von Computersystemen statt. Technische Vorkehrungen zur Informationssicherheit und zur Sicherheit der Rechte von Betroffenen nehmen daher eine zentrale Rolle bei der Einhaltung der DSGVO-Vorgaben zur Datenverarbeitung ein.

Um allen Anforderungen zur Informationssicherheit gerecht zu werden, stellen zum Beispiel engagierte Verbände oder zertifizierte Prüfstellen, Hilfestellungen in Form eines Fragenkatalogs oder einer Checkliste zur Verfügung. Bei der Suche nach der geeigneten Hilfestellung lässt sich im Internet ein vielfältiges Angebot finden.

Technische und organisatorische Maßnahmen

Zudem sind Unternehmen dazu verpflichtet technische und organisatorische Maßnahmen von den Verantwortlichen professionell in seinem Verzeichnis von Verarbeitungstechniken zu dokumentieren.

Nachbehandlung Datenschutzaudit

Nachdem das Datenschutzaudit ausgeführt wurde, wird im Anschluss ein Auditbericht vom Auditor erstellt. Dieser beinhaltet die Ergebnisse der Überprüfung und beschreibt den aktuellen Stand des Datenschutzes im Unternehmen. Mit dem Auditbericht erhält man eine Übersicht über mögliche Schwachstellen der Datensicherheit und der gesamten Prozesse beim Datenschutz.

Maßnahmenliste Datenschutzaudit

Der Bericht wird anschließend ergänzt durch eine Maßnahmenliste, die im Detail darüber informiert und Empfehlungen beinhaltet, welche Maßnahmen zur Verbesserung des Datenschutzes erfolgen müssen. Auf den Punkt gebracht ist die regelmäßige Durchführung von einem Datenschutzaudit für jedes Unternehmen empfehlenswert, denn bei nahezu jedem Audit werden Schwächen aufgedeckt, die dann rasch umgesetzt werden können und die es dem Personal erleichtern Mängel zu beheben.

Checkliste Datenschutzaudit

Um ein Audit zum Datenschutz durchzuführen und das gesamte Verfahren zielgerichtet umzusetzen, empfiehlt es sich eine Checkliste nach DSGVO zur Hand zu nehmen. Das bringt den Vorteil mit sich, die einzelnen Schritte Punkt für Punkt abzuarbeiten und nicht in die Situation zu kommen, wichtige Details und Aufgaben zu übersehen.

Wer erstellt Checklisten?

Checklisten werden von qualifizierten Fachleuten erarbeitet und basieren auf praxisnahen Einsätzen. Sie beinhalten Erklärungen und notwendige Informationen zum Thema, die oft an Praxisbeispielen erläutert werden. Insbesondere bei sehr komplexen Themen bieten Checklisten eine ideale Hilfestellung für den Auditor, das Audit konkret umzusetzen.

Businessman lacht in die Kamera

Was kostet ein Datenschutzaudit?

Die Kosten für ein Datenschutzaudit sind individuell. Hier spielt die Unternehmensgröße eine entscheidende Rolle, aber auch die Branche entscheidet über die Berechnung des Aufwandes.

Wenn man von einem mittelständischen Unternehmen von bis zu 150 Mitarbeitern ausgeht, liegt der finanzielle Aufwand erfahrungsgemäß zwischen 1.000,00 und 3.000,00 EUR. Bei größeren Firmen mit umfassenderen Strukturen können die Kosten entsprechend höher ausfallen. Der finanzielle Aufwand für ein Audit lohnt sich jedoch immer, da es dem Zwecke zur Erfüllung des Datenschutzes dient. Außerdem ist es die Grundlage für das Datenschutzniveau des gesamten Betriebes, was sich positiv gegenüber den zuständigen Aufsichtsbehörden auswirkt.

Zweck Datenschutzaudit

Im Zeitalter der Digitalisierung und der immer höher aufkommenden Datenmengen hat der Datenschutz in Unternehmen und der Umgang sowie die Datenverarbeitung von personenbezogenen Daten an enormer Bedeutung gewonnen.

Umfassend geregelt wird der Datenschutz und der Umgang mit personenbezogenen Daten seit Mai 2018 durch die DSGVO, welche durch die bis dahin geltende BDSG ergänzt wurde. Die Grundsätze und Regelungen der DSGVO immer richtig umzusetzen und einzuhalten, ist für Personal und Geschäftsführung nicht immer eine leichte Aufgabe. Ein Datenschutzaudit bietet dafür die ideale Voraussetzung, den Datenschutz zu gewährleisten und den nötigen Standard aufrechtzuerhalten. Notwendige Datenschutzmaßnahmen lassen sich oft nur durch ein Audit erkennen und erfolgreich umsetzen.

DSGVO Vorlagen zum Datenschutzaudit

DSGVO Checklisten

Die DSGVO ist umfassend und nicht für jeden sofort zugänglich. Checklisten sind in solchen Fällen eine optimale Möglichkeit, die DSGVO schnell umzusetzen und sein Datenschutzniveau zu überprüfen. Die Checkliste enthält auch alle relevanten Details, um sie als Checkliste eines Audits zu nutzen.

Die Checkliste und weitere Vorlagen zum Thema Datenschutz stehen auf der Website kostenlos zum Download bereit und wurden von einem professionellen Datenschutzauditor erstellt. Außerdem stehen wichtige Informationen und Erklärungen bereit, die für die Umsetzung eines Datenschutzaudits zu berücksichtigen sind.
Businessmann mit Brille lacht in die Kamera

Fazit - Datenschutzaudit

Ein Datenschutzaudit überprüft alle Datenschutzprozesse eines Unternehmens und stellt dar, ob diese nach den Vorgaben der DSGVO umgesetzt und eingehalten werden. Der Zweck eines Audits liegt darin, einen klaren Überblick über die Datenschutzkonformität zu erhalten, um dann zielführende Maßnahmen zu ergreifen, den Datenschutz im Unternehmen langfristig zu optimieren und die Anforderungen an die Datensicherheit zu gewährleisten.

Eine regelmäßige Überprüfung dient zusätzlich der rechtlichen Absicherung gegenüber der DSGVO und den zuständigen Aufsichtsbehörden.

Wer führt das Audit durch?

Die Überprüfung wird von einem unabhängigen Gutachter übernommen, der als Auditor benannt wird. Die Ergebnisse der Überprüfung können vom Unternehmen veröffentlicht werden und dienen dem Nachweis, dass die Anforderungen des Datenschutzes und der Datensicherheit erfüllt sind.

Diese positive Bewertung wird durch ein Zertifikat bestätigt. Es ist somit empfehlenswert ein Audit in regelmäßigen Abständen durchzuführen, um abzubilden, dass die Aufbewahrung der personenbezogenen Daten ein Höchstmaß an Sicherheit besitzt und diese vor Missbrauch an Dritte geschützt sind. Die Zertifizierung baut zudem Vertrauen bei Verbrauchern, Kunden, Mitarbeitern und Geschäftspartnern auf.

Ihre Experten für Datenschutz

Wir Ihr kompetenter Ansprechpartner bei allen Themen des Datenschutzes. Die Anforderungen des Datenschutzniveaus sind in den letzten Jahren deutlich gestiegen, weshalb Unternehmen sich zunehmend Unterstützung von externen Beratern suchen.

Gern führen eine Risikoanalyse und Datenschutzaudit mit Ihnen durch, welche Aufschluss darüber geben, an welchen Stellen in Ihrem Unternehmen noch Optimierungspotential herrscht. Gemeinsam finden wir die richtige Lösung und setzen direkt nach einer ersten Ist-Analyse gezielte Maßnahmen für Sie um.
Businessmann mit Brille lacht in die Kamera

Beratung und Service

Informieren Sie sich gern auf unserer Website zu unseren Leistungen oder rufen Sie uns an. Wir stehen Ihnen gern für ein persönliches Gespräch am Telefon zur Verfügung. Auch außerhalb unserer Geschäftszeiten können Sie über unsere E-Mail-Adresse jederzeit Kontakt mit uns aufnehmen oder unser Kontaktformular nutzen.