Der rechtliche Ausgangspunkt für Datenschutz-Audits findet sich in den Rechenschafts- und den Nachweispflichten (Accountability) des Verantwortlichen (Art. 5 Abs. 2 Datenschutz-Grundverordnung (DSGVO)). Insbesondere um Haftungs-/Bußgeldrisiken zu vermeiden, hat der Verantwortliche ein Interesse daran, zu prüfen, ob er die Anforderungen von DSGVO & Co. erfüllt. Und Nachweispflichten gibt es in der Grundverordnung einige: Dazu gehören etwa die Datenschutz-Grundsätze (Art. 5 DSGVO), der Nachweis von Einwilligungserklärungen (Art. 7 und 8 DSGVO) oder Datensicherheitsmaßnahmen (Art. 32 DSGVO).
Das Datenschutz-Audit in der Praxis: Gegenstand, Inhalte, Anforderungen
Die typischen Datenschutz-Audits, die ein DSB in der Praxis durchführt, sind zu unterscheiden von den rechtlichen Instrumenten „genehmigte Verhaltensregeln“ (Art. 40 DSGVO) und „Zertifizierung“ (Art. 42 DSGVO). Beiden gehen zwar ebenfalls „Audits“ voraus. Sie haben sich aber bisher in der Praxis noch nicht oder nicht flächendeckend etabliert. Daher besitzen sie für die breite Masse an Unternehmen aktuell nur eine untergeordnete Bedeutung.
Internes oder externes Datenschutz-Audit?
Die erste Frage, die sich im Zusammenhang mit einem Datenschutz-Audit stellt, ist, wie das Audit im Unternehmen durchgeführt werden soll: intern oder von extern?
- Intern meint, dass Personen, die zum…