Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Artikel

Personendaten für den externen Auditor? Das können Sie empfehlen

Sie kennen den Spruch bestimmt: „Vertrauen ist gut, Kontrolle ist besser.“ Manchmal liegt deshalb ein Datenschutz-Audit an. Es ist für Unternehmen ein wichtigster Schritt, um die Einhaltung aller gesetzlichen Anforderungen zu überprüfen. Steht ein externes Audit ins Haus, müssen meist auch viele Informationen fliessen. Das kann auch ein Thema für Sie als Datenschützer sein. Besonders sensibel sind dabei Mitarbeiterdaten, die nicht in vollem Umfang preisgegeben werden dürfen. Hier sollten Sie immer beachten, in welchem Umfang und ob überhaupt eine Offenlegung notwendig ist. Sie sollten die Daten der Betroffenen schützen und zugleich die Anforderungen des Audits erfüllen.

Andreas Würtz

29.09.2025 · 3 Min Lesezeit

Stellen Sie sich Folgendes vor: 
Ihr Unternehmen wird von einer externen Prüfungsgesellschaft hinsichtlich der Umsetzung von mit einem anderen Unternehmen vereinbarten Qualitätsstandards geprüft. Dabei soll nicht nur das Qualitätsmanagement an sich unter die Lupe genommen werden; auch die Qualifikation der in diesem Bereich tätigen Beschäftigten wird hinterfragt.

In einem Vorgespräch mit den Prüfern hat das Auditteam Ihres Unternehmens erfahren, dass man sich auch Arbeitsverträge, Stellenbeschreibungen und Qualifikationsnachweise ansehen will. Dazu sollen vorab entsprechende Unterlagen an die Prüfer geschickt werden.

Ihre Kollegen wenden sich an Sie. Man ist sich unsicher, inwieweit das überhaupt mit dem Datenschutz vereinbar ist. Sie sollen Tipps geben, worauf man achten und wie man weiter vorgehen sollte. 

So können Sie die Sache angehen

Am besten ist es, wenn Sie die Kollegen zu einem Termin einladen. Im Gespräch lassen sich viele Aspekte besser erörtern.

Sie können Verständnisfragen stellen und auch die Kollegen können direkt nachhaken, falls ihnen etwas unklar bleibt. Erwähnen Sie beispielsweise die folgenden wichtigen Aspekte: 

Die Rahmenbedingungen müssen geklärt werden 

Entscheidend ist zunächst, dass die Kollegen möglichst gut Bescheid wissen. Wenn noch nicht geklärt, dann müssen beispielsweise das Auditziel und der Auditfokus ausgemacht werden.

Dies ist dann meist auch der Zweck, der für eine Bearbeitung von Personendaten von besonderer Bedeutung ist.

Daran bemisst sich, ob eine Bearbeitung von Personendaten rechtmässig und erforderlich ist. 

In Erfahrung gebracht werden sollte auch, was konkret geprüft wird und welcher Nachweis von Ihrem Unternehmen gefordert wird.

Hier sollte möglichst konkret nachgefragt werden. Werden etwa Arbeitsverträge gefordert, kann ggf. ein Muster ausreichen.

Sollen abgeschlossene Verträge oder Qualifikationsnachweise (z. B. Zeugnisse) von Beschäftigten vorgelegt werden, ist die Frage entscheidend, welche Bestandteile dieser Unterlagen nicht benötigt werden.

Diese brauchen dann auch nicht geliefert bzw. können entsprechend geschwärzt werden. 


Anonymisierung ist das Mittel der Wahl 

Ggf. reichen anonyme Nachweise aus. Das ist insofern eine tolle Sache, weil dann das Bundesgesetz für den Datenschutz (DSG) nicht greift. Eine Weitergabe anonymer Informationen ist unbedenklich.

Aber: Es muss ausgeschlossen sein, dass der Auditor den Personenbezug herstellen kann. Insofern können auch pseudonyme Daten für den Auditor wie anonyme Daten wirken. 

Kann er im Gegensatz zu Ihrem Unternehmen keine Zuordnung der Daten zu einer Person vornehmen, sind für ihn die Daten faktisch anonym.

Das kann sich etwa günstig auf die Bewertung der Zulässigkeit einer Datenübermittlung auswirken. 

Eine Rechtsgrundlage ist unerlässlich

Sollen Personendaten weitergegeben werden, muss es hierfür eine Erlaubnis geben. Manchmal lässt sich die Weitergabe von Personendaten auf eine gesetzliche Pflicht stützen.

Oft wird damit jedoch ein berechtigtes Interesse verfolgt. Dieses Interesse muss dann die Interessen der Betroffenen überwiegen (Art. 31 Abs. 1 DSG). 

Ausserdem ist wichtig: Liegt eine Bearbeitung für einen anderen als den ursprünglichen Zweck vor (beispielsweise der Auditor fordert die Vorlage eines Arbeitsvertrags oder von Qualifikationsnachweisen), muss das mit Art. 6 Abs. 3 DSG vereinbar sein.

Der Zweckbindungsgrundsatz ist verletzt, wenn die betroffene Person dies berechtigterweise als unerwartet, unangebracht oder beanstandbar erachten kann. 

Die Grundsätze der Bearbeitung müssen beachtet werden

Legen Sie hier den Schwerpunkt auf das Grundprinzip der Verhältnismässigkeit (Art. 6 Abs. 2 DSG). Folgende Frage, die sich am Need-to.know-Prinzip orientiert, bringt den Verhältnismässigkeitsgrundsatz auf den Punkt: Ist diese Information für das verfolgte Ziel wirklich erforderlich? 

Im Übrigen sollten auch für einen Prüfer vor Ort Zutritts- und Zugriffsrechte auf das erforderliche Mass beschränkt sein. 

Bei Sensiblem: unbedingt das Vieraugenprinzip umsetzen

Auch bei Personendaten gibt es viel Sensibles. Bevor hiervon etwas weitergegeben wird, sollten die kompetenten Personen die Sache bewerten. Bei Personendaten sollte man Sie als Datenschutzberaer einbinden.

So lässt sich leichter sicherstellen, dass Rechtsgrundlage, Datenumfang und Datensicherheit gewährleistet sind.

Auch wird vermieden, dass andere relevante Aspekte übersehen werden, etwa das Schaffen der nötigen Transparenz. 

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Würtz
217
0
194
Rechtsanwalt | DatenschutzexperteZertifizierter Datenschutzbeauftragter, Privacy Professional (CIPP/E, CIPM, FIP), ISO-27001-Lead-Auditor, Krisenkommunikationsmanager, Chefredakteur des Fachratgebers „Datenschutz aktuell“Andreas Würtz begleitet seit vielen Jahren Unternehmen, Vereine und Organisationen bei der Umsetzung datenschutzrechtlicher Anforderungen […]

Inhaltsverzeichnis

Inhaltsverzeichnis

So können Sie die Sache angehen Bei Sensiblem: unbedingt das Vieraugenprinzip umsetzen

Mehr interessante Beiträge