Datenschutzauditor (Datenschutzaudit)

06. August 2016

kostenloses Angebot Datenschutzauditor DatenschutzauditEin Audit [vom lateinischen „auditus“ – (an)hören] ist eine systematische und unabhängige Untersuchung, um festzustellen, ob die Ergebnisse den geplanten Anforderungen entsprechen und ob diese wirkungsvoll umgesetzt und geeignet sind, die fokussierten Ziele zu erreichen. Audits werden in unterschiedlichsten Bereichen des Wirtschaftslebens durchgeführt, z. B. in den Bereichen Umwelt, Qualitätsmanagement oder Informationsmanagement, doch wie sieht es mit einem Datenschutz-Audit aus?

Rechtsgrundlagen

Auch der Datenschutz kennt den Begriff des Audits, so regelt der § 9 a Bundesdatenschutzgesetz (BDSG) das Datenschutzaudit wie folgt:

Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.

Ein derartiges Gesetz, was z. B. unter dem Begriff „Datenschutzauditgesetz“ erscheinen könnte, wurde trotz der Tatsache, dass bereits einige Jahre seit der Reform des BDSG vergangen sind, bislang nicht geschaffen.

Relevanz des Datenschutzaudits

Auch wenn ein Datenschutzauditgesetz bzw. Ausführungsgesetz zur Durchführung eines Datenschutzaudits derzeit nicht existiert, sinkt hierdurch die Bedeutung dieser Maßnahme nicht. Der zuständige Prüfer ist ein Datenschutzauditor (auch Datenschutz-Auditor).

Internes Datenschutzaudit

Ein internes Audit im Datenschutz gibt sowohl der verantwortlichen Stelle als auch dem Datenschutzbeauftragten einen Überblick über den aktuellen Datenschutz-Stand. Es können einzelne Bereiche, Programme, Abteilungen oder der Gesamtzustand analysiert und bewertet werden. Damit wird die ideale Ausgangssituation zur Beseitigung der Abweichungen vom Soll-Zustand geschaffen und der  Ist-Zustand dokumentiert. Weitere (wiederkehrende) Audits geben dann zukünftig Aufschluss über den Erfolg der eingesetzten Maßnahmen aus dem erstellten Maßnahmenkatalog und können damit u. a. zu einem Imagegewinn, einer verbesserten Außenwirkung und hohem Vertrauen von Kunden und Mitarbeitern führen.

Praxisbeispiele:

  • Richtlinie bzw. Einsatz (eigener) mobiler Endgeräte [Bring Your Own Device(BYOD)]
  • Richtlinie und Umsetzung über den Einsatz von Social Media  (soziale Medien), wie Facebook, Twitter, Google+ usw.
  • Datenschutz-Stand der Homepage
  • Datenschutz im Bewerbungsprozess
  • Richtlinie über die Privatnutzung  des Internet
  • Stand der Verfahrensverzeichnisse
  • Schulungsstand zum Datenschutz
  • Stand der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG zum Schutz personenbezogener Daten (pb-Daten)
  • Datenschutzkonzept
  • uvm.

Externes Datenschutzaudit

Ein externes Datenschutz-Audit sollte vor der Aufnahme bzw. Vergabe einer Auftragsdatenverarbeitung (ADV) gemäß § 11 BDSG, z. B. Einsatz eines externen Callcenters oder Entsorgungsdienstleisters, durchgeführt werden. Denn im § 11 BDSG heißt es: „Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.“ Selbstverständlich können Kontrollen in der Form eines Audits auch während der Vertragslaufzeit sinnvoll sein. Hierzu sollte eine entsprechende vertragliche Regelung bereits in den Vertrag zur Auftragsdatenverarbeitung aufgenommen werden. Anders als beim internen Audit sind beim externen Datenschutzaudit einige Bereiche irrelevant. So geht den Auftraggeber bei der regelmäßigen Vergabe von Druck- und Mailingaufträgen an einen sogenannten Lettershop als Servicedienstleister der unternehmensinterne Umgang mit den personenbezogenen Gehaltsdaten der Mitarbeiter des Lettershops nichts an. Für den Auftraggeber ist der Umgang mit den Gehaltsdaten des Lettershops schlichtweg irrelevant, verantwortlich für Kontrollen sind hier der Datenschutzbeauftragte des Lettershops und die Verantwortliche Stelle des Lettershops. Relevant für die Prüfung sind die personenbezogenen Daten, die der Dienstleister (hier ein Lettershop) im Auftrag erhebt, verarbeitet oder nutzt bzw. die Bereiche die durch diese Auftragsdatenverarbeitung aus Sicht des Datenschutzes tangiert werden.

Praxisbeispiele:

  • Geplanter Einsatz eines externen Callcenters (ADV – Auftragsdatenverarbeitung)
  • Überprüfung eines Auftragsdatenverarbeiters zur Entsorgung von Akten und Datenträgern
  • Kontrolle eines IT-Dienstleisters, der Wartungen an IT-Systemen und Telekommunikationsanlagen (TK-Anlagen) durchführt
  • usw.

Prüfung des Datenschutzauditors

Ablauf

Im Rahmen eines Datenschutzaudits sollten sich (externer) Datenschutzbeauftragter (DSB) und Datenschutzauditor darauf verständigen, welche Bereiche analysiert / auditiert werden sollen. Der Beauftragte für den Datenschutz ist dementsprechend der Ansprechpartner des Auditors und wird durch diesen in die Prüfung einbezogen.

Beim internen Audit prüfen wir nach Ihrer Vorgabe die gewünschten Bereiche unter Einbeziehung von Checklisten. Gerne entwickeln wir auch Datenschutz-Checklisten oder Datenschutz-Audit-Checklisten mit Ihnen oder für Sie. Auch beim externen Audit besprechen wir mit Ihnen oder Ihrem Datenschutzbeauftragten, welche Bereiche relevant sind und analysiert / auditiert werden sollen.

Budget

Für die Praxis bietet sich hierbei die Vereinbarung eines Budgets (Betrag x pro Kalenderjahr) an. So weiß auch Ihr Datenschutzbeauftragter, wie er planen muss und welche Themen / Aufgaben er durch einen Datenschutzauditor prüfen lassen kann. Zusätzlich sparen Sie sich Verwaltungsaufwand und schaffen Sicherheit, da nicht jeder kleine Bedarf durch die Prozesskette bis zur Genehmigung geht.

Ergebnis

Der Datenschutzbeauftragte arbeitet dadurch effizient und schnell, außerdem kann Verwaltungsaufwand gespart werden. Im Auditbericht fixiert der Auditor den derzeitigen Ist-Zustand und zeigt Abweichungen auf, die der Datenschutzbeauftragte als Ansprechpartner für den Datenschutz im Unternehmen, der Behörde oder des Vereins mit den entsprechenden Abteilungen sukzessive aufarbeiten und final beseitigen kann.

Holen Sie sich Ihr unverbindliches Angebot für ein Datenschutzaudit ein und geben Sie Ihrem Datenschutzbeauftragten die Möglichkeit noch effizienter zu arbeiten. Schaffen Sie mit einem Vertrauen, heben Sie sich von Ihren Mitbewerbern ab und sorgen Sie für Imagegewinn.

Ihr Weg zum Angebot

Eigenschaft des Auditors

Eingesetzte Auditoren verfügen über einen relevanten Studienabschluss, Praxiserfahrung und die Zertifizierung „Datenschutzauditor (TÜV)“.

Variante 1 – persönlicher Kontakt auf Wunsch mit Rückrufservice

Nehmen Sie direkten Kontakt mit Ihrem persönlichen Ansprechpartner auf, ganz nach Ihren Wünschen auch mit Rückrufservice.

Variante 2 – Fragebogen ausfüllen, übersenden, Angebot erhalten

Als Alternative zum persönlichen Kontakt haben Sie die Möglichkeit den Fragebogen zum Datenschutz-Angebot ausgefüllt an uns zu übersenden. Wir senden Ihnen umgehend Ihr unverbindliches Angebot zu und setzen uns für Rückfragen direkt mit Ihnen in Verbindung.