Logo der activeMind AG

Datenschutzaudit für Unternehmen (Anleitung)

Inhalt

Ein Datenschutzaudit zeigt Ihnen auf, wie gut die Vorschriften der Datenschutz-Grundverordnung (DSGVO) in Ihrem Unternehmen umgesetzt sind. Ein gut umgesetztes Audit mach aber auch klar, wo akuter Verbesserungsbedarf besteht – und wie Sie das Datenschutzniveau konkret verbessern können.

Doch was macht ein gutes Audit des unternehmerischen Datenschutzes aus? Worauf müssen Sie beim Datenschutzaudit unter der DSGVO besonders achten? Wer sollte die Auditierung durchführen? Eine praktische Anleitung.

Wann ist eine Datenschutzprüfung im Unternehmen sinnvoll?

Grundsätzlich sollte jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen. Bei einem Audit nach DSGVO ist insbesondere zu prüfen, ob Ihr Unternehmen den Anforderungen der Datenschutz-Grundverordnung gerecht wird. Gleichzeitig können so Möglichkeiten offengelegt werden, wie Sie die Datenschutzprozesse in Ihrem Unternehmen weiter optimieren können.

Ob eine Prüfung des Ist-Zustandes Ihres betrieblichen Datenschutzes konkret sinnvoll ist, können Sie selbst anhand einiger Fragen herausfinden:

  • Ist eine ordentliche Bestellung des Datenschutzbeauftragten (sofern notwendig) erfolgt?
  • Sind Ihre Geschäftsräume und insbesondere Ihr Serverraum ausreichend geschützt?
  • Kennen Ihr Marketing und Vertrieb die seit 25. Mai 2018 gültigen Anforderungen der DSGVO?
  • Wird Ihre IT-Umgebung ausreichend durch eine funktionierende Datensicherung und Firewall geschützt?
  • Haben Sie mit Ihren IT-Dienstleistern aktuelle Auftragsverarbeitungsverträge nach 28 DSGVO geschlossen und die Dienstleister dokumentiert geprüft?
  • Besteht eine ausreichende Dokumentation Ihrer IT-Umgebung, um nicht abhängig von Ihren Administratoren zu sein?
  • Erfassen Sie von Ihren Beschäftigten nur Daten, zu deren Verarbeitung Sie auch berechtigt sind?

Sofern Sie nicht all diese Fragen mit einem ganz sicheren „Ja“ beantworten können, sollte auf jeden Fall ein Datenschutzaudit durchgeführt werden.

Wie funktioniert ein Datenschutzaudit?

Die DSGVO fordert – im Gegensatz zum alten Bundesdatenschutzgesetz – die Einführung eines sog. Datenschutzmanagementsystems. Es reicht also nicht mehr, den Datenschutz lediglich einzuhalten. Vielmehr ist erforderlich, dass der Datenschutz im Unternehmen systematisch geplant wird, um die Umsetzung später überprüfen und bei Abweichungen nachbessern zu können. Dieses Konzept entstammt der „ISO-Welt“ und wird allgemein für Managementsysteme verwendet. Aus diesem Grund bietet es sich an, das Datenschutzaudit nach dem ISO 19011-Standard durchzuführen. In diesem ist detailliert die Auditplanung, -durchführung und die -nachbereitung geregelt.

Das Audit selbst lässt sich in drei Hauptteile untergliedern: Der allgemeine Datenschutz, die Datenverarbeitung in den einzelnen Geschäftsbereichen und die Informationssicherheit bezogen auf den Datenschutz.

Allgemeiner Datenschutz

Im allgemeinen Teil werden die einzelnen Pflichten, die die Datenschutz-Grundverordnung an die verantwortliche Stelle stellt, evaluiert. Es ist zu prüfen, ob es Regelungen in den einzelnen Bereichen gibt und ob diese auch umgesetzt werden. Bei Folgeaudits wird überprüft, ob diese Regelungen eingehalten wurden und ob diese das gewünschte Ziel erfüllt haben. Sollte das nicht der Fall sein, dann findet im Anschluss eine Verbesserung der mangelhaften Punkte an. Konkret geht es hierbei um folgende Bereiche:

Tipp: Worauf Sie bei den einzelnen Bereichen achten müssen, finden Sie in unserer kostenlosen Checkliste zur Durchführung eines Datenschutzaudits.

Datenverarbeitung in den Geschäftsbereichen

Sobald die obigen Punkte, die für jedes Unternehmen gelten, überprüft sind, sollte sich den einzelnen Geschäftsbereichen zugewandt werden. Hierfür bietet es sich an, mit den jeweiligen Abteilungsleitern zu sprechen, da diese den besten Überblick über die Datenverarbeitungen in ihren Bereichen haben. In jedem Fall sollten Sie die Abteilungen IT, Personal, Marketing, Vertrieb und Service evaluieren, da diese erfahrungsgemäß mit vielen personenbezogenen Daten in Kontakt kommen. Je nach Unternehmen können zusätzliche Bereiche relevant werden.

Mit den Leitern werden die Vorgänge in den Abteilungen besprochen, um eine Übersicht über die Verarbeitungstätigkeiten zu erhalten und nicht optimierte Prozesse zu identifizieren.

Informationssicherheit

Die meisten Datenverarbeitungsvorgänge erfolgen nicht mehr auf Papier, sondern auf Computersystemen. Aus diesem Grund ist der Bereich der Informationssicherheit ein zentraler Punkt bei der Einhaltung der Vorgaben der DSGVO.

Umso erstaunlicher ist es, dass der Gesetzgeber diesen wichtigen Bereich lediglich in Art. 32 DSGVO eher rudimentär beschrieben hat. Es wird lediglich eine nicht abschließende Liste mit Maßnahmen zur Verfügung gestellt, die zu beachten sind. Daher ist es notwendig, sich weiterer Hilfestellung zu bedienen.

Dies können etwa diverse Fragenkataloge sein, die etwa von im Datenschutz engagierten Verbänden zur Verfügung gestellt werden. Diese enthalten zu den einzelnen Punkten des Art. 32 DSGVO mehrere Fragen, anhand derer die Informationssicherheit überprüft werden kann.

Eine andere Möglichkeit ist die Heranziehung der ISO 27002. Vereinfacht gesagt, stellt diese Norm die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) dar. Da die DSGVO ein Datenschutzmanagementsystem erfordert, kann man sich dieser ISO-Norm bedienen und damit die Informationssicherheit im Bereich Datenschutz auditieren. Selbstverständlich sind nicht alle Anforderungen vollständig zu erfüllen. Es genügt, wenn diese in risikoangemessen Umfang eingehalten werden. Bei der Verwendung der ISO 27002 ist von Vorteil, wenn der Auditor bereits Erfahrung in Managementsystemen vorzuweisen hat.

Nach dem Audit

Im Anschluss an das Audit sollte zeitnah die Erstellung eines Auditberichts samt Maßnahmenliste erfolgen. Dies gewährleistet, dass die Auditierung noch geistig präsent ist, sollten die Aufzeichnungen an gewissen Stellen nicht eindeutig sein.

Der Auditbericht selbst ist eine Übersicht über den aktuellen Stand des Datenschutzes im Unternehmen. Er gibt einen schnellen Überblick über kritische Bereiche und sollte grafisch ansprechend gestaltet sein. Dies erleichtert eine schnelle Bewertung ohne die zwingende Notwendigkeit, den gesamten Bericht zu lesen.

Ebenso wichtig ist die Maßnahmenliste, die eine detaillierte Übersicht über die noch durchzuführenden Maßnahmen gibt. Sie dient als Arbeitsgrundlage zur weiteren Verbesserung des Datenschutzmanagementsystems. Je präziser die Maßnahmenliste die noch offenen Aufgaben beschreibt, desto leichter sind die später umzusetzen.

Wer soll das Audit durchführen?

Dies kann durch eigene Mitarbeiter erfolgen oder von externen Auditoren durchgeführt werden. Letztere bringen diverse Vorteile mit:

  • Es besteht keine „Betriebsblindheit“, d.h. der externe Auditor hat einen neutralen und objektiven Blick auf das Unternehmen.
  • Externe Auditoren werden von den eigenen Mitarbeitern anders wahrgenommen.
  • Mitarbeiter versuchen bei einem externen Auditor seltener das Auditergebnis zu ihren Gunsten zu beeinflussen. Sie erhalten ein objektives Ergebnis.

Wie geht die activeMind AG bei einem Audit vor?

Wir orientieren uns bei Datenschutzaudits an den oben aufgeführten Best Practices:

In einem ersten Schritt schulen unsere Experten die Geschäftsführung Ihres Unternehmens hinsichtlich der gesetzlichen Grundlagen des Datenschutzes. Anschließend führen wir mit den Leitern der Bereiche IT, Personal, Marketing und Service Gespräche und erfassen so den Ist-Zustand des Datenschutzes in Ihrem Unternehmen. Dabei profitieren Sie als Unternehmen von der langjährigen Expertise unserer Auditoren und einem eigens entwickelten System zur Reifegradmessung Ihrer Datenschutzprozesse.

Nach dem Audit erhalten Sie einen kompakten und anwendungsbezogenen Bericht sowie eine Liste mit konkreten und priorisierten Handlungsempfehlungen, um den Datenschutz in Ihrem Unternehmen rechtskonform und effizient zu optimieren. Vorlagen und Checklisten für Datenschutzbeauftragte sowie Verpflichtung und Datenschutzschulung Ihrer Mitarbeiter runden das Datenschutzaudit ab.

Dieser aktualisierte Artikel wurde zuerst am 26. November 2018 veröffentlicht.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.