DSGVO – Datenschutzaudit – Teil 1: Was und warum nötig

Der Datenschutz ist ein immer wichtiger werdender Teil, insbesondere für Unternehmen, welche die datenschutzrechtlichen Regelungen einzuhalten haben.

Sind die ergriffenen Maßnahmen hinsichtlich der Datenschutzvorgaben überhaupt ausreichend, um die rechtlichen Vorgaben einzuhalten? Diese Unsicherheit hat durch die Möglichkeit von einem Datenschutzaudit geklärt werden.

Datenschutzaudit – was ist das?

Die DSGVO enthält eine Bestimmung, die der nationalen Datenschutzbehörde die Befugnis gibt, die Verarbeitung personenbezogener Daten durch eine Organisation mit Zustimmung des für die Verarbeitung Verantwortlichen nach bewährten Verfahren zu bewerten. Dies beinhaltet die Einhaltung der Anforderungen der Datenschutzbehörde. Dies wird rechtlich als einvernehmliche Prüfung bezeichnet.

So beschreibt der Art. 32 DSGVO zu den technische und organisatorische Maßnahmen (kurz TOM), die den Datenschutz zuverlässig gewährleisten sollen. Die Besonderheit: Das Gesetz schreibt hier keinen starren Rahmen vor, sondern empfiehlt vielmehr grobe Richtlinien, anhand derer der Datenschutz im Unternehmen den Anforderungen angepasst werden kann.

Art 32 Abs. 1.d. DSGVO

ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

Auch bei der Auftragsverarbeitungen sieht Art. 28 DSGVO ein Audit vor.

 

Art 28 Abs. 3.h. DSGVO

dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

 

Dem gegenüber besagt der Art. 28 DSGVO folgendes: Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so hat dieser zu gewährleisten, dass die Produktion mit den Spezifikationen von Art. 28 DSGVO in Einklang gebracht wird und der Schutz der Rechte beteiligter Personen sichergestellt werden kann.

 

Zu den Vorteilen einer Datenschutz-Prüfung gehören unter anderem:

  • revisionssichere Registrierung sämtlicher geprüfter Daten im Audit-Verzeichnis

  • ein Beitrag zur Sensibilisierung des Datenschutzes

  • das Engagement einer Organisation ist maßgeblich für die Bedeutung des Datenschutzes nach den Richtlinien im Bundesdatenschutzgesetz BDSG.

  • die Möglichkeit, Ressourcen kostenlos zu nutzen

  • unabhängige Gewährleistung von Datenschutzrichtlinien

  • Identifizierung von Datenschutzrisiken und organisationsspezifische Empfehlungen zu deren Abstellung

  • der Austausch von Wissen mit geschultem, erfahrenem und qualifiziertem Personal und eine verbesserte Arbeitsbeziehung mit dem Unternehmen und seinen Mitarbeitern.Der Schwerpunkt des Audits liegt vor allem auf der Frage, ob die Organisation Richtlinien und Verfahren zur Regulierung der Verarbeitung personenbezogener Daten implementiert hat und ob die Verarbeitung in Übereinstimmung mit diesen durchgeführt wird. Wenn eine Organisation die Anforderungen erfüllt, so identifiziert und kontrolliert sie effektiv Risiken, um Verstöße gegen die Datenschutzbestimmungen generell zu verhindern. Bei einem Audit werden in der Regel die Verfahren, Systeme und Aktivitäten der Organisation bewertet, um sicherzustellen, dass die entsprechenden Richtlinien auch eingehalten werden. Der Umfang des Audits wird vorher in Absprache mit der Organisation verbindlich vereinbart. Dabei werden sowohl allgemeine Datenschutzprobleme als auch organisationsspezifische Bedenken hinsichtlich Datenschutzrichtlinien und -verfahren berücksichtigt. Außerdem werden relevante Datenschutzrisiken nach der Datenschutzgrundverordnung innerhalb von Organisationen aufgrund einer Checkliste identifiziert.

 

 

System-Audit oder Produkt-Audit?

Ein komplettes System-Audit ist einem Produkt-Audit vorzuziehen, da beim Produkt-Audit nur einzelne Aspekte der technischen Einrichtungen überprüft werden.

Dabei spielt digitales Data Protection Management (DPM) oft eine wichtige Rolle. Bei diesem Datenschutz-Managementsystem handelt es sich um die automatisierte Verwaltung und Überwachung von Schutzdiensten eines digitalen Computernetzwerks oder einer IT-Umgebung. Diese bestehen hauptsächlich aus Tools, Techniken und Methoden, um sicherzustellen, dass der Datenschutz innerhalb der betreffenden Umgebung bzw. gemäß den geltenden Anforderungen durchgeführt wird. Oft kommt hierbei eine sogenannte Auditierung über System-Audit zur Anwendung. Dies ist ein disziplinierter Ansatz zur Bewertung und Verbesserung der Wirksamkeit eines Systems. Es werden dabei eigene Audits durchgeführt, um sicherzustellen, dass die einzelnen Elemente des Systems wirksam und zur Erreichung der festgelegten Ziele geeignet sind.

 

Wann sind Datenschutzaudits ratsam und sinnvoll?

Datenaudits können einem Unternehmen dabei helfen, wichtige Probleme – vom Datenschutz bis zur Genauigkeit der Kundendaten – zu lösen und dadurch Vorteile zu erzielen. Wann Datenschutzaudit ratsam und sinnvoll ist, lässt sich nicht allgemein ausdrücken, zu individuell sind die Anforderungen im jeweiligen Einzelfall. Jedenfalls ist Datenschutz ein wichtiges Anliegen für Unternehmen jeder Größe. Sie müssen nicht lange suchen, um bekannte Verstöße zu finden, die Unternehmen, Organisationen und sogar Städte betreffen. Die Einhaltung von Gesetzen ist ein weiterer wichtiger Aspekt, insbesondere nach der Verabschiedung der Allgemeinen Datenschutzgrundverordnung (DSGVO) der Europäischen Union. Ein weiteres wichtiges Anliegen für Unternehmen jeder Form und Größe sind Datenprüfungen. Diese sind jedoch nicht nur aus geschäftlichen Gründen von Bedeutung. So werden sich bis 2021 mehr als 40% aller Daten- und Analyseprojekte auf einen Aspekt der Kundenerfahrung (engl. Customer Experience) beziehen. Da Geschäftsentscheidungen heute zunehmend von Analysen bestimmt werden, ist es überdies sehr wichtig, dass die im Einsatz befindlichen Teams volles Vertrauen in ihre Daten haben. Die Prüfung könnte Zugangsprobleme oder Bereiche aufdecken, in denen eine größere Tiefe oder Breite der Sammlung von Vorteil wäre. Eigene Teams sollten in diesem Fall die zu wählende weitere Vorgehensweise erörtern.

 

Der Schutz der Daten

Der Schutz von Daten ist eine gemeinsame Aufgabe aller Beteiligten. Personen mit Zugriff auf Daten sind für den Zugriff, die Speicherung und die Verarbeitung von Daten auf Systemen verantwortlich, für die geeignete Sicherheitskontrollen für jede Datenklasse vorhanden sind. Einzelpersonen sollten sich an ihre lokalen IT-Support-Gruppen wenden, um herauszufinden, wie sie am besten auf ihre Daten zugreifen, diese speichern und sinnvoll verwenden können. In jedem Fall müssen die Normen des Datenschutzes bundesweit einheitlich gewahrt bleiben.

Lecturer in Adult Education - Legal Training & Seminars

Certified Data Protection Officer