Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

13. Mai 2022

Das Datenschutz-Audit in der Praxis: Gegenstand, Inhalte, Anforderungen

DP+
Haben Sie einmal das theoretische Grundgerüst, gilt: „Training on the job“ ist die beste Möglichkeit, bei Datenschutz-Audits sattelfest zu werden
Bild: iStock.com / putilich
4,00 (1)
Wichtige Aufgabe für Datenschutzbeauftragte
Ein Datenschutz-Audit ist ein systematischer und dokumentierter Prozess, um zu prüfen, ob eine Organisation die gesetzlichen Bestimmungen im Bereich des Datenschutzes einhält. Zu einem Audit gehört, Schwächen zu identifizieren und Maßnahmen, um sie zu beseitigen. Ziel ist es, Erkenntnisse über die datenschutzrechtliche Konformität zu erlangen. Lesen Sie, wie Sie dazu am besten vorgehen.

Der rechtliche Ausgangspunkt für Datenschutz-Audits findet sich in den Rechenschafts- und den Nachweispflichten (Accountability) des Verantwortlichen (Art. 5 Abs. 2 Datenschutz-Grundverordnung (DSGVO)). Insbesondere um Haftungs-/Bußgeldrisiken zu vermeiden, hat der Verantwortliche ein Interesse daran, zu prüfen, ob er die Anforderungen von DSGVO & Co. erfüllt. Und Nachweispflichten gibt es in der Grundverordnung einige: Dazu gehören etwa die Datenschutz-Grundsätze (Art. 5 DSGVO), der Nachweis von Einwilligungserklärungen (Art. 7 und 8 DSGVO) oder Datensicherheitsmaßnahmen (Art. 32 DSGVO).

Genehmigte ­Verhaltensregeln und Zertifizierung

Die typischen Datenschutz-­Audits, die ein DSB in der Praxis durchführt, sind zu unterscheiden von den rechtlichen Instrumenten „genehmigte Verhaltensregeln“ (Art. 40 DSGVO) und „Zertifizierung“ (Art. 42 DSGVO). Beiden gehen zwar ebenfalls „Audits“ voraus. Sie haben sich aber bisher in der Praxis noch nicht oder nicht flächendeckend etabliert. Daher besitzen sie für die breite Masse an Unternehmen aktuell nur eine untergeordnete Bedeutung.

Internes oder externes ­Datenschutz-Audit?

Die erste Frage, die sich im Zusammenhang mit einem Datenschutz-Audit stellt, ist, wie das Audit im Unternehmen durchgeführt werden soll: intern oder von extern?

  • Intern meint, dass Personen, die zum…
Dr. Kevin Marschall
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Kevin Marschall
Dr. Kevin Marschall
Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und ist zudem als externer Datenschutzbeauftragter tätig.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.