Das Datenschutzaudit: Umfang, Ablauf und Kosten

Das Wichtigste in Kürze 

• Beim Datenschutzaudit wird die Datenschutzkonformität Ihres Unternehmens gemäß DSGVO und BDSG geprüft. 
• Das Audit sollte von einem externen, unabhängigen Gutachter durchgeführt werden. Das kann beispielsweise ein Datenschutzbeauftragter sein. 
• Nach dem Datenschutzaudit werden klare Handlungsempfehlungen zu den Defiziten im Datenschutz ausgesprochen, die zum nächstmöglichen Zeitpunkt schrittweise umgesetzt werden. 

In diesem Beitrag

• Wann ist ein Datenschutzaudit sinnvoll?
• Wer ist berechtigt, einen Datenschutzaudit durchzuführen?
• Wie läuft ein Datenschutzaudit ab? 
• Welche Kosten kommen beim Datenschutzaudot auf Sie zu?

Was ist ein Datenschutzaudit? 

Ein Datenschutzaudit ist eine freiwillige Prüfung der Datenschutzkonformität Ihres Unternehmens. Es dient dazu, den Ist-Zustand im Betrieb hinsichtlich der Erfassung, Speicherung und Weitergabe personenbezogener Daten festzustellen. Ein solches Audit umfasst Gespräche mit Mitarbeiten, Dokumentenprüfungen und Untersuchungen der Systeme und Prozesse.

Auch das grundlegende Datenschutzkonzept des Unternehmens kann beim Audit einer Prüfung unterzogen werden. Basierend auf den Ergebnissen werden dann Maßnahmen vorgeschlagen und Handlungsempfehlungen ausgesprochen, die zu einem idealen Soll-Zustand im Unternehmen führen sollen. 

Die DSGVO schreibt die Einführung eines Datenschutzmanagementsystems vor. Der Umgang mit der Verarbeitung und Speicherung von Daten muss also nicht nur regelkonform sein, sondern nachweislich systematisch geplant werden. Freiwillige Datenschutzprüfungen gelten als nachweisliche Bemühung im Thema Datenschutz. Das Datenschutzaudit sollte nach ISO 19011-Standard durchgeführt werden.   

Wann ist ein Datenschutzaudit sinnvoll? 

Grundsätzlich ist das freiwillige Datenschutzaudit für jedes Unternehmen sinnvoll, dass auf jegliche Art mit der Erfassung oder Verarbeitung personenbezogener Daten beschäftigt ist. Auch kleine Unternehmen können einer unangekündigten Datenschutzprüfung durch die zuständige Aufsichtsbehörde unterzogen werden. Es ist daher sinnvoll, die Konformität mit der DSGVO in regelmäßigen Abständen zu prüfen und die Prozesse im Unternehmen zu evaluieren. Anhand der Ergebnisse aus dem Datenschutzaudit können Datenschutzprozesse optimiert werden, sodass es bei einer spontanen Datenschutzprüfung in Zukunft nicht zu Bußgeldern kommt. 

Ob ein Datenschutzaudit für Ihr Unternehmen sinnvoll ist, können Sie anhand dieser Fragen abschätzen:

• Haben Sie einen Datenschutzbeauftragten benannt? 
• Kennen sich die Abteilungen Sales und Marketing mit den Regelungen der DSGVO aus? 
• Sind Ihre IT-Systeme ausreichend geschützt (beispielsweise durch eine Firewall und Verschlüsselung)? 
• Haben Sie mit Ihren IT-Dienstleistern Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen? Wurde der Auftragsverarbeitungsvertrag (AVV) und die dazu gehörenden technischen und organisatorischen Maßnahmen (TOM) auf den datenschutzrechtlichen Mindestinhalt geprüft? 
• Wurden Ihre IT-Systeme vollständig geprüft und dokumentiert? 
• Sind Ihre Büros und ggf. Serverräume umfassend geschützt? 
• Erfasst Ihr Unternehmen von Mitarbeitern, Kunden und Partnern nur solche Daten, zu deren Erhebung Sie auch befugt sind? 
• Werden Einwilligungen per Double Opt-In eingeholt? 

Haben Sie eine oder mehrere dieser Fragen mit „Nein“ beantwortet, so ist ein Datenschutzaudit zum nächstmöglichen Zeitpunkt ratsam. 

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und erhaöten Sie weitere Informationen zu einem Datenschutzaudit:

Wer kann ein Datenschutzaudit durchzuführen? 

Für die Durchführung von Datenschutzaudits kommen Personen mit entsprechender Qualifikation und fachlicher Erfahrung infrage. Oft ist es am sinnvollsten, einen unabhängigen Gutachter mit dem Audit zu beauftragen, der Ihr Unternehmen auch vor und nach der Prüfung beraten kann. Bei diesen Gutachtern handelt es sich üblicherweise um Datenschutzbeauftragte, IT Sicherheitsbeauftragte oder Datenschutzkoordinatoren.  

Prinzipiell kann ein internes Datenschutzaudit sowohl von eigenen Mitarbeitern als auch von externen Fachleuten durchgeführt werden. Unabhängig bestellte Auditoren bringen dabei den Vorteil mit sich, dass Sie sich in Ihrem Unternehmen objektiv mit dem Thema Datenschutz befassen und nicht voreingenommen an die Prüfung herangehen. Zudem bringt er Erfahrung in der Durchführung von Datenschutzaudits nach DSGVO mit sich und arbeitet mit bewährten Fragebögen. Die neutrale Position eines externen Auditors ermöglicht ein objektives und standfestes Ergebnis des Audits. 

Wie läuft ein Datenschutzaudit ab? 

Während eines Datenschutzaudits werden die Prozesse aller Abteilungen auf ihren Umgang mit personenbezogenen Daten untersucht. Damit die Prüfung glatt und störungsfrei verläuft, sollte das Audit gut vorbereitet sein. Mit dem Ablauf des Audits kann beispielsweise ein interner Datenschutzbeauftragter betraut werden. Aber auch ein externer DSB kann das Datenschutzaudit verlässlich vorbereiten. Nachdem Sie einen Auditor für die Prüfung festgelegt haben, wird ein Termin für das Audit vereinbart. 

Für den reibungslosen Ablauf der Prüfung sollten Sie so früh wie möglich mit der Planung beginnen. Legen Sie vorab am besten einen präzisen Verlaufsplan für das Datenschutzaudit fest.

Wie wird ein Datenschutzaudit vorbereitet? 

Während eines Datenschutzaudits werden neben den Kernprozessen im Betrieb auch sogenannte Sekundärprozesse geprüft. Dabei handelt es sich um Vorgänge in den Abteilungen Einkauf, Vertrieb, Personal, Finanzen und IT, in denen mit personenbezogenen Daten gearbeitet wird.

Deshalb ist es wichtig, dass Sie Ihre Mitarbeiter frühzeitig über das geplante Audit im Datenschutz informieren, sodass sich die Abteilungen darauf vorbereiten können. Es sollte jeweils ein Mitarbeiter als Ansprechpartner der Abteilung fungieren. 

Zudem sollte ein genauer zeitliche Ablauf des Audits geplant werden. Um den Aufwand und die Zeitplanung vorab besser einschätzen zu können, ist es sinnvoll, im Vorfeld eine Art Testaudit zu veranlassen. 

Für die Durchführung eines solches Voraudits können Sie sich an einem beispielhaften Fragebogen für das Datenschutzaudit orientieren. Anhand der Ergebnisse des Testaudits können Sie abschätzen, wie viel Zeit am Tag der Prüfung tatsächlich benötigt wird. Sollten Missstände oder Sicherheitslücken schon beim Voraudit aufgedeckt werden, können diese bis zum Audit-Tag beseitigt werden.  

Je nach Größe und Standort Ihres Unternehmens können Sie zwischen einem Vor-Ort-Audit und einem Remote Audit entscheiden. Während bei der ersten Variante ein externer Auditor Ihren Unternehmensstandort besucht, läuft das Remote Audit online und ohne Besuch ab. In diesem Fall erhalten Sie einen digitalen Fragenkatalog zum Audit und dokumentieren alle Informationen zum Thema Datenschutz gemeinsam mit dem Auditor in (Video-)Telefonaten.  

Das Datenschutzaudit anhand eines Fragebogens 

Am Tag des Datenschutzaudits arbeitet der Auditor einen vorgefertigten Fragenkatalog ab. Dabei konzentriert sich die Prüfung vornehmlich auf diese vier Bereiche: 

• allgemeiner Datenschutz (z.B. Erfassung und Verarbeitungswege von Daten, Informationspflicht etc.) 
• anschließende Datenverarbeitung (z.B. Zugriffsrechte auf die erhobenen Daten, verwendete Programme etc.) 
• Weitergabe der Daten intern und an Dritte (z.B. Auftragsverarbeiter, Steuerberater, Verbundunternehmen etc.) 
• Sicherheit der Informationen (z.B. technische Vorkehrung, die zur Sicherung der Betroffenenrechte getroffen werden) 

Bei der Beantwortung des Fragenspektrums gilt, ehrlich und so präzise wie möglich zu antworten. Pauschale Antworten und leere Phrasen werden von der Aufsichtsbehörde nicht gern gesehen. Es muss daher genau deutlich werden, welche Maßnahmen ergriffen wurden, um beispielsweise Datenträger mit personenbezogenen Daten zu verschlüsseln. Auch einzelne Richtlinien können den Fragebögen beigefügt werden, um die Datenschutzkonformität zu überprüfen und darauf aufbauende Handlungsempfehlungen zu erhalten. 

Nachbereitung des Datenschutzaudits 

Im Anschluss an das Datenschutzaudit erstellt der Auditor einen Auditbericht. Dieser zeigt die Ergebnisse der Überprüfung auf und beleuchtet etwaige Schwachstellen in der Datensicherheit Ihres Unternehmens. An den Bericht schließt sich bestenfalls eine Maßnahmenliste an, die Ihnen und Ihren Mitarbeitern klare Empfehlungen zur Verbesserung des Ist-Zustands an die Hand gibt. 

Bei fast jedem Audit werden zumindest minimale Defizite aufgedeckt. Der Auditor entwickelt dann gemeinsam mit den Mitarbeitern des Unternehmens Handlungsempfehlungen, die die Missstände beheben sollen. Das könnte in der Personalabteilung zum Beispiel bedeuten, dass persönliche Daten von Bewerbern nach einiger Zeit gelöscht werden sollten. Eine Ausnahme bestünde dann, wenn der Bewerber eine Einwilligung gegeben hat, dass seine Daten in einen Bewerberpool für spätere Stellen aufgenommen werden. 

Empfehlungen umsetzen 

Die Maßnahmenliste ermöglicht eine detaillierte Übersicht über die kritischen Stellen und stellt konkrete Schritte dar, die es abzuarbeiten gilt. Je präziser hier die Vorschläge und Ansätze sind, desto früher und problemloser können die Lösungen eingeführt werden. 

Ein erster Schritt für Unternehmen ist oftmals die Benennung eines Datenschutzbeauftragten, sofern noch niemand mit dieser Aufgabe betraut wurde. Die Maßnahmenliste wird nach dem Audit schrittweise umgesetzt. Die Arbeitsfortschritte können vom DSB über eine gewisse Zeit nachverfolgt und überprüft werden, sodass den Handlungsempfehlungen auch möglichst zeitnah nachgekommen wird. Sobald Ihr Datenschutzaudit samt Änderungsmaßnahmen dann registriert wird, sind Sie auf dem besten Weg zur Datenschutzkonformität. 

Gesetzlich vorgeschriebene Datenschutzdokumentation anstoßen 

Allgemein müssen die Prozesse, die die Verarbeitung personenbezogener Daten im Unternehmen beinhalten, dokumentiert werden. Nachdem also alle Handlungsempfehlungen effektiv umgesetzt wurden, sollte diese Datenschutzdokumentation fortlaufend weitergeführt werden. Für die Dokumentation nutzen professionelle Datenschutzbeauftragte automatisierte Tools und Programme, die ihnen eine fehlerfreie Arbeit ermöglichen. 

Welche Kosten kommen beim Datenschutzaudit auf Sie zu? 

Für kleine und mittelständige Unternehmen (KMU bis 150 Mitarbeiter) kommen für einen Datenschutzaudit Kosten von 1.000 bis 3.000 Euro zusammen. Bei größeren Unternehmen können diese Kosten durch komplexere Unternehmensstrukturen durchaus höher ausfallen.

Gerne informieren wir Sie über die voraussichtlichen Kosten für ein Datenschutzaudit in Ihrem Unternehmen. Persönlich und individuell. Sprechen Sie uns einfach an.

Welche Leistungen sind im Datenschutzaudit enthalten? 

Bei DataGuard ist das Datenschutzaudit Teil der Datenschutz-as-a-Service-Lösung. Folgende Leistungen sind dabei inbegriffen: 

• Erstaufnahme sowie Beratung aller einzelnen Abteilungen 
• Gesetzlich vorgeschriebene Schulung aller Mitarbeiter zum Thema Datenschutz 
• Verfassung einer Datenschutzerklärung 
• Erstellung der Dokumentation nach Art. 30 DSGVO 
• Erstellung von Handlungsempfehlungen aufgrund des Auditberichts 

Datenschutzaudits sollten in regelmäßigen Abständen durchgeführt werden  

Ein Datenschutzaudit beleuchtet die Datenschutzprozesse in Ihrem Unternehmen und überprüft diese auf die Konformität mit der DSGVO. Auf den Ergebnissen werden dann zielführende Maßnahmen aufgebaut, deren Umsetzung langfristig zur Optimierung und stetigen Verbesserung der Datensicherheit im Unternehmen führt. Ein Datenschutzaudit bietet also einen präzisen Überblick über den Ist-Zustand im Betrieb, durch den letztendlich die Ziele für einen Soll-Zustand festgelegt werden können. 

Eine regelmäßige Überprüfung der Datenschutzkonformität im Unternehmen dient nicht nur der rechtlichen Absicherung gegenüber der DSGVO. Die Audits und einhergehende Zertifikate stärken zudem das Vertrauen von Kunden, Partnern und Mitarbeitern in Ihr Unternehmen. Um die stetige Kontrolle und Optimierung der Datenschutzorganisation im Unternehmen kümmert sich im besten Fall ein Datenschutzbeauftragter. 

Sie wollen auch ein Datenschutzaudit durchführen? Gerne unterstützen wir Sie dabei. Treten Sie einfach mit uns in Kontakt um mehr zu erfahren und einen Audittermin zu vereinbaren.