Die Datenschutz-Grundverordnung (DSGVO) sieht an vielen Stellen Kontrollmechanismen und Kontrollpflichten für Unternehmen vor, damit diese regelmäßig überprüfen, ob die Vorgaben der DSGVO eingehalten werden, wo mögliche Risiken bestehen und wie diesen begegnet werden kann. Diese Mechanismen können jedoch nur dann ihren Zweck vollumfänglich erfüllen, wenn auch Kontrollmechanismen der DSGVO selbst, wie das Datenschutzmanagementsystem oder das Verzeichnis der Verarbeitungstätigen, auf ihre wirksame Umsetzung hin überprüft werden. Diesem Ziel dient das Datenschutzaudit. Das Audit dient also nicht nur der Prüfung einzelner datenschutzrechtlich relevanter Vorgänge im Unternehmen, sondern einer allgemeinen Prüfung der Einhaltung und Umsetzung der DSGVO.

Datenschutzaudit: Ablauf

Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten:

 1. Ist-Analyse:
Welche Vorgänge im Unternehmen weisen besonders hohe Risiken für DSGVO-Verstöße auf? – Überprüfung in rechtlicher (Einhaltung des Transparenzgrundsatzes der DSGVO, Reichweite von Einwilligungen etc.) und tatsächlicher Sicht (die DSGVO gibt vor technische und organisatorische Maßnahmen (TOM) zu ergreifen um ein angemessenes Schutzniveau zu gewährleisten)

2. TOM-Audit:
Sind ergriffene Schutzmaßnahmen „angemessen“?
– Einzelfallprüfung (Liegen besonders sensible Daten vor? Bestehen Anhaltspunkte für Hackerangriffe? Sind Maßnahmen finanzierbar?)

3. Maßnahmenkatalog:
Ergebnis der Ist-Analyse wird in Maßnahmen eingearbeitet um einen bestimmten Soll-Zustand zu erreichen. Maßnahmen können auf rechtlicher Ebene (z.B. veränderte Einwilligungs- und Datenschutzerklärungen) und technisch-organisatorischer Art (z.B. Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten, des Datenschutzmanagementsystems) erfolgen.

4. Dokumentation und Prüfschleifen:
Der gesamte Datenschutzaudit ist dabei zu dokumentieren, Vorteil: Unternehmen können den Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften, Bußgeldhöhe sinkt. Zudem ermöglicht die regelmäßige Überprüfung Verstöße zu verhindern. Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht nach DSGVO nach und erhöhen das Vertrauen in die Sicherheit der Datenverarbeitung.

Für welche Unternehmen sind Audits notwendig?

Da sich die DSGVO grundsätzlich an alle Unternehmen richtet, die personenbezogene Daten verarbeiten, ist ein Datenschutzaudit grundsätzlich auch für alle Unternehmen – also auch für kleinere und mittlere Unternehmen – zu empfehlen. Erforderlich wird ein Datenschutzaudit insbesondere dann, wenn Zweifel an der Notwendigkeit der Bestellung eines Datenschutzbeauftragten bestehen. Die Fälle, in denen eine solche Erforderlichkeit besteht, sind zum Teil Folge einer rechtlichen Bewertung (z.B. wann gehört die Übermittlung personenbezogener Daten zur Kerntätigkeit eines Unternehmens, ab wann sind personenbezogene Daten besonders schutzwürdig) und sollten daher genau überprüft werden. Darüber hinaus ist ein Audit dann erforderlich, wenn Anhaltspunkte für mögliche Hackerangriffe vorliegen oder sonstige Zweifel an der IT-Sicherheit bestehen.

Ein weiterer wichtiger Anknüpfungspunkt ist die Verarbeitung von Mitarbeiter- und Bewerberdaten. Je umfangreicher das HR, desto dringender ist ein Datenschutzaudit durchzuführen. Darüber hinaus ist auf weitere Besonderheiten des jeweiligen Unternehmens einzugehen und zu überprüfen, ob ausreichende Maßnahmen zum Schutz von personenbezogenen Daten in den jeweiligen Abteilungen von Unternehmen (neben dem HR, etwa der IT, dem Marketing, dem Vertrieb) bestehen. Weiterer Anhaltspunkt für die Erforderlichkeit eines Datenschutzaudit sind umfangreiche Auftragsverarbeitungsverträge, also Verträge, durch die andere Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Diese bergen stets das Risiko, dass Verantwortlichkeiten nicht genau abgegrenzt werden oder bei der Übertragung von Daten DSGVO-Verstöße erfolgen. In diesen besonderen Fällen ist eine umfangreiche Analyse des Ist-Zustandes aus DSGVO-Perspektive unerlässlich.

Datenschutzaudit: Umfang

Die DSGVO sieht wie geschildert an einigen Stellen bereits Überprüfungen der datenschutzrechtlichen Vorgaben vor. Demgemäß gilt es vor allem die Effektivität dieser Mechanismen, also des Datenschutzmanagementsystems, der Datenschutz-Folgenabschätzungen (DSFA) und des ordnungsgemäßen Anlegens des Verzeichnisses der Verarbeitungstätigkeiten (VVT) zu prüfen. Weiterhin ist zu überprüfen, ob für den Fall von Datenpannen ausreichende Kenntnisse der Mitarbeiter und klare Vorgaben für den Umgang mit den Meldepflichten der DSGVO (gegenüber den Aufsichtsbehörden und den Betroffenen) bestehen. Sodann ist die effektive Einbindung des Datenschutzbeauftragten in das Unternehmen zu prüfen. Insbesondere sollte darauf geachtet werden, dass ein regelmäßiger Austausch zwischen dem Datenschutzbeauftragten und Mitarbeitern erfolgt, der diese für den Umgang mit personenbezogenen Daten sensibilisiert. Hierfür bieten sich vor allem Schulungen an. Dabei sollte darauf geachtet werden, dass Mitarbeiter nicht nur für den Fall von Datenpannen geschult werden, sondern vor allem auch für den Umgang mit Betroffenenrechten. So fordert die DSGVO nicht nur ein transparentes System für Betroffene um von ihren Rechten Gebrauch machen zu können, sondern auch eine zeitnahe Reaktion von Unternehmen auf Betroffenenanfragen.

Fazit

Das Datenschutzaudit ermöglicht eine regelmäßige und fachkundige Überprüfung der Vorgaben der DSGVO. Die folgende Checkliste hilft Unternehmen zu erkennen, wann ein Audit unbedingt notwendig ist:

Checkliste – Wann muss ein Datenschutzaudit durchgeführt werden?

  • Zweifel an der Notwendigkeit der Bestellung eines Datenschutzbeauftragten
  • Zweifel an der Effektivität des Datenschutzmanagementsystems (DSMS), durchgeführter Datenschutz-Folgenabschätzungen und angelegter Verzeichnisse der Verarbeitungstätigkeiten
  • Keine spezifischen Datenschutzmaßnahmen für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb, HR
  • Umfangreiche Auftragsverarbeitungsverträge
  • Gefahren für die IT-Sicherheit, drohende oder mögliche Hackerangriffe

Angebot für ein Datenschutzaudit

Sollten für Ihre Unternehmung ein Audit infrage kommen, können Sie uns gerne für ein Angebot kontaktieren. Wir kooperieren in diesem Bereich mit der DEKRA-zertifizierten ITM GmbH in Berlin und vermitteln gerne an einen kompetenten Ansprechpartner:

WordPress Services

Website Gestaltung

Website Entwicklung

Website Optimierung

Website Relaunch

WordPress Wartung

Hosting Features

LiteSpeed Webserver

Kostenloses SSL

Kostenlose DE-Domain

E-Mail & Groupware

Auto-Installer

Marketing Service

Marketing Funnel

Sales Funnel

CRM & Pipelines

Recruitment Funnel

Ads, SEO & Social Media

Kontaktiere uns für eine kostenlose Beratung

Kontakt

Macbay Digital
Berlin, Germany

+49-30-57706646 support@macbay.net
Impressum Datenschutzerklärung AGB Support Login v3-Hosting

© 2011 - 2024 Macbay Media UG

ORDER mCloud 01

Mit Klick auf den "Jetzt mCloud bestellen" Button bestätige ich meine Kenntnisnahme der AGB und stimme ihnen zu. Ich bestätige mit diesem Klick, dass ich die Widerrufsbelehrung zur Kenntnis genommen habe.

MailPoet Umstellung
mPress Support 15 Min

mPress Support - Bestellformular

Damit wir die Prüfung durchführen können, laden Sie bitte unser "mPress-Admin" Plugin herunter, installieren und aktivieren es auf Ihrer WP-Site. Anschließend bestätigen Sie bitte die Aktivierung über die Mail mit der Auftragsbestätigung.

Wir berechnen den mPress-Support mit 25 € zzgl. 19% MwSt. je Viertelstunde bei minutengenauer Abrechnung. Es gelten unsere AGB & Datenschutzbestimmungen.

ORDER mHost Litespeed Registrierung
  • Zurück
  • Weiter

Hier Verfügbarkeit prüfen (neues Fenster):

Die zusätzlichen Dienste sind nicht in dieser Bestellung enthalten. Ein Kundenbetreuer wird sich bei dir bei melden für weitere Details.

Prüfe mit unserem Domain-Checker, ob deine Wunschdomain verfügbar ist:

[ajaxdomainchecker width=“70%“ button=Check]