Herzlich Willkommen beim Datenschutz-Soest

Zielgenaue Antworten auf alle Ihre Fragen!

Das Datenschutzaudit – erforderlich oder nur eine Belastung? 

Datenschutz ist heute unabdingbar für alle Unternehmen, Organisationen und öffentlichen Einrichtungen. Verstöße gegen Datenschutzvorgaben werden empfindlich bestraft, zum einen durch die Aufsichtsbehörden und zum anderen durch die Öffentlichkeit sowie Kunden bzw. Patienten. Häufig wirkt der Imageschaden deutlich schwerer als Bußgelder und Auflagen.  

Gemäß Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen Kontrollmechanismen in ihren Prozessen etablieren und deren Funktionsfähigkeit überwachen. So soll sichergestellt werden, dass die Vorgaben der DSGVO nachhaltig einhalten und Risiken frühzeitig identifiziert und proaktiv begegnet werden. 

Die in der DSGVO vorgesehenen Kontrollmechanismen in Form eines „Datenschutz-Managementsystem“, „Datenschutz-Folgeabschätzung“ und des „Verzeichnis der Verarbeitungstätigen“ können nur dann ihre Aufgabe vollumfänglich erfüllen, wenn ihre Vollständigkeit und Wirksamkeit geprüft werden. Ein Datenschutzaudit (§ 9a BDSG) ermöglicht eine Prüfung des vorhandenen Datenschutzniveaus durch unabhängige Dritte. Hierbei werden ggf. vorhandene Lücken aufgezeigt und praxisorientierte Handlungsempfehlungen zum Erreichen eines angemessenen Datenschutzniveaus gegeben.  

Sehr gerne unterstützen wir Sie bei der Durchführung eines Datenschutz-Audit. Als geprüfte Datenschutz-Auditoren führen wir das Prüfsigel der Bitkom und der DGI AG.  

Für wen sind Datenschutzaudits notwendig?

Ein Datenschutzaudt ist bei allen Unternehmen, Organisationen und öffentlichen Einrichtungen sinnvoll, die personenbezogene Daten verarbeiten, denn die DSGVO gilt uneingeschränkt für alle unabhängig von deren Größe oder Branche. Sehr empfehlenswert ist ein Audit bei allen Unternehmen, Organisationen und öffentlichen Einrichtungen, die keinen Datenschutzbeauftragten benannt haben, da hier häufig nicht das notwendige Wissen zur richtigen Beurteilung von datenschutzrelevanten Vorgängen vorhanden ist. Ein Datenschutzaudit ist darüber hinaus dringend zu empfehlen, wenn:

-       Mitarbeiter- und Bewerberdaten verarbeitet werden

-       Besonders schützenswerte Daten verarbeitet werden (gem. Art. 9 DSGVO)

-       Umfangreiche Auftragsverarbeitung von personenbezogenen Daten erfolgt  


Organisatorischer Auflauf eines Datenschutz-Audits

 

Ein Datenschutzaudit verläuft in fünf einzelnen Stufen:

 

 

(1)  Ist-Analyse
Zunächst werden Unternehmensprozessen / -bereichen identifiziert die ein hohes Risko für DSGVO-Verstöße aufweisen. Hierbei werden Eintrittswahrscheinlichkeit von Verstößen und Schutzbedarf der Daten berücksichtigt. 
Anschließend wird der konkrete Betrachtungsgegenstand definiert, hierbei ist klar herauszustellen welche Prozesse, Abteilungen oder Produkte einer Auditierung unterzogen werden, sowie eine Abgrenzung von nicht auditierten Abteilungen und Prozessen. Das schafft einen ersten Überblick über involvierte Personen. In diesem Schritt sollte außerdem eine grobe Zieldefinition des Datenschutzaudits erfolgen. Die Ziele eines Audits können individuell festgelegt sein: von der Prüfung der technischen und organisatorischen Maßnahmen über die Sensibilisierung der Mitarbeiter bis zum allgemeinen Überblick über das Datenschutzniveau. B
asierend auf diesen Festlegungen erfolgt die Erstellung eines groben Zeitplans für die unterschiedlichen Auditphasen. Anschließend werden die betroffenen Mitarbeiter über das Audit informiert und Gesprächspartner festgelegt. 

 

 

(2)  Voraudit
Im Rahmen des Voraudits werden relevante Dokumente gesichtet. Sollten sich Fragen ergeben, dann werden diese mit den jeweiligen Verantwortlichen besprochen. Das Ergebnis des Voraudits ist das Sollkonzept und damit die Grundlage für das Datenschutzaudit. Es ist dabei notwendig, dass gesetzliche Normen und anerkannte Standards angemessen berücksichtigt werden.

 

 

(3)  Audit
Auf Basis des im Voraudit entwickelten Soll-Konzepts erfolgt nun die Aufnahme es Ist-Zusands. Hierzu bedient sich der Auditor unterschiedlichster Methoden (Interviews; Datenanalysen; etc.). Anschließend werden die Abweichungen zwischen Ist- und Sollzustand dokumentiert und in Haupt- und Nebenabweichungen klassifiziert und Maßnahmen zur Erreichung eines angemessenen Datenschutzniveaus formuliert. 

 

 

(4)  Abschlussbericht
Der Abschlussbericht fasst die Prüfungsergebnisse zusammen und gibt für den Fall, dass Abweichungen festgestellt werden praxiserprobte Hinweis zur Beseitigung vorhandener Defizite. Der Abschlussbericht dient als Nachweis für die durchgeführte Prüfung gegenüber den Aufsichtsbehörden sowie Geschäftspartnern und andren interessierten Gruppen. 

 

 

(5)  (Re-) Audit
Um dem Nachhaltigkeitsgedanken Rechnung zu tragen sollte der Datenschutz in regelmäßigen Abständen (2 – 3 Jahre) überprüft werden, so wird sichergestellt, dass ein angemessenes Datenschutzniveau erreicht und gehalten wird.

 

 

Vorteile
Durch die Durchführung von unabhängigen Datenschutzaudits können Unternehmen und deren Vertreter Fahrlässigkeitsvorwürfe bei möglichen bisher nicht identifizierten DSGVO-Verstößen entkräften und damit drohende Bußgelder deutlich reduzieren. Darüber hinaus kommen Unternehmen so ihrer Rechtspflicht nach und erhöhen Vertrauen in die Sicherheit der verarbeiteten personenbezogenen Daten.