TLC Torsten Lippert
Management & Consulting
DATENSCHUTZ-AUDITIERUNG
Interne Datenschutzaudit für Unternehmen
Wie sieht die Zukunft aus?
Ein Datenschutzaudit zeigt Ihnen auf, wie gut die Vorschriften der Datenschutzes, der Datenschutz-Grundverordnung (DS-GVO), des Bundesdatenschutz-Gesetzes BDSG (neu) und tangierender Gesetze in Ihrem Unternehmen umgesetzt sind.
Ein gut umgesetztes Audit macht aber auch klar, wo akuter Verbesserungsbedarf besteht – und wie Sie das Datenschutzniveau konkret verbessern können. Doch was macht ein gutes Audit des unternehmerischen Datenschutzes aus? Worauf müssen Sie beim Datenschutzaudit unter der DS-GVO besonders achten? Wer sollte die Auditierung durchführen? Ein Audit untersucht, ob Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen. Ein solches Untersuchungsverfahren erfolgt häufig im Rahmen eines Qualitätsmanagements. Die Audits werden von einem speziell hierfür geschulten Auditor durchgeführt.
Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten ab
1. Ist-Analyse:
Welche Vorgänge im Unternehmen weisen besonders hohe Risiken für DS-GVO-Verstöße auf?
Überprüfung in rechtlicher (Einhaltung des Transparenzgrundsatzes der DS-GVO, Reichweite von Einwilligungen etc.) und tatsächlicher Sicht (die DS-GVO gibt vor technische und organisatorische Maßnahmen (TOM) zu ergreifen um ein angemessenes Schutzniveau zu gewährleisten)
2. TOM-Audit:
Sind ergriffene Schutzmaßnahmen „angemessen“?
Einzelfallprüfung (Liegen besonders sensible Daten vor? Bestehen Anhaltspunkte für Hackerangriffe? Sind Maßnahmen finanzierbar?)
​
3. Maßnahmenkatalog:
Ergebnis der Ist-Analyse wird in Maßnahmen eingearbeitet um einen bestimmten Soll-Zustand zu erreichen. Maßnahmen können auf rechtlicher Ebene (z.B. veränderte Einwilligungs- und Datenschutzerklärungen) und technisch-organisatorischer Art (z.B. Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten, des Datenschutzmanagementsystems) erfolgen.
​
4. Dokumentation und Prüfschleifen:
Der gesamte Datenschutzaudit ist dabei zu dokumentieren, Vorteil: Unternehmen können den Fahrlässigkeitsvorwurf bei möglichen DS-GVO-Verstößen entkräften, Bußgeldhöhe sinkt. Zudem ermöglicht die regelmäßige Überprüfung Verstöße zu verhindern. Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht nach DS-GVO nach und erhöhen das Vertrauen in die Sicherheit der Datenverarbeitung.
Was sind die Vorteile einer Auditierung?
Bei einem Audit schaut der interne oder externe Auditor ganzheitlich und von außen auf das gesamte Managementsystem. An den verschiedenen Prozessen, die das ganze System ausmachen, sind viele Personen beteiligt. Diese arbeiten oft an wichtigen Details, können aber selten alle Zusammenhänge überblicken. Das ist auch für Führungskräfte schwierig. Daher bieten Audits eine große Hilfe dabei, in der Helikopterperspektive festzustellen, wie es um das Thema Qualitätsmanagement, Umweltmanagement oder andere bestellt ist.
Darüber hinaus ist eine der wichtigsten Voraussetzungen eines Auditors – intern oder extern – Unbefangenheit. Bei einem Audit schauen also neutrale Augen auf die Umsetzung der gewählten Standards im eigenen Betrieb. Weder eigene Interessen noch eventuelle Zurückhaltung vor einem Vorgesetzten hindern einen Auditor daran, Verbesserungsvorschläge zu machen oder Kritik an der Qualitätssicherung zu äußern. Sie bekommen hier wertvollen Input zur Entwicklung Ihres Unternehmens und seltenes Feedback zu dessen Außenwirkung. Aus diesem Grund kann es in manchen Situationen auch sinnvoll sein, externe Beratung selbst für interne Audits in Anspruch zu nehmen.
