Datenschutzaudit

Datenschutzaudit – Sorgen Sie bösen Überraschungen vor

Datenschutzbehörden auf der ganzen Welt haben damit begonnen, ein Datenschutzaudit (oder DSGVO-Audit) bei für die Verarbeitung Verantwortlichen durchzuführen. Es wird geprüft, ob sie das Datenschutzrecht einhalten.

Im Wesentlichen vergleicht die Behörde Ihr Unternehmen mit dem Datenschutzgesetz, welches sie einhalten muss. Die Behörde bestimmt, inwieweit Ihr Unternehmen dieses einhält.

Bei einem Konformitätsaudit prüft ein Prüfer einer Behörde die Einhaltung der Rechts-vorschriften durch Ihr Unternehmen, indem er Beweise sammelt. Für viele für die Verarbeitung Verantwortliche ist dies eine sehr beängstigende Aussicht.

• Was wird mit Ihnen geschehen, wenn Sie geprüft werden?
• Was verlangt eine Behörde normalerweise im Rahmen eines Audits?
• Wie kann ich mich auf ein Datenschutzaudit vorbereiten?

Vergangene Datenschutzaudits durch Behörden

Vor kurzem hat eine schwedische Datenschutzbehörde bei über 350 Organisationen geprüft, ob ein Datenschutzbeauftragte(r) ernannt wurde.

Die Prüfung umfasste unter anderem Banken, Telekommunikationsanbieter, Anbieter medizinischer Leistungen, Versicherungsunternehmen und Gewerkschaften. Es handelt sich um das erste DSGVO-Audit, bei dem das Vorhandensein von ernannten Datenschutzbeauftragten geprüft wurde, da diese Rolle für die Sensibilisierung für den Datenschutz innerhalb einer Organisation und für die Einhaltung der Vorschriften von entscheidender Bedeutung ist.

Die Prüfung zeigt unter anderem, dass die meisten Unternehmen einen solchen haben. Nur 16 % der geprüften Unternehmen müssen noch einen Datenschutzbeauftragten benennen. Die schwedische Datenschutzbehörde erteilte Verweise und Anordnungen zur Einhaltung der Vorschriften, aber keine Geldstrafen.

Die bayerische Datenschutzbehörde prüfte große bayerische Websites auf die Verwendung von Tracking-Tools, insbesondere auf die Verwendung von Cookies. Laut dem Posi-tionspapier der Konferenz der deutschen Datenschutzbehörden vom 26. April 2018 ist für die Verwendung von Cookies eine Einwilligung erforderlich. Die Behörde stellte fest, dass keine der 40 von ihr geprüften Websites die Anforderungen erfüllte.

Was gehört zu einem Datenschutzaudit?

Ein internes oder externes Audit sollte Ihnen helfen, Ihre Datenschutzverpflichtungen zu verstehen und zu erfüllen.
Datenschutzbehörden erstellen einen risikoorientierten Bericht mit Empfehlungen, nachdem sie geprüft haben, inwieweit Sie die einschlägigen Datenschutzvorschriften einhalten.

Ein Audit kann sich mit einer Reihe von Bereichen befassen, die für Ihre Organisation relevant sind. Einige Beispiele sind:

• Datenschutz-Governance,
• die Strukturen, Strategien und Verfahren, die die Einhaltung der Datenschutzge-setze gewährleisten,
• die Verfahren zur Verwaltung personenbezogener Daten,
• die Verfahren zur Beantwortung von Anfragen nach personenbezogenen Daten,
• die Maßnahmen zur Gewährleistung der Sicherheit der von Ihnen gespeicherten personenbezogenen Daten und
• die Bereitstellung von Datenschutzschulungen für das Personal und die Sensibilisierung des Personals für die Datenschutzanforderungen.

Wie man sich auf ein Datenschutzaudit vorbereitet

Im Wesentlichen wollen Sie in der Lage sein, einer Behörde konkrete Beweise dafür zu liefern, dass Sie den Datenschutz ernst nehmen und dass Sie korrekt Maßnahmen zum Schutz personenbezogener Daten ergriffen haben. Behörden mögen Beweise.
Sie müssen also damit beginnen, alle Maßnahmen, die Sie im Laufe der Zeit ergriffen haben, auf Papier zu dokumentieren.

Bei den Audits werden drei Hauptbereiche geprüft:

• Sicherheit personenbezogener Daten – wie werden personenbezogene Daten ge-speichert und sicher aufbewahrt?
• Verwaltung von Aufzeichnungen – wie Aufzeichnungen mit personenbezogenen Daten verarbeitet werden, von der Erfassung bis zur Vernichtung.
• Anfragen nach personenbezogenen Daten – wie Sie mit Anfragen von Einzelper-sonen nach Kopien ihrer personenbezogenen Daten umgehen und wie Sie routi-nemäßige und einmalige Weitergaben an andere Organisationen handhaben.

Ihr Unternehmen sollte darauf vorbereitet sein, einer Datenschutzbehörde die spezifischen Verfahren und Einrichtungen zu zeigen, die zur Einhaltung der Vorschriften in die-sen Bereichen eingesetzt werden. Sie können sich vorbereiten, indem Sie Ihr internes Audit mit einem externen Audit abstimmen. Durch regelmäßige interne Audits, die Emp-fehlungen und umsetzbare Aufgaben enthalten, können Sie das Bewusstsein für den Da-tenschutz in Ihrem Unternehmen stärken.

Datenschutzaudit – Wir stehen an Ihrer Seite

Wir verstehen, dass ein Datenschutzaudit durch eine Behörde ein unruhiges Gefühl bereitet. Angesichts hoher Geldstrafen bei Verstößen möchte man so gut wie möglich vor-bereitet sein und das eigene Unternehmen so gut wie möglich positionieren.

Daher sollten Sie es gar nicht zum Äußersten kommen lassen. Nehmen Sie sich im Vorfeld Zeit und lassen Sie sich durch ein externes Unternehmen beraten.

Unsere Audits beinhalten die folgenden Leistungen:

• Audit vor Ort. Wir verschaffen uns vor Ort einen Eindruck von den Arbeitsabläufen in Ihrem Unternehmen und stellen dabei fest, ob die Vorschriften der Datenschutzbehörde eingehalten werden und zeigen gleichzeitig Optimierungspotenzial auf.
• Begehung der Abteilungen. Während des Datenschutzaudits begehen wir die Abteilungen Ihres Unternehmens und führen Interviews mit den Angestellten durch. Dabei bekommen wir einen noch detaillierteren Einblick in die Arbeitsprozesse.
• Erstellung eines Prüfberichts. Nach dem Datenschutzaudit erstellen wir einen ausführlichen Bericht. In diesem halten wir alle Beobachtungen fest und geben erste Handlungsempfehlungen.
• Optional: Projektmanagement zur Behebung von Mängeln. Auf Wunsch bera-ten wir Sie auch bei der Behebung der erhobenen Mängel direkt vor Ort. Dabei erstellen wir einen Projektplan und koordinieren die Schritte zur Abarbeitung der Mängel.

Die Einhaltung der Datenschutzbestimmungen ist wichtiger als jemals zuvor. Spätestens seit der Einführung der DSGVO (Datenschutzgrundverordnung) werden Verstöße zum Teil empfindlich sanktioniert.

Jedes Unternehmen sollte in Abständen prüfen lassen, wie es beim Datenschutz aufgestellt ist. Mithilfe eines professionell durchgeführten Datenschutzaudits lässt sich das leicht erheben.