Datenschutzaudit
Audits gibt es in vielen verschiedenen Bereichen. Generell untersucht ein Audit, ob Abläufe, Systeme u.Ä. den Anforderungen entsprechen.
Warum ein Datenschutzaudit?
Ein Datenschutzaudit überprüft, wie wirksam Datenschutz-Maßnahmen sind. Denn die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das regelmäßig kontrolliert, ob die technischen und organisatorischen Maßnahmen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen, greifen. Zur internen Datenschutz-Kontrolle und zur Vorbereitung auf ein externes Audit gehört deshalb auch ein Technik-Audit.
Vorteile eines Datenschutzaudits
Viele Unternehmen kennen interne Audits als Form der Selbstkontrolle und Forderung der Managementsysteme in verschiedenen Bereichen, u.a. im Rechnungswesen (Abschlussprüfung), im Umweltmanagement (Umwelt-Audits), im Qualitätsmanagement (Qualitätsaudits) und im Risikomanagement (Risk Assessments).
Auch der Datenschutz kennt Audits. Generell sind interne Datenschutzprüfungen empfehlenswert, damit sich der Verantwortliche ein zuverlässiges Bild über das gelebte Datenschutz-Management machen kann und um sich auf eine Prüfung durch die Datenschutzaufsichtsbehörde vorzubereiten.
Ein internes Datenschutz-Audit ist für Unternehmen aus mehreren Gründen vorteilhaft:
- Es stärkt die Eigenkontrolle des Verantwortlichen.
- Die freiwillige Selbstkontrolle bzw. -verpflichtung des Verantwortlichen führt zu einer kontinuierlichen Verbesserung.
- Ein internes Audit ergänzt und unterstützt die aufsichtsbehördliche Prüfung.
Vorgehen für ein internes Datenschutzaudit
Interne Datenschutz-Prüfungen brauchen eine Vorbereitung durch den Verantwortlichen. Dazu gehören folgende Schritte:
- Datenschutzkonzept auf Vollständigkeit prüfen, insbesondere Bestandsaufnahme der Verarbeitungstätigkeiten und der anzuwendenden datenschutzrechtlichen Regelungen
- Datenschutzpolitik und Datenschutzziele auf Aktualität und Gültigkeit prüfen
- konkrete Datenschutz- und Datensicherungsmaßnahmen auf Aktualität, Verhältnismäßigkeit und Umfang prüfen
- Implementierung des Datenschutzmanagementsystems innerhalb der Unternehmensorganisation prüfen
Bei einem internen Datenschutz-Audit werden Datenschutzbeauftragte (DSB) federführend tätig sein. Dennoch ist es wichtig, dass die Geschäftsleitung, die Verantwortlichen für die Fachverfahren, der IT-Sicherheitsbeauftragte, die IT-Leitung und die Systemadministration mitwirken.
Um ein internes Datenschutzaudit durchzuführen, bieten sich folgende Schritte an:
- intern prüfen, ob die Beschäftigten und die Geschäftsführung das Datenschutz-Managementsystem auch „leben“ und ob die Datenschutz-Kontrollen vollständig sind sowie regelmäßig stattfinden
- Datenschutz-Folgenabschätzung durchführen (Art. 35 DSGVO)
- prüfen, ob eine Datenschutzerklärung des Verantwortlichen vorliegt und ob sie aktuell ist
- Kontrollen anhand eines umfassenden Prüfungskatalogs (Checklisten) durchführen
- bei Bedarf: Aufsichtsbehörde vorher konsultieren (Art. 36 DSGVO)