Datenschutzaudit – Definition, Auditmethoden und Fragenkatalog

13.02.2020 | JS – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
© Egor – stock.adobe.com
Im Hinblick auf die erhöhten Anforderungen an den Datenschutz durch die DSGVO sollte grundsätzlich jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen. Mithilfe des Audits werden die Prozesse im Unternehmen auf den Prüfstand gestellt, Schwachstellen identifiziert und Optimierungsmaßnahmen festgelegt. Ein Datenschutzaudit fokussiert sich dabei auf folgende Aspekte.

Datenschutzaudit – Definition mit Bezug auf ISO 19011

Ein Datenschutzaudit hilft Unternehmen in Form einer IST-Analyse festzustellen, ob alle erforderlichen Anforderungen der DSGVO rechtskonform umgesetzt sind oder ob es notwendig ist, Prozesse insbesondere hinsichtlich der Verarbeitung personenbezogener Daten zu optimieren. Da die DSGVO grundsätzlich die Einführung eines Datenschutzmanagementsystems fordert, ist es sinnvoll das Datenschutzaudit nach der ISO 19011 durchzuführen. Denn die ISO-Regelwerke werden allgemein für Managementsysteme verwendet. 

Die ISO 19011 definiert den Begriff „Audit“ als einen systematischen, unabhängigen und dokumentierten Prozess zur Erlangung von Nachweisen. Demnach basiert ein Audit auf folgenden Punkten: 

  • Ein Audit wird während eines festgelegten Zeitraums und mit begrenzten Ressourcen durchgeführt. 
  • Es werden Prüf- und Auditkriterien festgelegt. 
  • Festgelegte Auditkriterien dienen als Referenz für den Auditnachweis. 
  • Ergebnisse aus dem Audit zeigen objektiv auf, inwieweit die Anforderungen aus den Prüfkriterien eingehalten wurden.
  • Auditnachweise sollen verifizierbar sein. 

Ein Audit nach der DSGVO beschränkt sich dabei auf die Aspekte im Unternehmen, die den Datenschutz betreffen. Die Auditkriterien sind dabei eng an die Anforderungen der DSGVO angelehnt. Es geht also um die Anforderungen im Hinblick auf die Rechtmäßigkeit der Verarbeitung, die Einhaltung der Rechte der betroffenen Personen und die Pflichten des Verantwortlichen und des Auftragsverarbeiters

Alle Anforderungen der DSGVO finden Datenschutzverantwortliche übersichtlich und kommentiert aufgearbeitet im Handbuch „Datenschutz 2024“

 

 

Als Ausgangsbasis für das Datenschutzaudit kann z. B. das Standard-Datenschutzmodell (SDM) dienen. Mehr zum SDM lesen Datenschutzbeauftragte im Beitrag „Standard-Datenschutzmodell (SDM) Version 2.0: Definition und Anwendung“. 

Ergebnis des Datenschutzaudits 

Am Ende eines Datenschutzaudits steht ein Auditbericht, der den aktuellen Stand des Datenschutzes im Unternehmen wiedergibt. Dieser Auditbericht sollte außerdem eine Maßnahmenliste enthalten, die noch durchzuführende Maßnahmen aufführt. 

Methoden des Datenschutzaudits  

In der Regel ist ein Datenschutzaudit für das gesamte Unternehmen (es wäre auch ein Audit eines einzelnen Projekts möglich) in ein Auditprogramm eingebunden. Dieses legt u. a. Ziele einzelner Audits, Auditmethoden, erforderliche Ressourcen oder notwendige Prozesse fest. Hinsichtlich der Auditmethodik werden zwei Methoden unterschieden: 

Vor-Ort-Audit 

Für ein Vor-Ort-Audit können folgende Maßnahmen ergriffen werden: 

  • Befragung durchführen
  • Checklisten und Fragebögen ausfüllen unter Beteiligung von Mitarbeitern
  • Bewertung vor Ort
  • Standortbegehung
  • Stichprobennahme 
  • dokumentierte Informationen 

Remote-Audit 

Bei einem Remote-Audit kommen folgende Methoden infrage: 

  • Befragungen durchführen
  • Checklisten und Fragebögen ausfüllen
  • dokumentierte Informationen prüfen 
  • Beobachtung der geleisteten Arbeit durch Überwachung

Die Auswahl der Auditmethode hängt von den festgelegten Zielen, dem Umfang, den Kriterien, der Dauer und dem Standort ab.  

Datenschutzaudit – Fragenkatalog 

Das Datenschutzaudit kann als Zertifizierung eines Unternehmens betrachtet werden, denn dadurch wird die Datenschutzkonformität nachgewiesen. Beauftragt ein Unternehmen eine Zertifizierungsstelle mit der Durchführung des Datenschutzaudits, verwendet diese in der Regel einen Fragenkatalog zur Prüfung des IST-Zustands. 

Dieser Fragenkatalog konzentriert sich auf unterschiedliche datenschutzrechtliche Bereiche im Unternehmen. Zum Beispiel:  

Datenschutzorganisation

Hinsichtlich der Datenschutzorganisation werden beispielsweise folgende Bereiche betrachtet: 

Datensicherheit 

Hinsichtlich der Datensicherheit werden beispielsweise folgende Bereiche betrachtet: 

Wie schon die Auditkriterien orientiert sich der Fragenkatalog zum Datenschutzaudit eng an den wesentlichen Vorgaben und Bereichen der DSGVO.   

DSGVO Audit Tool

Für die Durchführung von Audits gibt es zahlreiche Tools, die bei der Umsetzung helfen. Diese Tools sind besonders interessant, wenn häufig Audits durchgeführt werden, beispielsweise bei Konzernstrukturen. Gerade die Reportingfunktion empfinden User als praktisch.

Produktempfehlung

Dennoch arbeiten weiterhin viele Datenschutzbeauftragte mit Checklisten, die sie flexibel auf ihre Anforderungen anpassen können. Ein Beispiel für eine Audit-Checkliste steht Abonnenten mit Online-Zugriff des „Infodiensts Datenschutz für Praktiker“ im Downloadbereich zur Verfügung.

Quellen: „Datenschutz für Praktiker“ (Ausgabe November 2019), datenschutzexperte.de

Mehr zu den Themen: DSGVO Datenschutz