Die neue Datenschutzgrundverordnung (DSGVO) bindet alle Mitgliedstaaten der Europäischen Union (EU). Bei der Umsetzung hat sich der Datenschutz sowohl in der Theorie als auch in der Praxis zu einem äußerst komplexen Thema entwickelt. Die angestrebte Konformität lässt sich nicht ungeplant und konzeptlos erreichen. Ein Datenschutzaudit hilft dabei, einen Überblick über die aktuelle datenschutzrechtliche Situation im Unternehmen zu erlangen.
Datenschutz: Das Audit als Prüfinstrument
Der Begriff Audit stammt vom lateinischen auditus ab und bedeutet in der englischen Sprache Buchprüfung oder Rechnungsprüfung. In der Betriebswirtschaft untersucht ein Audit, ob vorhandene Prozesse, Richtlinien und Anforderungen den geforderten Standards entsprechen. Durchgeführt werden diese Untersuchungen von speziell geschulten Auditoren.
Je nach Anforderung analysiert ein Audit den Ist-Zustand oder vergleicht den aktuellen Status mit der ursprünglichen Zielsetzung. Dabei dient es häufig dazu, allgemeine Schwierigkeiten oder einen möglichen Verbesserungsbedarf zu ermitteln, um Missstände zu beseitigen. Die Einleitung von Verbesserungen beziehungsweise Abstellmaßnahmen muss mittels Dokumenten, Bildern und Ähnlichem nachgewiesen werden.
Der Sinn und Zweck eines Datenschutzaudits
Ein Datenschutzaudit stellt die entsprechenden Bedingungen im Datenschutz fest, bewertet sie und entwickelt im Anschluss aus den vorliegenden Fakten ein Datenschutzkonzept. Hauptzweck des Datenschutzaudits ist jedoch, vorhandene Lücken aufzuspüren und zu schließen. Durch die EU-Datenschutzgrundverordnung kommen auf die Unternehmen deutlich strengere Nachweis- und Dokumentationspflichten zu, sodass es für jede Firma ratsam ist, sein Datenschutzkonzept mittels eines Datenschutzaudits zu überprüfen.
Nur so lassen sich die für den Datenschutz getroffenen Maßnahmen für die gestärkten Kompetenzen der Überwachungsbehörden ausreichend dokumentieren. Das Datenschutzaudit kann sich auf das gesamte Unternehmen beziehen oder detailliert einzelne Prozesse durchleuchten.
Der Ablauf eines Datenschutzaudits
Vom Prinzip läuft ein Datenschutzaudit in fünf Schritten ab, die allerdings entsprechend den Anforderungen variieren.
- Plant das Unternehmen ein Datenschutzaudit, muss sich die verantwortliche Stelle an eine externe, zertifizierte Prüfstelle wenden und entsprechende Gutachter anfordern.
- Der Gutachter verwendet einen Fragenkatalog, den er bei dem Datenschutzaudit abarbeitet. Er untersucht Verfahren, Konzepte sowie Produkte und prüft sie auf mögliche Schwachstellen beziehungsweise Probleme.
- Stellt der Gutachter bezüglich den Anforderungen Mängel oder Probleme fest, überarbeitet die überprüfte Stelle das Datenschutzkonzept oder das betroffene Produkt. Gibt es bis zu diesem Zeitpunkt keinen oder einen eher ungeeigneten Datenschutzbeauftragten, muss das Unternehmen eine entsprechende personelle Umstrukturierung vornehmen. Wichtiger Bestandteil des Datenschutzkonzeptes ist zudem die Aufnahme eines periodischen Überprüfungszyklus, damit die Datenschutzmaßnahmen stets dem aktuellen Stand entsprechen.
- Zum Abschluss wird das externe Datenschutzaudit in einem zentralen Verzeichnis registriert. Mit der Registrierung erlangt die geprüfte, zertifizierte Stelle die Freigabe für die Werbung mit dem Gütesiegel.
Checkliste für ein erfolgreiches Datenschutzaudit
Mithilfe einer Checkliste lässt sich der Prüfvorgang eines Datenschutzaudits beschleunigen. Die Fragen dienen als Beispiel dafür, welche Sachverhalte für einen Gutachter Relevanz besitzen könnten, Abweichungen sind durchaus möglich. Die folgende Checkliste ist keinesfalls vollständig.
- Auftragskontrolle
- Gibt es ein Konfliktmanagement bei Verstößen oder Verdachtsfällen?
- Ist ein Mechanismus zur Selbstkontrolle auf der Seite des Auftragnehmers vorhanden?
- Ist die Auftragsannahme sicher?
- Eingabekontrolle
- Gibt es eine Protokollierung bei den Verwaltungsakten?
- Gibt es eine Protokollierung bei der Verarbeitung von Daten?
- Organisationskontrolle
- Gab es bereits Mitarbeiterschulungen zum Datenschutz, sind Mitarbeiterschulungen geplant?
- Ist ein Datenschutzbeauftragter gemäß 37 DSGVO vorhanden?
- Sind die Mitarbeiter zur Wahrung der Vertraulichkeit verpflichtet?
- Wurde bereits ein Datenschutzkonzept erarbeitet?
- Trennungsgebot
- Lassen sich gemeinsam erhobene Daten getrennt voneinander verarbeiten?
- Sind die personenbezogenen Daten einzelner Betroffener getrennt voneinander verfügbar?
- Verfügbarkeitskontrolle
- Gibt es eine Sicherung vor Schadsoftware?
- Gibt es Sicherungskopien?
- Sind die Daten gegen unbeabsichtigte Löschung oder Vernichtung abgesichert?
- Weitergabekontrolle
- Gibt es eine Beschränkung bei der Nutzung von privatem Equipment?
- Ist eine Datenverschlüsselung eingerichtet und aktiviert?
- Werden die Datenverarbeitungssysteme regelmäßig gewartet und geprüft?
- Wurde und wird veraltetes Equipment sicher entsorgt?
- Zugangskontrolle
- Gibt es eine Schutzsoftware vor Schadsoftware, die nicht nur installiert, sondern auch aktiviert und aktuell ist?
- Ist eine Benutzeridentifikation/Authentifizierung eingerichtet?
- Ist eine Firewall nicht nur installiert, sondern auch aktiviert?
- Sind die Bildschirme mit Bildschirmsperren versehen?
- Sind die Passwörter sicher?
- Zugriffskontrolle
- Ist ein Bearbeitungsschutz/Kopierschutz eingerichtet?
- Liegt ein Konzept für Zugriffsberechtigungen vor?
- Sind unterschiedliche Zugriffsrechte zugeteilt?
- Werden Datenträger/Datenblätter sicher entsorgt?
- Werden Verletzungen protokolliert?
- Zutrittskontrolle
- Ist der Zutritt zu Räumen beschränkt, in denen Datenmaterial verwahrt wird (Akten, Datenträger)?
- Ist der Zutritt zum Gebäude beschränkt?
- Sind die Rechnerräume nur für befugtes Personal zugänglich?
- Sind die Server sicher aufgestellt?
Ein Datenschutzaudit ist für jedes Unternehmen sinnvoll
Der Sinn eines Datenschutzaudits liegt darin, zu überprüfen, ob die verschiedenen Datenschutzkonzepte oder Produkte den Vorgaben der DSGVO entsprechen sowie ein Maximum an Sicherheit gewährleisten. Das Datenschutzaudit kann der Datenschutzzertifizierung dienen.
Da das Ergebnis der offiziellen Überprüfung veröffentlicht werden kann, stärkt es das Vertrauen der Verbraucher. Grundsätzlich ist kein Unternehmen per Gesetz verpflichtet, ein Datenschutzaudit durchzuführen, es handelt sich dabei immer um eine freiwillige Maßnah