Datenschutzaudit für Unternehmen: Erklärung, Ablauf und Kosten eines Audits für Datenschutz

Im Rahmen der DSGVO wird ein Datenschutzmanagementsystem vorgesehen. Unternehmen sind in diesem Kontext dazu aufgefordert, den Schutz von Daten systematisch zu planen und die Umsetzung getroffener Maßnahmen zu kontrollieren.

So ist unter anderem die Rede von einem „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ (Art. 32 Abs. 1 d) DSGVO).

Indem Ihr Unternehmen ein Datenschutz-Audit durchführt, kommen Sie außerdem der Rechenschaftspflicht von Unternehmen gemäß Art. 5 Abs. 2 DSGVO nach. Entsprechend müssen Sie nachweisen, dass bestimmte Datenschutzgrundsätze eingehalten werden (Art. 5 Abs. 1 DSGVO). Zu diesen Grundsätzen gehören:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Von einem sogenannten Audit ist im Zusammenhang mit Datenschutz die Rede, wenn die anfängliche datenschutzrechtliche Bestandsaufnahme eines Unternehmens erneut überprüft wird. Bei einer solchen Bestandsaufnahme werden alle datenschutzrechtlich relevanten Abläufe in einem Unternehmen untersucht. Wird ein Datenschutz-Audit durchgeführt, werden alle hier identifizierten Abläufe kontrolliert. Dabei liegt der Fokus auf der Durchführung und Umsetzung der getroffenen Datenschutzmaßnahmen.

Damit handelt es sich bei einem Datenschutz-Audit im Wesentlichen um die Möglichkeit, als Unternehmen freiwillig die Einhaltung der Datenschutzrichtlinien und -vorschriften zu überprüfen. Das Datenschutz-Audit wird außerdem dazu genutzt, um zu prüfen, ob für das Unternehmen zusätzliche datenschutzrechtliche Aufgaben oder Pflichten seit dem letzten Audit hinzugekommen sind. So kann sich u. a. die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) ergeben, wenn dies zuvor nicht der Fall war.

Falls bereits ein Datenschutzbeauftragter vorhanden ist, der eine Bestandsaufnahme durchgeführt hat, richten sich Umfang und Ablauf des Audits zunächst nach dem letzten Tätigkeitsbericht. Außerdem müssen das aktuelle Verzeichnis der Verarbeitungstätigkeiten und die aufgenommenen technischen und organisatorischen Maßnahmen (TOM) beachtet werden. Auch eine Überprüfung der Auftragsverarbeitungsverträge bietet sich an.

In einem Tätigkeitsbericht dokumentiert der DSB in der Regel alle Maßnahmen, die unternehmensintern zur Gewährleistung des Datenschutzes und der Datensicherheit ergriffen werden.

In dem sogenannten Verzeichnis von Verarbeitungstätigkeiten führt der Verantwortliche alle vorgenommenen Formen der Datenverarbeitungen auf, die in seinen Zuständigkeitsbereich fallen. Neben den Kontaktdaten des Verantwortlichen müssen laut Art. 30 Abs. 1 DSGVO folgende Angaben gemacht werden:

• Verarbeitungszwecke
• Kategorien betroffener Personen
• Kategorien personenbezogener Daten
• Kategorien von Empfängern, denen Daten offengelegt wurden
• ggf. Datenübermittlungen an Drittländer oder internationale Organisationen
• vorgesehene Löschungsfristen der verschiedenen Datenkategorien (wenn möglich)
• allgemeine Beschreibung aller technischen und organisatorischen Maßnahmen (wenn möglich)

Auch dann, wenn ein Auftragsverarbeiter hinzugezogen wird, muss dieser ein solches Verzeichnis in einer leicht verschlankten Form führen.

Bei dem sogenannten Verantwortlichen handelt es sich um eine Person, die allein oder gemeinsam mit anderen darüber entscheidet, warum bzw. wofür (Zwecke) und wie (Mittel) personenbezogene Daten verarbeitet werden. Hier muss es sich jedoch nicht zwangsläufig um eine Person handeln. Auch Behörden, Einrichtungen oder andere Stellen können Verantwortlicher sein. Grundsätzlich fungiert das Unternehmen als solches und in seiner Gesamtheit, z. B. in Form einer GmbH oder AG, als Verantwortlicher. Auftragsverarbeiter wiederum können vom Verantwortlichen für die Datenverarbeitung beauftragt werden.

Wenn Sie ein Datenschutz-Audit anstreben, sind prinzipiell verschiedene Audit-Formate möglich. Für gewöhnlich ist ein Audit dazu gedacht, eine bereits bestehende Bestandsaufnahme zu auditieren. Jedoch kann ein Audit ebenfalls genutzt werden, um die gesamte datenschutzrechtliche Situation eines Unternehmens erstmalig zu überprüfen. Soll Datenschutz eingeführt werden, wird zu Beginn ein Datenschutzaudit notwendig. Prinzipiell ist ein Audit vor Ort oder in digitaler Form (Remote Audit) denkbar. Daneben existieren z. B. die folgenden Formen:

Im Rahmen eines TOM-Audits werden alle technischen und organisatorischen Maßnahmen überprüft, die ein Unternehmen zur Sicherstellung des Datenschutzes eingerichtet hat. Dabei ist unter anderem Ziel, einschätzen zu können, ob die von Ihrem Unternehmen ergriffenen Maßnahmen angemessen sind. Ein solches Audit wird meistens als Vor-Ort-Audit durchgeführt. Dazu bietet es sich im Vorhinein an, alle technisch-organisatorischen Maßnahmen zu sammeln.

Haben Sie unternehmensintern ein Datenschutzaudit umgesetzt, ist es womöglich von Interesse, eine Zweitmeinung einzuholen. Hierfür können unabhängige Gutachter bzw. Dienstleister mit entsprechender Fachexpertise hinzugezogen werden, die ein eigenes Audit erstellen. Auf diesem Weg wird die Effizienz Ihres Audits überprüft. Außerdem tun sich so in vielen Fällen bisher nicht identifizierte Schwachstellen und Risiken auf.

Ein Datenschutzaudit wird auch dann in Betracht gezogen, wenn der Verantwortliche innerhalb des Unternehmens einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen will oder bereits beauftragt hat. Stellen Sie in einem solchen Fall sicher, dass das beauftragte Unternehmen alle erforderlichen datenschutzrechtlichen Vorgaben einhält. Es handelt sich dann um ein externes Audit und einen wichtigen Anwendungsfall, da der Verantwortliche zunächst für Datenschutzverstöße seiner Auftragsverarbeiter haftet.

Der Verantwortliche ist dazu verpflichtet, Auftragsverarbeiter sorgfältig auszuwählen, und zu überprüfen, ob ein angemessenes Datenschutzniveau für den konkreten Verarbeitungsfall eingehalten wird. Der Umfang des Audits umfasst dann die datenschutzrechtliche Überprüfung des Auftragsverarbeitungsvertrages und der technischen und organisatorischen Maßnahmen (TOM) des Auftragnehmers.

Letztere beziehen sich vor allem auf die Umsetzung angemessener IT-Sicherheitsmaßnahmen bei der Verarbeitung der personenbezogenen Daten, aber auch auf die Verwendung der erforderlichen Unternehmensrichtlinien oder Betriebsvereinbarungen. Bei laufenden Vertragsverhältnissen kann abhängig von den Umständen auch ein Vor-Ort-Audit erforderlich sein.

Der Datenschutz muss sich ständig an neue Entwicklungen und Gegebenheiten im Unternehmen anpassen. Neue Software wird eingeführt, Abläufe werden ergänzt, geändert oder abgeschafft, das Dienstleistungsportfolio wird erweitert – all dies sind Vorgänge, die während des laufenden Betriebs an den Datenschutzbeauftragten gemeldet werden und deren Umsetzung er unterstützend berät. Dennoch kommt es vor, dass bestimmte Vorgänge aus dem Blick geraten. Das Datenschutz-Audit dient dazu, dies geordnet aufzuarbeiten. Außerdem werden weitere datenschutzrechtliche Themen oftmals erst im Rahmen eines solchen Termins offenbar.

Darüber hinaus werden auch die Wirksamkeit, Umsetzung und Durchführung bereits getroffener Maßnahmen überprüft und besprochen. Stellen sich einzelne Maßnahmen als nicht angemessen heraus, kann das Audit zum Anlass genommen werden, etwaige Änderungen an Prozessen vorzunehmen. Ergänzend kann der Umsetzungsstand größerer Projekte besprochen werden.

Neben einer rechtlichen Absicherung und der Risikominimierung durch potenzielle Verstöße, können Datenschutz-Audits die internen und externen Beziehung Ihres Unternehmens verbessern, indem Vertrauen aufgebaut wird. Wichtige Personengruppen sind neben Ihren Kunden vor allem auch Ihre eigenen Mitarbeiter und Geschäftspartner.

Außerdem verfügen Sie durch ein Audit des Datenschutzes über einen Nachweis, dass Ihr Unternehmen vertragliche sowie rechtliche Anforderungen erfüllt.

Grundsätzlich sollte die DSGVO-Konformität eines Unternehmens regelmäßig evaluiert werden, um eine Verbesserung des Datenschutzniveaus zu ermöglichen. Aufsichtsbehörden führen zudem unangekündigt Datenschutzprüfungen durch, weshalb freiwillige Bestreben ratsam sind. So wird Pannen und möglichen Bußgeldern vorgebeugt.

Ein Datenschutzaudit ist spätestens dann empfehlenswert, wenn:

• Verdacht auf einen möglichen Hacker-Angriff besteht,
• umfangreiche Auftragsverarbeitungsverträge vorliegen,
• Zweifel an der Sicherheit der unternehmenseigenen IT-Systeme bestehen,
• unklar ist, ob ein Datenschutzbeauftragter benannt werden muss bzw. sollte oder
• allgemeine und/oder abteilungsbezogene Sicherheitsmaßnahmen fehlen.

Ein Prüfintervall wird durch das Gesetz nicht vorgeschrieben. Es bietet sich jedoch an, ein solches Audit mindestens jährlich durchzuführen. Bei der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten ist sogar ein höheres Intervall ratsam.

Da sich die DSGVO an alle Unternehmen richtet, die personenbezogene Daten verarbeiten, ist das Audit von allen Unternehmen durchzuführen – unabhängig von ihrer Größe. Ist kein betrieblicher oder externer Datenschutzbeauftragter benannt, ist das Audit von der Geschäftsführung durchzuführen. Diese kann ebenfalls einen externen Experten beauftragen und mit der Durchführung des Audits betrauen.

Je nach Größe und Struktur Ihres Unternehmens ist mit unterschiedlichen Kosten zu rechnen. Auf kleine und mittelgroße Unternehmen kommen mitunter Kosten zwischen 1.000 und 3.000 Euro zu. Mit zunehmender Komplexität steigen die Gebühren für gewöhnlich.

In jedem Fall sollte das Audit von qualifizierten und erfahrenen Personen im Bereich Datenschutz durchgeführt werden. Oftmals bietet es sich an, einen externen Dienstleister oder Gutachter hinzuzuziehen. So profitiert Ihr Unternehmen auch zwischen Audits von fachkundiger Beratung.

Allerdings ist auch ein Datenschutzaudit durch eine Person des eigenen Unternehmens möglich. Infrage kommen vor allem Datenschutzbeauftragte (DSB), IT-Sicherheitsbeauftragte und Datenschutzkoordinatoren.

Zur Realisierung eines Datenschutzaudits sind zentral die drei Phasen Vorbereitung, Durchführung und Nachbereitung relevant. Im Wesentlichen geht es darum, den Ist-Zustand Ihres Unternehmens in Bezug auf den Schutz personenbezogener Daten zu ermitteln (Bestandsaufnahme), Schwachstellen als auch Missstände aufzudecken und einem angestrebten Soll-Zustand durch konkrete Maßnahmen schrittweise näherzukommen.

Je nach Größe und Struktur des Unternehmens ist es möglich, ein Audit in einem Termin für das gesamte Unternehmen durchzuführen. Bei großen Einheiten und komplexen Unternehmenszusammenhängen reicht dies jedoch aus Erfahrung nicht vollumfänglich aus. Dann bietet es sich an, das Audit für einzelne Abteilungen und Tätigkeitsbereiche gesondert anzusetzen und separat durchzuführen.

Vor der Durchführung des Audits ist es empfehlenswert, alle Abteilungen und die hier beschäftigten Mitarbeiter zeitnah über das geplante Audit zu informieren. So haben die einzelnen Abteilungen die Möglichkeit, sich vorbereiten. Im besten Fall wird pro Abteilung ein konkreter Ansprechpartner festgelegt. Gerade in großen Unternehmen sollte das Audit möglichst persönlich mit den jeweiligen Abteilungsverantwortlichen durchgeführt werden. Grundsätzlich kann jedoch auch ein anderer Mitarbeiter diese Rolle übernehmen.

Bevor das Audit startet, sollten Sie den Ablauf so detailliert wie möglich planen, um den inhaltlichen und zeitlichen Aufwand besser abschätzen zu können. Außerdem werden für gewöhnlich die Prüfziele des Datenschutzaudits festgelegt.

Zunächst gilt es, den datenschutzrechtlichen Ist-Zustand Ihres Unternehmens umfassend auszuwerten. Hier bietet es sich an, in einem ersten Schritt den allgemeinen Datenschutz zu erfassen. Die folgenden Fragen geben Ihnen eine grobe Vorstellung, welche Aspekte in diesem Kontext u. a. eine Rolle spielen:

• Welche Pflichten ergeben sich für Ihr Unternehmen aus der DSGVO?
• Gibt es konkrete Regelungen und werden diese umgesetzt bzw. eingehalten?
• Erfüllen die Maßnahmen (z. B. Datensicherungsmaßnahmen) die angestrebten Ziele?
• Wie werden Datenschutzverletzungen im Unternehmen gehandhabt?
• Welche Arten und Wege der Datenverarbeitung und Datenerfassung gibt es?
• Welche Betroffenenrechte sind zu beachten?
• Wird das Verzeichnis von Verarbeitungstätigkeiten den Vorgaben entsprechend geführt?
• Sind alle Mitarbeiter ausreichend für das Thema Datenschutz sensibilisiert?
• Wie werden Zugriffsrechte im Unternehmen verteilt? Liegen alle notwendigen Berechtigungen vor?
• Welche Programme werden im Umgang mit personenbezogenen Daten verwendet?

Primär geht es in diesem Schritt darum, das Datenschutzmanagementsystem, bisherige Datenschutz-Folgeabschätzungen sowie das Verzeichnis von Verarbeitungstätigkeiten einer Kontrolle zu unterziehen.
Auch die Einbindung des Datenschutzbeauftragten und die Kenntnisse bzw. Kompetenzen der Mitarbeiter spielen hier eine wichtige Rolle.

In einem nächsten Schritt widmen Sie sich einzelnen Abteilungen bzw. Geschäftsbereichen Ihres Unternehmens und analysieren diese in Bezug auf ihren Umgang mit personenbezogenen Daten und die installierten Prozesse.

Insbesondere die Personal- und IT-Abteilung sowie die Bereiche Marketing, Service und Vertrieb sollten im Rahmen des Datenschutz-Audits überprüft werden. Diese Geschäftsbereiche sind besonders relevant, da diese für gewöhnlich mit besonders vielen Daten in Kontakt kommen. Beziehen Sie nichtsdestotrotz abhängig vom Unternehmen auch andere datenschutzrechtlich relevante Abteilungen mit ein.

Letztlich muss die Sicherheit der Daten bzw. der verarbeiteten Informationen gewährleistet werden (Informationssicherheit). Dazu werden die von Ihrem Unternehmen getroffenen technischen und organisatorischen Maßnahmen (TOM) begutachtet.

Der Bereich der Informationssicherheit wird in der DSGVO in Artikel 32 behandelt. Hier werden einige Maßnahmen beschrieben wie z. B. die „Pseudonymisierung und Verschlüsselung personenbezogener Daten“. Ergänzend ist es oftmals sinnvoll, Fragenkataloge von Verbänden im Bereich Datenschutz hinzuzuziehen. Auch die ISO Norm 27002 wird für die Kontrolle der Informationssicherheit herangezogen.

Grundsätzlich ist es ratsam, alle Mitarbeiter im Rahmen des Audits beispielsweise bei Fragebögen darum zu bitten, diese möglichst präzise und wahrheitsgemäß auszufüllen. Hierdurch stellen Sie einen positiven Mehrwert sowie die Qualität des Datenschutz-Audits sicher.

Es ist zu empfehlen, nach der Durchführung des Datenschutz-Audits einen aktualisierten Tätigkeitsbericht zu erstellen, den der Datenschutzbeauftragte der Geschäftsführung zukommen lässt. Dieser dient auch als Nachweis für seine Tätigkeit und ist auf die Berichtspflicht (Art. 38 Abs. 3 DSGVO) zurückzuführen. Entsprechend dieser Pflicht muss ein Datenschutzbeauftragter an die höchste Managementstufe berichten. Die Geschäftsführung und ggf. die entsprechenden Ansprechpartner sollten stets informiert und beraten werden.

In diesem Zuge bereitet der DSB aktuelle oder neu identifizierte Themenfelder gegebenenfalls gesondert auf. Außerdem sollten aktuelle Schwachstellen in den Maßnahmen und Prozessen zur Sicherstellung des Datenschutzes konkret aufgezeigt werden. Daneben ist oftmals eine Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten für die Aufsichtsbehörde sowie der technischen und organisatorischen Maßnahmen (TOM) erforderlich.

Wird mithilfe des Audits festgestellt, dass zusätzliche Maßnahmen getroffen werden müssen, um ein angemessenes Datenschutzniveau zu gewährleisten, so wird dies entsprechend festgehalten. Daher sollten eine Maßnahmenliste bzw. ein Maßnahmenkatalog erstellt und möglichst präzise Handlungsempfehlungen abgegeben werden. Diese können auf die übergeordnete Unternehmensebene, die Abteilungsebene sowie auf die individuelle Ebene der einzelnen Mitarbeitenden Bezug nehmen. Je konkreter die notwendigen Schritte illustriert werden, die langfristig zur Erreichung des Soll-Zustands beitragen, desto besser eignet sich der Audit-Bericht als Arbeitsgrundlage.

Im Anschluss werden die vorgeschlagenen Maßnahmen schrittweise umgesetzt. Dabei ist es ratsam, in regelmäßigen Abständen die Fortschritte beispielsweise durch den Datenschutzbeauftragten überprüfen zu lassen. So verfolgen Sie nach, an welchen Stellen noch Lücken existieren, die es zu schließen gilt.

Passen Sie falls notwendig die Datenschutzerklärung an bzw. aktualisieren Sie diese. Darüber hinaus können die Ergebnisse des Audits freiwillig veröffentlicht werden. Dies kann bestenfalls das Vertrauen Ihrer Kunden und anderer Anspruchsgruppen in Ihr Unternehmen stärken und so zu einem verbesserten Image beitragen.

Darüber hinaus besteht die Möglichkeit, ein Audit für eine Datenschutz-Zertifizierung zu nutzen. Für eine Zertifizierung nach Art. 42 DSGVO existieren zum jetzigen Zeitpunkt (Juni 2022) in Deutschland keine akkreditierten Prüfstellen. Um den Datenschutz dennoch zu überprüfen und zu zertifizieren, existieren verschiedene Verfahren und eine Vielzahl an unabhängigen Prüfstellen. Die Verfahren und untersuchten Datenschutz-Aspekte weichen hier jedoch mitunter sehr stark voneinander ab. Wird das Audit durch ein externes Unternehmen oder einen Dienstleister durchgeführt, kann in vielen Fällen ein entsprechendes Zertifikat ausgestellt werden.

Das jährliche Datenschutz-Audit dient der Kontrolle und Aktualisierung der datenschutzrechtlich relevanten Abläufe in Unternehmen, die personenbezogene Daten verarbeiten. Das Audit wird i. d. R. durch den Datenschutzbeauftragten (DSB) durchgeführt und hängt nicht von der Unternehmensgröße ab. Ist kein Datenschutzbeauftragter benannt, wird das Datenschutz-Audit durch die Geschäftsleitung durchgeführt.

Für den Datenschutzbeauftragten bietet es sich im Anschluss an das Jahresaudit an, einen überarbeiteten Tätigkeitsbericht zu erstellen. Gegebenenfalls werden außerdem Änderungen an dem Verzeichnis der Verarbeitungstätigkeiten und der technischen sowie organisatorischen Maßnahmen erforderlich. Hierbei berät der Datenschutzbeauftragte das Unternehmen. Die Dokumentation hat durch den Verantwortlichen, d. h. in der Regel die Geschäftsführung, zu erfolgen. Außerdem kommt ein Audit bei der Beauftragung eines Auftragsverarbeiters in Betracht.

Gerne übernehmen wir neben einer Beratung die Erstellung dieser Dokumentation oder auch die Durchführung eines Datenschutz-Audits. Sollten Sie an einer externen Unterstützung interessiert sein, können Sie uns jederzeit telefonisch, per E-Mail oder über unser Kontaktformular erreichen und auf unsere Expertise zurückgreifen.