Datenschutz Audit

Auf dem Weg zu einem sicheren und ganzheitlichen Datenschutzmanagementsystem ist eine regelmäßige Bestandsaufnahme des Status Quo im Unternehmen unerlässlich. Nur wenn der Soll-Ist-Zustand fortlaufend auf die Probe gestellt wird, können Probleme erkannt und neue Lösungsansätze erarbeitet werden. Aus diesem Grund sind Datenschutz-Audits ein wesentlicher Bestandteil des PRO-DSGVO Leistungsspektrums. Dabei orientieren wir uns bei der Gestaltung unserer Audits am Standard der DIN EN ISO 19011 (Leitfaden zur Auditierung von Managementsystemen).

Welche Funktion hat ein Datenschutz Audit?

Mit Hilfe eines Datenschutz Audits wird geprüft, inwieweit das Unternehmen datenschutzkonform mit den ihm anvertrauten personenbezogenen Daten umgeht. Dabei wird sowohl die Erfassung, als auch die Speicherung und Weitergabe der Daten auf den Prüfstand gestellt. Um einen möglichst vielfältigen Eindruck zu bekommen, werden Gespräche mit Mitarbeitern geführt und diverse Unterlagen eingesehen. Ein weiterer elementarer Bestandteil des Audits besteht in der Analyse von Prozessabläufen, sowie den eingesetzten Systemen hinsichtlich der Einhaltung des Datenschutzes. Ein ggf. vorhandenes Datenschutzkonzept wird ebenso in Augenschein genommen. Auf Grundlage sämtlicher Erkenntnisse werden schließlich erste Maßnahmen und Vorgehensweisen empfohlen, um einen optimalen Soll-Zustand zu erreichen.

Für wen ist ein Datenschutz Audit ratsam?

Alle Organisationen, die personenbezogene Daten erfassen und verarbeiten, sollten regelmäßig ein Datenschutz Audit durchführen. Auf diesem Weg können die im Betrieb verankerten Arbeitsprozesse beim Umgang mit personenbezogenen und sensiblen Daten auf ihre Datenschutzkonformität überprüft werden. So ist es möglich, Schwachstellen frühzeitig zu entdecken und zu beheben. Bei einer unangekündigten Datenschutzprüfung durch externe Aufsichtsbehörden haben Sie somit weder Abmahnungen noch Bußgelder zu befürchten.

Die folgenden Fragen helfen Ihnen einzuschätzen, ob ein Datenschutz Audit in Ihrem Betrieb zu empfehlen ist. Wenn Sie mindestens eine der Fragen verneinen müssen, ist die Durchführung eines Datenschutz Audits dringend anzuraten.

Durch wen sollte ein Datenschutz Audit durchgeführt werden?

Wenn Sie sich für die Durchführung eines Datenschutz Audits entschlossen haben, sollten Sie bei der Auswahl des Dienstleisters auf die entsprechenden Qualifikationen und Erfahrungen achten. Grundsätzlich kann das Audit von Datenschutzbeauftragten, – koordinatoren oder auch IT-Sicherheitsbeauftragten durchgeführt werden. Dabei sollte berücksichtigt werden, dass der beauftragte Auditor im Idealfall unabhängig ist und das Unternehmen auch vor und nach dem Audit beraten sowie die anfallenden Maßnahmen begleiten kann.

Selbst wenn die Möglichkeit besteht, ein Audit von internen Sachverständigen durchführen zu lassen, sollte hier auf die Objektivität eines externen Gutachters vertraut werden. Das Wissen und die Erfahrungswerte eines externen Experten spiegelt sich in der Umsetzung wider und garantiert eine professionelle und effiziente Integration des Datenschutzes in den betrieblichen Alltag.

Wie ist ein Datenschutz Audit aufgebaut?

Ein Datenschutz Audit besteht grundsätzlich aus den drei Phasen der Vorbereitung, Durchführung und Nachbereitung. Was genau in den einzelnen Etappen abläuft, wird nachfolgend erläutert. 

Damit der Arbeitsalltag in Ihrem Unternehmen nicht sonderlich gestört wird, ist ein reibungsloser Ablauf des geplanten Audits wichtig. Insbesondere die frühzeitige Ankündigung und Einbeziehung der Mitarbeiter hat sich als vielversprechend herausgestellt. Dies ist insofern von Bedeutung, da nicht nur Vorgänge in der Buchhaltung, sondern auch zahlreiche weitere Bereiche des Unternehmens, beispielsweise beim Vertrieb, Marketing, Personal und IT, von Datenverarbeitungsvorgängen betroffen sind. In diesem Zusammenhang schaffen Fragebögen sowohl zur Orientierungshilfe, als auch zur Erfassung des Ist-Zustandes für die einzelnen Abteilungen eine große Abhilfe. So werden bereits im Voraus wertvolle Erkenntnisse für den Auditor gewonnen.

Bei der Durchführung eines Datenschutz Audits werden insbesondere die vier folgenden Teilbereiche bearbeitet: 

1. Allgemeines zum Datenschutz

Im ersten Abschnitt des Audits werden zunächst die allgemeinen Anforderungen der Datenschutz-Grundverordnung herausgearbeitet und dahingehend die bisherige Umsetzung des Datenschutzes im Unternehmen überprüft. Es gilt zu kontrollieren, ob die bestehenden Pflichten entsprechend umgesetzt werden. Wenn dies nicht der Fall ist, kann in einem Folgeaudit die Umsetzung nachgehalten und auf ihren Erfolg hin überprüft werden. Im Fokus stehen dabei neben den Punkten des Datenschutz-Management und der - Organisation, die Umsetzung der Informationspflicht und der Umgang mit Auftragsverarbeitern.

2. Verarbeitung der Daten in den einzelnen Unternehmensbereichen

Nachdem der allgemeine Status zum Datenschutz im Betrieb behandelt wurde, wird im zweiten Teil des Audits die Aufmerksamkeit auf die einzelnen Bereiche des Unternehmens gerichtet. Um möglichst detaillierte Informationen zu den derzeitigen Arbeitsprozessen zu erhalten, ist ein Hinzuziehen der jeweiligen Abteilungsleiter zu empfehlen. Der Fokus liegt auf den Abteilungen Finanzen, Human Ressources, IT und Vertrieb sowie Service, da hier primär personenbezogene Daten verarbeitet werden. Je nach Unternehmensstruktur können darüber hinaus auch weitere Abteilungen betroffen sein. Mit den einzelnen Verantwortlichen wird der bisherige Umgang mit der DSGVO besprochen, die Prozesse werden aufgezeichnet und mögliches Optimierungspotenzial herausgearbeitet.

3. Weitergabe der Daten

Bei der Verarbeitung von personenbezogenen Daten werden in den allermeisten Fällen die Daten sowohl intern als auch an externe Dritte weitergegeben. Dabei gilt es beispielsweise zu klären, ob weitere Auftragsverarbeiter involviert sind und entsprechende Auftragsverarbeitungsverträge geschlossen wurden. Auch die Datenweitergabe an Verbundunternehmen oder Steuerberater wird auf den Prüfstand gestellt. 

4. Sicherheit der IT-Systeme

Heutzutage findet die Verarbeitung von Daten fast ausschließlich über Computer statt. Dies bedingt einen hohen Anspruch an die Sicherheitsvorkehrungen der IT-Systeme, um die Daten vor Fremdzugriff zu schützen und den Vorgaben der DSGVO Folge zu leisten. Für eine erste Überprüfung der eigenen Systeme bieten Verbände und Experten Fragebögen oder Checklisten an, die einen Überblick über den Status Quo ermöglichen. Wichtig ist für die Sicherheit der Daten und mögliche unangekündigte Überprüfungen eine möglichst detaillierte Auflistung des Sicherheitskonzeptes und der konkreten Umsetzung.

Im Anschluss an das Audit erstellt der Auditor ein Protokoll über die datenschutzrelevanten Inhalte des Termins. Dort wird der Ist-Zustand des Unternehmens hinsichtlich der Umsetzung der DSGVO sowie erste Optimierungsansätze dargelegt. Zusätzlich finden die Verantwortlichen des Betriebes im Anhang eine Maßnahmenliste, deren Umsetzung der Optimierung des Datenschutzes gilt.

Mit welchen Kosten kann bei einem Datenschutz Audit gerechnet werden?

Bei kleinen und mittelständigen Unternehmen kann ungefähr mit Kosten von 1.200 bis 3000 Euro kalkuliert werden. Bei großen Unternehmen muss auch aufgrund komplexerer Strukturen mit höheren Kosten gerechnet werden. Da ein Datenschutz Audit jedoch grundsätzlich immer individuell auf das Unternehmen, die Anzahl der Mitarbeiter und Prozesse, sowie die jeweilige Branche zugeschnitten ist, können die Preise stets variieren.

Sie haben noch Fragen? Dann sprechen Sie uns gerne an.

Wir freuen uns, in einem unverbindlichen Erstgespräch Ihre Bedürfnisse und Ansprüche an den Datenschutz auszuloten.

Gemeinsam besprechen wir, wie unsere Datenschutzsoftware PRO-DSGVO guide und die Inanspruchnahme unserer externen Datenschutzbeauftragten Ihre individuellen Ansprüche an den Datenschutz abdecken.

Nehmen Sie Kontakt mit uns auf oder erstellen Sie direkt einen Termin in unserem Online-Kalender.