Ein Datenschutz-Audit ist eine Prüfung, bei der kontrolliert wird, ob bzw. inwiefern ein Un-ternehmen die seit Mai 2018 geltende DS-GVO tatsächlich umsetzt

Was ist ein Datenschutz-Audit?

Das Wichtigste in Kürze

  • Mit einem Datenschutz-Audit wird geprüft, ob ein Unternehmen die Datenschutz-Richtlinien der DS-GVO umsetzt.
  • Stellt der Auditor Datenschutz-Defizite fest, gibt er Empfehlungen, wie diese zu beseitigen sind.
  • Ein Datenschutz-Audit kostet für kleine oder mittlere Unternehmen (KMU, bis 150 Mitarbeiter) in der Regel zwischen 1.000 und 3.000 Euro und ist Teil des Betreuungspakets eines externen Datenschutzbeauftragten. Bei größeren Unternehmen können die Kosten je nach Anforderungen und dem damit verbundenen Aufwand deutlich höher ausfallen.

In diesem Beitrag

Die Datenschutz-Grundverordnung (DS-GVO) ist ein wichtiges Instrument, das Unternehmen verpflichtet, personenbezogene Daten – etwa von Kunden, eigenen Mitarbeitern oder Bewerbern – zu schützen und angemessen zu behandeln. Durch die DS-GVO werden Unternehmen außerdem verpflichtet, regelmäßig zu kontrollieren, ob sie die Richtlinien der Verordnung einhalten, wo eventuell Gefahren für die Daten lauern und wie diese sich minimieren lassen. Der erste Schritt zur Datenschutzkonformität ist dabei das sogenannte Datenschutz-Audit. Was sich konkret dahinter verbirgt, wer ein solches Audit durchführen darf und was es kostet, erfahren Sie in diesem Artikel.

Was ist ein Datenschutz-Audit?

Ein Datenschutz-Audit ist eine Prüfung, bei der kontrolliert wird, ob bzw. inwiefern ein Unternehmen die seit Mai 2018 geltende DS-GVO tatsächlich umsetzt. Der Auditor analysiert den datenschutzrechtlichen Ist-Zustand des Unternehmens und gleicht diesen Status Quo mit den gesetzlichen Anforderungen ab und gibt Handlungsempfehlungen, wie das Unternehmen mit seinen Abteilungen konform werden kann.

Warum ist ein Datenschutz-Audit sinnvoll?

Ein solches Audit ist notwendig, um den aktuellen Zustand des Datenschutzes in einem Unternehmen zu evaluieren und konkrete Maßnahmen zur Erreichung der gesetzlich vorgeschriebenen Datenschutzkonformität zu definieren. Anders formuliert trägt ein Datenschutz-Audit unmittelbar dazu bei, Lücken im Datenschutz zu erkennen, zu beheben und so rechtlich auf der sicheren Seite zu sein. Das vermeidet nicht nur Verluste von Kunden und Bußgelder, sondern trägt auch zur Wettbewerbsfähigkeit eines Unternehmens bei.

Wie läuft ein Datenschutz-Audit ab?

Ein Datenschutz-Audit läuft im Wesentlichen in vier Schritten ab:

1. Ist-Zustand analysieren

Zunächst werden die Prozesse aller Abteilungen im Hinblick auf den Umgang mit personenbezogenen Daten untersucht. Neben den branchenspezifischen Kernprozessen handelt es sich dabei auch um die betriebswirtschaftlich bekannten Sekundärprozesse in Personal, Finanzen, Einkauf, Vertrieb und IT. Im Idealfall arbeitet der Auditor dabei gemeinsam mit den Ansprechpartnern im Unternehmen in kurzer Zeit einen vorbereiteten Fragenkatalog ab, der aus mehreren Hundert Fragen bestehen kann.

Für jeden Kern- und jeden Sekundärprozess werden die Herkunft, die weitere Verwendung sowie die Speicherung und Löschung personenbezogener Daten abgefragt. Ein guter Auditor wird dabei möglichst ins Detail gehen und konkrete Fragen stellen, die Sie und Ihr Unternehmen auch ohne umfangreiche Datenschutzkenntnisse beantworten können.

Ein Beispiel: In der Personalabteilung wird unter anderem geprüft, ob Bewerbungsunterlagen wie Lebensläufe nach Abschluss des Bewerbungsprozesses auch wirklich gelöscht oder vernichtet werden. Denn ganz gleich, ob der Bewerber eingestellt wurde oder nicht – die Bewerbungsunterlagen sind einzig für den Bewerbungsprozess relevant. Eine weitere Speicherung, etwa für später zu besetzende Stellen, bedarf der ausdrücklichen Einwilligung durch den Bewerber. Ob diese Regelungen ausreichend umgesetzt wurden, zeigt sich durch gezielte Fragen im Datenschutz-Audit.

2. Handlungsempfehlungen abgeben

Bei fast allen Datenschutz-Audits werden Datenschutz-Defizite entdeckt. In solchen Fällen erarbeitet der Auditor gemeinsam mit dem Unternehmen Handlungsempfehlungen, auf welche Art und Weise dieser Missstand zu beheben ist. Im Fall von Bewerbungsunterlagen könnte die Empfehlung beispielsweise lauten, dass die Daten nach einigen Monaten zu löschen sind, wenn keine Einwilligung für eine Aufnahme in den Bewerberpool vorliegt.

3. Empfehlungen umsetzen und Umsetzung kontrollieren

Die meisten Maßnahmen lassen sich nicht sofort umsetzen. Deshalb muss der Datenschutzbeauftragte im nächsten Schritt kontrollieren, dass seine Empfehlungen auch tatsächlich innerhalb einer angemessenen Zeit umgesetzt werden. Gerade bei international agierenden Konzernen mit ausländischen Tochtergesellschaften kann diese Aufgabe in der Praxis sehr anspruchsvoll für den Datenschutzbeauftragten sein. Ein guter Datenschutzbeauftragter verfügt daher über ein automatisiertes Projektmanagement, das detailliert den Arbeitsfortschritt abbildet, einschließlich der Tochtergesellschaften.

4. Erstellung der gesetzlich vorgeschriebenen Datenschutzdokumentation

Alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, sind zu dokumentieren. Ein guter Datenschutzbeauftragter achtet sorgfältig darauf, dass die Dokumentation die Prozesse des erreichten rechtskonformen Zustands wiedergibt, nachdem alle Handlungsempfehlungen umgesetzt sind.

„Handarbeit“ ist bei mehr als 100 Prozessen und manchmal mehreren Tochterfirmen völlig aussichtslos. Einen guten Datenschutzbeauftragten erkennt man daher daran, dass er automatisierte Tools nutzt, welche die vorbereitete Dokumentation automatisch nachziehen. 

Benötigt mein Unternehmen ein Datenschutz-Audit?

Ein Datenschutz-Audit ist nicht nur sinnvoll, um den Status Quo zu erfassen, sondern auch eine ideale Möglichkeit, um überhaupt erst mit dem Datenschutz zu starten. Durch das Audit wird der Datenschutz in alle Abteilungen des Unternehmens hineingetragen und über die Beratung und die Handlungsempfehlungen umgesetzt. Gerade kleine und mittlere Unternehmen beginnen ihre Datenschutz-Aktivitäten oft mit einer solchen Bestandsaufnahme, seit die DS-GVO eingeführt worden ist.

Wer kann Datenschutz-Audits durchführen?

Personen mit entsprechender beruflicher Qualifikation und fachlicher Vorbildung können Datenschutz-Audits durchführen. In der Regel handelt es sich dabei um Datenschutzbeauftragte, Datenschutzkoordinatoren oder IT-Sicherheitsbeauftragte, die eine zusätzliche Zertifizierung – etwa durch TÜV, DEKRA oder Bitkom – im Datenschutz vorweisen können.

Grundsätzlich können Datenschutz-Audits sowohl von eigenen Mitarbeitern als auch von externen Dienstleistern durchgeführt werden. Externe Auditoren haben den Vorteil, dass sie nicht „betriebsblind“ sind und mit ihrem Blick von außen oft objektivere, den Branchenstandards entsprechende Ergebnisse liefern. Idealerweise bringen externe Auditoren bereits bewährte branchenspezifische Fragebögen und Prozessunterlagen mit. Wenn der Datenschutz in die Hände einer spezialisierten Firma gegeben wird, profitieren Unternehmen außerdem vom Wissen eines gesamten Teams – und können z. B. für Spezialfragen aus der IT Experten hinzuziehen.

Was kostet ein Datenschutz-Audit?

Kleine und mittelständische Unternehmen sollten für einen Datenschutz-Audit mit einmaligen Kosten zwischen 1.000 und 3.000 Euro rechnen. Dieser Pauschalbetrag umfasst dabei zahlreiche Positionen, wie abteilungsweise Erstaufnahme, Beratung aller Abteilungen, sowie die Erstellung von Handlungsempfehlungen und der gesetzlichen Datenschutzdokumentation. Enthalten ist auch die gesetzlich vorgeschriebene Schulung der Mitarbeiter, die Erstellung der Datenschutzerklärung und die Grundausstattung mit Datenschutzverträgen.

Wie lassen sich die Datenschutz-Audit-Ergebnisse in der Praxis umsetzen?

Um die Ergebnisse des Datenschutz-Audits in der Praxis umsetzen zu können, sollten Unternehmen auf diese Punkte achten:

  1. Der Datenschutz ist ein „Mitmach-Thema“ im gesamten Unternehmen. Jede Abteilung sollte umfassend darüber informiert sein, wie Datenschutz in der Praxis umgesetzt wird. Ein guter Datenschutzbeauftragter steht in engem Austausch mit den Abteilungen, um zu beraten und Fragen zu beantworten.
  2. Der Datenschutzbeauftragte und sein Team benötigen juristischen Sachverstand, Kenntnisse in der praktischen Umsetzung von Datenschutz in Prozessen, IT-Know-how und Erfahrungen im Projektmanagement.
  3. Eine weitere Komponente ist unabdingbar: ein automatisiertes Projektmanagement-Tool, das auf Knopfdruck Auskunft über den Status quo beim Datenschutz geben kann. Mit einem solchen Tool erstellt der Datenschutzbeauftragte auch seinen obligatorischen Bericht an die Geschäftsleitung. Außerdem unterstützt es ihn dabei, die Umsetzung von Maßnahmen innerhalb der einzelnen Abteilungen zu terminieren und zu steuern.

Fazit

Ein Datenschutz-Audit ist die Grundlage, um ein Unternehmen datenschutzkonform zu organisieren. Das Ziel des Audits lautet, Defizite im Datenschutz und Gegenmaßnahmen aufzuzeigen und so dazu beizutragen, dass ein Unternehmen alle gesetzlichen Richtlinien einhält.

Das Datenschutz-Audit ist dabei mehr als „nur“ eine Ist-Analyse der aktuellen Situation. Von zentraler Bedeutung ist es, aus der Bestandsaufnahme Handlungsempfehlungen abzuleiten und deren Umsetzung zu kontrollieren und zu dokumentieren.

Über den Autor

Dr. Teẞmar von Bonin

Dr. Teßmar von Bonin, Senior Sales Manager bei DataGuard, kam mit dem Thema Datenschutz das erste Mal als Ländermanager in einem amerikanischen Softwarehaus in Berührung. Damals stellte die amerikanische Muttergesellschaft immer höhere Anforderungen an das Reporting. Nur musste die Datenerfassung auch mit dem europäischen Datenschutz in Einklang gebracht werden. Eine Herausforderung, für die sich der Diplom-Kaufmann noch heute begeistert: „Mich interessiert besonders zu erleben, ob und wie sich auch die großen Player den europäischen Datenschutzprinzipien unterstellen müssen.“ Trotz der unglaublichen technischen Möglichkeiten steht für ihn der Schutz der Persönlichkeitsrechte des Einzelnen an erster Stelle. Eine Aufgabe, der Teßmar sich bei der Betreuung seiner Kunden verschrieben hat. Wenn er mal frei hat, geht‘s raus zum Wandern oder auf Reisen.

Weitere Beiträge von Dr. Teẞmar von Bonin

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
089 442 550 - 62649 bundesweiter Service