Datenschutz Audit
Auf dem Weg zu einem sicheren und ganzheitlichen Datenschutzmanagementsystem ist eine regelmäßige Bestandsaufnahme des Status Quo im Unternehmen unerlässlich. Nur wenn der Soll-Ist-Zustand fortlaufend auf die Probe gestellt wird, können Probleme erkannt und neue Lösungsansätze erarbeitet werden. Aus diesem Grund sind Datenschutz-Audits ein wesentlicher Bestandteil des PRO-DSGVO Leistungsspektrums. Dabei orientieren wir uns bei der Gestaltung unserer Audits am Standard der DIN EN ISO 19011 (Leitfaden zur Auditierung von Managementsystemen).
Welche Funktion hat ein Datenschutz Audit?
Für wen ist ein Datenschutz Audit ratsam?
Alle Organisationen, die personenbezogene Daten erfassen und verarbeiten, sollten regelmäßig ein Datenschutz Audit durchführen. Auf diesem Weg können die im Betrieb verankerten Arbeitsprozesse beim Umgang mit personenbezogenen und sensiblen Daten auf ihre Datenschutzkonformität überprüft werden. So ist es möglich, Schwachstellen frühzeitig zu entdecken und zu beheben. Bei einer unangekündigten Datenschutzprüfung durch externe Aufsichtsbehörden hast du somit weder Abmahnungen noch Bußgelder zu befürchten.
Die folgenden Fragen helfen Ihnen einzuschätzen, ob ein Datenschutz Audit in Ihrem Betrieb zu empfehlen ist. Wenn Sie mindestens eine der Fragen verneinen müssen, ist die Durchführung eines Datenschutz Audits dringend anzuraten.
- Wurde in Ihrem Unternehmen bereits ein Datenschutzbeauftragter berufen?
- Sind die Vorgaben der Datenschutz-Grundverordnung den einzelnen Abteilungen Ihres Unternehmens bekannt?
- Werden bei der Datenerfassung in Ihrem Betrieb nur jene Daten von Kunden, Beschäftigten und Kooperationspartnern erhoben, zu deren Verarbeitung Sie berechtigt sind?
- Gibt es ausreichende Verschlüsselungen, Firewalls oder ähnliche Sicherheitssysteme für Ihre IT-Systeme?
- Ist der Schutz Ihrer Büro- und ggf. Serverräume ausreichend gewährleistet?
- Wurde mit allen Dienstleistern, die ebenfalls Zugangsmöglichkeiten auf die von Ihnen erfassten personenbezogene Daten haben, entsprechende Auftragsverarbeitungsverträge geschlossen?
- Entsprechen die technischen und organisatorischen Maßnahmen Ihres Betriebes den Anforderungen an den Datenschutz?
- Haben Sie daran gedacht, Einwilligungen, zum Beispiel zum Newsletter, per Double-Opt-In Verfahren einzuholen?
Durch wen sollte ein Datenschutz Audit durchgeführt werden?
Wenn Sie sich für die Durchführung eines Datenschutz Audits entschlossen haben, sollten Sie bei der Auswahl des Dienstleisters auf die entsprechenden Qualifikationen und Erfahrungen achten. Grundsätzlich kann das Audit von Datenschutzbeauftragten, – koordinatoren oder auch IT-Sicherheitsbeauftragten durchgeführt werden. Dabei sollte berücksichtigt werden, dass der beauftragte Auditor im Idealfall unabhängig ist und das Unternehmen auch vor und nach dem Audit beraten sowie die anfallenden Maßnahmen begleiten kann.
Selbst wenn die Möglichkeit besteht, ein Audit von internen Sachverständigen durchführen zu lassen, sollte hier auf die Objektivität eines externen Gutachters vertraut werden. Das Wissen und die Erfahrungswerte eines externen Experten spiegelt sich in der Umsetzung wider und garantiert eine professionelle und effiziente Integration des Datenschutzes in den betrieblichen Alltag.
Wie ist ein Datenschutz Audit aufgebaut?
Ein Datenschutz Audit besteht grundsätzlich aus den drei Phasen der Vorbereitung, Durchführung und Nachbereitung. Was genau in den einzelnen Etappen abläuft, wird nachfolgend erläutert.
Damit der Arbeitsalltag in Ihrem Unternehmen nicht sonderlich gestört wird, ist ein reibungsloser Ablauf des geplanten Audits wichtig. Insbesondere die frühzeitige Ankündigung und Einbeziehung der Mitarbeiter hat sich als vielversprechend herausgestellt. Dies ist insofern von Bedeutung, da nicht nur Vorgänge in der Buchhaltung, sondern auch zahlreiche weitere Bereiche des Unternehmens, beispielsweise beim Vertrieb, Marketing, Personal und IT, von Datenverarbeitungsvorgängen betroffen sind. In diesem Zusammenhang schaffen Fragebögen sowohl zur Orientierungshilfe, als auch zur Erfassung des Ist-Zustandes für die einzelnen Abteilungen eine große Abhilfe. So werden bereits im Voraus wertvolle Erkenntnisse für den Auditor gewonnen.
Bei der Durchführung eines Datenschutz Audits werden insbesondere die vier folgenden Teilbereiche bearbeitet:
1. Allgemeines zum Datenschutz
Im ersten Abschnitt des Audits werden zunächst die allgemeinen Anforderungen der Datenschutz-Grundverordnung herausgearbeitet und dahingehend die bisherige Umsetzung des Datenschutzes im Unternehmen überprüft. Es gilt zu kontrollieren, ob die bestehenden Pflichten entsprechend umgesetzt werden. Wenn dies nicht der Fall ist, kann in einem Folgeaudit die Umsetzung nachgehalten und auf ihren Erfolg hin überprüft werden. Im Fokus stehen dabei neben den Punkten des Datenschutz-Management und der - Organisation, die Umsetzung der Informationspflicht und der Umgang mit Auftragsverarbeitern.
2. Verarbeitung der Daten in den einzelnen Unternehmensbereichen
Nachdem der allgemeine Status zum Datenschutz im Betrieb behandelt wurde, wird im zweiten Teil des Audits die Aufmerksamkeit auf die einzelnen Bereiche des Unternehmens gerichtet. Um möglichst detaillierte Informationen zu den derzeitigen Arbeitsprozessen zu erhalten, ist ein Hinzuziehen der jeweiligen Abteilungsleiter zu empfehlen. Der Fokus liegt auf den Abteilungen Finanzen, Human Ressources, IT und Vertrieb sowie Service, da hier primär personenbezogene Daten verarbeitet werden. Je nach Unternehmensstruktur können darüber hinaus auch weitere Abteilungen betroffen sein. Mit den einzelnen Verantwortlichen wird der bisherige Umgang mit der DSGVO besprochen, die Prozesse werden aufgezeichnet und mögliches Optimierungspotenzial herausgearbeitet.
3. Weitergabe der Daten
Bei der Verarbeitung von personenbezogenen Daten werden in den allermeisten Fällen die Daten sowohl intern als auch an externe Dritte weitergegeben. Dabei gilt es beispielsweise zu klären, ob weitere Auftragsverarbeiter involviert sind und entsprechende Auftragsverarbeitungsverträge geschlossen wurden. Auch die Datenweitergabe an Verbundunternehmen oder Steuerberater wird auf den Prüfstand gestellt.
4. Sicherheit der IT-Systeme
Heutzutage findet die Verarbeitung von Daten fast ausschließlich über Computer statt. Dies bedingt einen hohen Anspruch an die Sicherheitsvorkehrungen der IT-Systeme, um die Daten vor Fremdzugriff zu schützen und den Vorgaben der DSGVO Folge zu leisten. Für eine erste Überprüfung der eigenen Systeme bieten Verbände und Experten Fragebögen oder Checklisten an, die einen Überblick über den Status Quo ermöglichen. Wichtig ist für die Sicherheit der Daten und mögliche unangekündigte Überprüfungen eine möglichst detaillierte Auflistung des Sicherheitskonzeptes und der konkreten Umsetzung.
Im Anschluss an das Audit erstellt der Auditor ein Protokoll über die datenschutzrelevanten Inhalte des Termins. Dort wird der Ist-Zustand des Unternehmens hinsichtlich der Umsetzung der DSGVO sowie erste Optimierungsansätze dargelegt. Zusätzlich finden die Verantwortlichen des Betriebes im Anhang eine Maßnahmenliste, deren Umsetzung der Optimierung des Datenschutzes gilt.
Mit welchen Kosten kann bei einem Datenschutz Audit gerechnet werden?
Bei kleinen und mittelständigen Unternehmen kann ungefähr mit Kosten von 1.200 bis 3.000 Euro kalkuliert werden. Bei großen Unternehmen muss auch aufgrund komplexerer Strukturen mit höheren Kosten gerechnet werden. Da ein Datenschutz Audit jedoch grundsätzlich immer individuell auf das Unternehmen, die Anzahl der Mitarbeiter und Prozesse, sowie die jeweilige Branche zugeschnitten ist, können die Preise stets variieren.
Sie haben noch Fragen? Dann sprechen Sie uns gerne an.
Wir freuen uns, in einem unverbindlichen Erstgespräch Ihre Bedürfnisse und Ansprüche an den Datenschutz auszuloten.
Gemeinsam besprechen wir, wie unsere Datenschutzsoftware PRO-DSGVO Guide, die Inanspruchnahme unserer externen Datenschutzbeauftragten oder unsere Datenschutz-Tools Ihre individuellen Ansprüche an den Datenschutz abdecken.
Nehmen Sie Kontakt mit uns auf oder vereinbaren Sie direkt einen Termin in unserem Online-Kalender.