Datenschutzaudit

Ein Datenschutzaudit ist als Ist-Analyse der erste Schritt jeder Datenschutzberatung. Erfüllt Ihr Unternehmen die aktuellen Anforderungen der Datenschutz-Grundverordnung?  

Datenschutz
Zusammengefasst

Ein Datenschutzaudit nach den Vorgaben der DSGVO ist entscheidend, um sicherzustellen, dass Ihr Unternehmen die strengen Anforderungen der Datenschutz-Grundverordnung erfüllt. Im Rahmen des Datenschutzaudits wird der aktuelle Status des Datenschutzes in Ihrem Unternehmen umfassend analysiert und sorgfältig dokumentiert.

Chancen und Risiken werden gegenübergestellt und ein möglicher Bedarf an Optimierung aufgezeigt. So kann verlässlich die Datenschutzsituation in Ihrem Unternehmen für die Zukunft geplant und kontrolliert werden.

Inhalt dieser Seite

Was ist ein Datenschutzaudit?

Ein Datenschutzaudit identifiziert den aktuellen Stand des Datenschutzes im Unternehmen, die gemäß den einschlägigen gesetzlichen Vorgaben (BDSG, BDSG-neu, DSGVO) im Umgang mit personenbezogenen Daten aber auch bezüglich der Informationssicherheit zu berücksichtigen sind. Die Aufgaben eines externen Datenschutzbeauftragten umfassen unter anderem die Analyse und die Bewertung einzelne Bereiche, Programme, Abteilungen oder des Gesamtzustandes.

Mittels der Datenschutz Auditierung wird ermöglicht, Abweichungen vom Soll-Zustand zu erkennen und je nach Umsetzungsgrad des Datenschutzes in Ihrem Unternehmen, Handlungsempfehlungen zur gezielten Behebung von Schwachstellen abzuleiten.

Der Auditbericht gibt einen schnellen Überblick über kritische Bereiche. Ebenso wichtig ist die Maßnahmenliste, die eine detaillierte Übersicht über die noch durchzuführenden Maßnahmen gibt. Sie dient als Arbeitsgrundlage zur weiteren Verbesserung der Datenschutzmanagementsystem Vorlage. Mit dem Datenschutzaudit erhalten Sie einen strukturierten Fahrplan zur Umsetzung der rechtlichen Vorgaben. Online-Themen (wie zum Beispiel die Qualität der Datenschutzerklärung) werden ebenfalls berücksichtigt.

Der Erfolg von eingesetzten Maßnahmen kann anhand von Folgeaudits abgelesen werden. Das Ergebnis der Bestandsaufnahme kann vom Unternehmen veröffentlicht werden und als Datenschutzzertifizierung dienen. Dies kann das Vertrauen der Nutzer in das Unternehmen stärken.

Audit & Gap-Analyse-Assistent

Auf unserer Plattform gibt es verschiedene Audit-Fragebögen, die auf unterschiedliche Abteilungen und Unternehmensbereiche zugeschnitten sind, zum Beispiel Marketing, Personal, Finanzen oder IT.

Der Cortina-Audit-Assistent hilft Ihnen mit intelligenten Auswahlmöglichkeiten und hilfreichen Fragen dabei, Ihre Datenschutzdokumentation zu überprüfen. Wenn Sie spezielle Anforderungen haben, können Sie den Audit-Fragebogen auch nach Ihren eigenen Vorgaben erstellen. Am Ende der Analyse kriegen Sie einen Bericht, der automatisch erstellt wird und auf Ihren Eingaben basiert. Den Zugang zu jedem Fragebogen können Sie mit anderen Beteiligten im Unternehmen teilen.

Im Audit-Modul können Sie dann nachsehen, was bei den internen Audits rausgekommen ist, den Handlungsbedarf organisieren und verfolgen, was sich daraus ergeben hat.

Play Video about Datenschutzaudit

Wann muss ein Datenschutzaudit durchgeführt werden?

Grundsätzlich ist die Durchführung einer Datenschutz Auditierung zu jedem Zeitpunkt sinnvoll, um die DSGVO-Konformität Ihres Unternehmens zu gewährleisten. Eine dringende Notwendigkeit zur Durchführung eines Datenschutzaudit ergibt sich jedoch aus mehreren Aspekten. Anhand folgender Checkliste können Sie auf schnellstem Weg ermitteln, ob in Ihrem Fall Datenschutzaudit-Bedarf besteht. 

Ein Datenschutzaudit sollte durchgeführt werden, sofern: 

Welche Auditverfahren gibt es?

Es handelt sich um ein umfassendes DSGVO-Audit, um Ihr Unternehmen bei der Einhaltung der Datenschutzbestimmungen zu unterstützen. Die Analyse deckt alle Aspekte der DSGVO-Compliance ab, einschließlich Verträge und interne Richtlinien. Das Ziel dieses Audits ist es, Sie mit fachkundiger Beratung zu spezifischen Anforderungen an Datenschutzstrategien zu versorgen, sowie die Rechtssicherheit zu gewährleisten. Auf Grundlage der strukturierten Bewertung Ihrer Verarbeitungsverfahren werden langfristige Pläne zur Verbesserung des Umgangs mit personenbezogenen Daten im Einklang mit den einschlägigen Gesetzen entwickelt.

Bei einem Review erfolgt ebenfalls eine gesamte Prüfung der datenschutzrechtlichen Situation in Ihrem Unternehmen. Dabei handelt es sich jedoch um eine zweite unabhängige Einschätzung durch einen externen Experten.

Mithilfe eines DSGVO-Quickcheck können Sie schnell und einfach den Datenschutzstatus Ihres Unternehmens bewerten. Es handelt sich um die Überprüfung der Datenschutzerklärung und des Consent Managements auf nationale und ggf. internationale Anforderungen. Dabei liegt der Fokus vorrangig auf den Kernfragen der DSGVO-Compliance, statt sich auf Prozessdetails zu konzentrieren. Das Ergebnis zeigt Ihnen alle möglichen Defizite auf und schätzt das daraus resultierende Sicherheitsrisiko ein. 

Um sicherzustellen, dass Ihre Zusammenarbeit mit externen Dienstleistern datenschutzkonform erfolgt, ist die Überprüfung externer Dienstleister im Unternehmen sowie der vertraglichen Angemessenheit für die bestehende Datenverarbeitung durch Dritte notwendig. Damit können Sie mögliche Fehlerquellen erkennen und bestenfalls beseitigen

Überprüfung der technisch-organisatorischen Maßnahmen (TOM) zur Sicherung der Daten. In diesem Fall kann eine Prüfung vor Ort sinnvoll sein (Stichwort: Physischer Zugang zu Servern / Kameras etc. ). Ziel ist es, die kritischen Datenverarbeitungsaktivitäten und die dafür verantwortlichen Personen zu identifizieren, Unterlagen zu prüfen, den aktuellen Stand der TOM zu bewerten, bestehende TOMs bei Bedarf zu aktualisieren und wirksame Lösungen zu empfehlen, die den Anforderungen von Artikel 32 DSGVO erfüllen.

Bei Datenschutzmanagement-Audit erfolgt die Überprüfung Ihres Datenschutzmanagementsystems (DSMS) hinsichtlich des aktuellen Compliance-Status. Damit können Sie gewährleisten, dass Ihr verwendetes DSMS den DSGVO-Anforderungen gerecht wird. 

Für Unternehmen ist es entscheidend, eine Software sicher und in Übereinstimmung mit den DSGVO-Vorschriften zu nutzen, egal ob es sich um eine Standardsoftware oder eine selbst programmierte Individualsoftware handelt. Eine Datenschutzberatung schafft Klarheit durch maßgeschneiderte Audits und Lösungen, die es Ihnen ermöglichen, Ihre Software sicher und datenschutzkonform einzusetzen. Aus der gründlichen Bewertungen Ihrer bestehenden Systeme resultiert zumeist ein Aktionsplan zur Optimierung Ihrer eingesetzten Software.

Wer führt ein Datenschutzaudit durch?

Es gibt zwei verschiedene Formen der Datenschutz Auditierung: das interne und externe Audit.

Beim internen Datenschutzaudit geht die Initiative zur Durchführung vom Datenschutzbeauftragten aus. Da dieser für die Einhaltung der DSGVO zuständig ist, liegt es zumeist an ihm, ein Datenschutzaudit vorzuschlagen. 

Darüber hinaus kann ein Datenschutzaudit auch extern durchgeführt werden. Dabei wird eine externe Person damit beauftragt, das Audit mit neutralem Blick durchzuführen. Es kann außerdem vorteilhaft sein, einen neutralen Dritten für das interne Datenschutzaudit heranzuziehen, um den Datenschutzbeauftragten zu unterstützen. 

 

Der Ablauf eines Datenschutzaudits

Vorbereitung eines Datenschutz-Audits

Da beim Datenschutzaudit neben den Kernprozessen auch Vorgänge in Abteilungen, in denen personenbezogene Daten verarbeitet werden (bspw. IT und Personal) geprüft werden, sollten Sie die entsprechenden Abteilungen frühzeitig über das Audit informieren. Damit können sich diese Abteilungen auf das Datenschutzaudit vorbereiten und einen Ansprechpartner dafür bereitstellen

Achten Sie besonders darauf, den Ablauf des Datenschutzaudits zeitlich zu planen und ggf. mittels Testdurchlaufs den damit verbundenen Aufwand abzuschätzen. 

Checkliste zur Planung des Datenschutzaudits

Bei der Datenschutz Auditierung geht der Prüfer auf eine Vielzahl an Aspekten ein. Wir haben Ihnen die Checkliste, die meist bei einem Audit durchgearbeitet wird, zusammengestellt. Es kann hilfreich sein, diese vorab durchzugehen, um über die zu prüfenden Punkte informiert zu sein.

Achtung

Diese Checkliste dient lediglich als Beispiel, sie kann von Prüfstelle zu Prüfstelle unterschiedlich sein. 

Organisationskontrolle
Check
Es wurde ein Datenschutzbeauftragter ernannt (§§ 4f, 4g BDSG)
Die Mitarbeiter wurden zum Datengeheimnis nach §5 BDSG verpflichtet
Die Mitarbeiter wurden zum Datenschutz geschult
Es besteht ein Datenschutzkonzept
Zutrittskontrolle
Check
Der Zutritt zum Gebäude wird beschränkt
Rechnerräume sind nur für befugtes Personal zugänglich
Es sind alle Server sicher aufgestellt
Der Zutritt zu Räumen, in denen Datenmaterial verwahrt wird ist beschränkt
Zugangskontrolle
Check
Bildschirmsperren sind eingerichtet
Eine Firewall ist installiert, aktiviert und aktualisiert
Die Software zum Schutz vor Schadsoftware ist installiert, aktiviert und aktualisiert
Eine Benutzeridentifikation ist eingerichtet
Es werden sichere Passwörter verwendet
Zugriffskontrolle
Check
Es liegt ein Konzept für Zugriffsberechtigungen vor
Es gibt unterschiedliche Zugriffsrechte
Verletzungen werden protokolliert
Datenträger/-blätter werden sicher entsorgt
Es ist ein Kopierschutz/Bearbeitungsschutz eingerichtet
Weitergabekontrolle
Check
Eine Datenverschlüsselung ist eingerichtet und aktiv
Datenverarbeitungssysteme werden regelmäßig gewartet und geprüft
Veraltetes Equipment wird sicher entsorgt
Die Nutzung privaten Equipments wird beschränkt
Eingabekontrolle
Check
Erhebungen, Änderungen und Löschungen werden protokolliert
Verwaltungsakten werden protokolliert
Auftragskontrolle
Check
Die Auftragsannahme ist sicher
Ein Konfliktmanagement bei Verstößen/Verdachtsfällen ist installiert
Es sind Mechanismen zur Selbstkontrolle auf Seiten des Auftragnehmers vorhanden
Verfügbarkeitskontrolle
Check
Die Daten sind gegen unbeabsichtigte Löschung/Vernichtung abgesichert
Sicherungskopien sind vorhanden
Die Sicherung vor Schadsoftware ist vorhanden
Trennungsgebot
Check
Gemeinsam erhobene Daten werden getrennt voneinander verarbeitet
Personenbezogene Daten einzelner Betroffener sind getrennt verfügbar

Durchführung der Datenschutz-Prüfung

Die Durchführung eines Datenschutzaudits stellt sicher, dass Ihr Unternehmen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllt und personenbezogene Daten wirksam schützt. Während des Audits werden Ihre Datenschutzpraktiken umfassend geprüft und in einem Bericht zusammengestellt.

Was kann auditiert werden?

Sie können die gesamte Verarbeitung personenbezogener Daten in Ihrem Unternehmen prüfen lassen oder nur einen Teil wie beispielsweise die Datensicherheit durch einen unabhängigen externen Experten prüfen und dokumentieren lassen. 

Konzeption, Angemessenheit und Wirksamkeit

Die Schritte eines Datenschutzaudits bestehen aus Konzeption, Angemessenheit und Wirksamkeit. Gibt es bereits ein Datenschutzkonzept oder muss noch ein Datenschutzmanagementsystem etabliert werden? Ist dieses der Datenverarbeitung und den damit einhergehenden Risiken angemessen? Werden die Maßnahmen korrekt umgesetzt, sodass sie ihren Zweck erfüllen können? Wo bestehen eventuell noch Sicherheitslücken?

Follow-up nach dem Datenschutzaudit

Eine sorgfältige Nachbereitung nach einem Datenschutzaudit ist entscheidend, um die im Audit identifizierten Schwachstellen effektiv zu beheben und langfristig ein hohes Datenschutzniveau sicherzustellen. Sobald der Auditor das Datenschutzaudit abgeschlossen hat, erstellt er einen detaillierten Bericht, in dem alle gefundenen Schwachstellen und Risiken aufgeführt sind. Dieser Bericht dient als Grundlage für die nächsten Schritte, bei denen es darum geht, gezielte Maßnahmen zur Behebung der identifizierten Probleme umzusetzen.

Umgang mit dem Datenschutz-Audit Bericht

Im Optimalfall reicht der Auditor nach der Erstellung des Datenschutz Berichts bereits eine Maßnahmenliste zur Behebung der Schwachstellen mit ein. Sollte dies nicht der Fall sein, ermittelt der Auditor mit den einzelnen Abteilungen entsprechende Maßnahmen, um die Fehler zu beheben. 

Empfehlungen des Datenschutzaudit umsetzen

Nach Ernennung eines Datenschutzbeauftragten (sofern noch nicht geschehen) gilt es, die Maßnahmen zur Verbesserung des Datenschutzes in Ihrem Unternehmen umzusetzen. Dabei ist es die Aufgabe des Datenschutzbeauftragten, die Umsetzung dieser Maßnahmen zu kontrollieren. Nachdem alle Maßnahmen umgesetzt wurden, gilt es weiterhin zu gewährleisten, dass den Anforderungen der DSGVO nachgekommen wird

Umfang des Datenschutzaudit

In einem Datenschutzaudit wird geprüft, welche Mitarbeiter mit personenbezogenen Daten in Kontakt kommen, in welcher Form dies geschieht und wie diese Daten verarbeitet werden.

Ist ein Datenschutzaudit Pflicht?

Ein Datenschutzaudit ist keine gesetzliche Verpflichtung, sondern eine freiwillige Maßnahme, die Unternehmen und Organisationen ergreifen können, um ihre Datenschutzpraktiken zu überprüfen und zu verbessern. Unabhängige Gutachter und Datenschutzbeauftragte führen diese Audits durch, um Schwachstellen zu identifizieren und Empfehlungen zur Verbesserung der Datensicherheit zu geben.

Auch wenn es keine Pflicht zum Audit gibt, ist es ein äußerst sinnvoller Schritt, um das Risiko von Datenschutzverletzungen zu minimieren. Im Falle eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) können die Aufsichtsbehörden empfindliche Geldbußen verhängen.

Was kostet ein Datenschutzaudit?

Die Kosten für ein Datenschutzaudit richten sich in der Regel nach dem Aufwand und können somit zwischen 1000 und 3000 Euro betragen. Ein Datenschutzaudit ist ein finanzieller Aufwand, der sich schnell auszahlt, da das Audit die Grundlage für das zukünftige Datenschutzniveau im Unternehmen darstellt.

Ein Datenschutzaudit ist essentiell für die erfolgreiche Umsetzung von Datenschutzmaßnahmen im Unternehmen. Es stellt die Basis weiterer Vorgehensweisen dar und dient gleichzeitig der Rechenschaftspflicht im Unternehmen gegenüber Landesaufsichtsbehörden.

Datenschutzaudit im DSB-Paket-Preis

Für Unternehmen, die personenbezogene Daten verarbeiten, ist die Bestellung eines Datenschutzbeauftragten Pflicht. Zu den Aufgaben eines Datenschutzbeauftragten gehört selbstverständlich das Datenschutzaudit, um sich einen Überblick über die Datenverarbeitung und das vorhandene Datenschutzkonzept zu verschaffen.

Aus diesem Grund empfiehlt es sich, ein DSB-Paket zu buchen, welches budgetorientiert – je nach Unternehmensgröße und Aufwand – alle notwendigen Datenschutzleistungen enthält. Damit keine bösen Überraschungen entstehen, haben wir ein kostentransparentes Konzept erstellt, welches die Kosten überschaubar und planbar hält.

Datenschutzaudit vor Ort oder Remote

Ein Datenschutzaudit muss nicht zwangsweise vor Ort stattfinden. Ein Audit vor Ort macht besonders dann Sinn, wenn die physischen Sicherheitsbedingungen geprüft werden sollen (TOM). Doch ein Audit kann auch bequem remote – also aus der Ferne – durchgeführt werden.

Wie funktioniert ein Remote Audit?

In einem Remote Audit sind Sie mit Ihrem Datenschutzberater über Telefon/Videokonferenz und Screensharing miteinander verbunden und können digital (via sicherem Austauschserver) Daten austauschen. Dazu benötigen Sie eine stabile Internetverbindung und eine zuverlässige technische Infrastruktur. Dadurch sparen Sie ZeitAnfahrtskosten und sind ortsunabhängig.

 

Welchen Vorteil hat ein Remote Audit?

Ein remote Audit ist ein Audit aus der Ferne. Das bedeutet, dass der Datenschutzberater für die Durchführung des Audits nicht vor Ort sein muss. Das macht nicht erst seit COVID Sinn, sondern ist auch praktisch für Unternehmen, die beispielsweise eine Zweigstelle an einem anderen Standort haben. Ein remote Audit macht die Zusammenarbeit so flexibler und kostengünstiger. Für die Sicherheit der Daten bei dem digitalen Austausch von Daten wird durch Cortina gesorgt.

Ablauf Remote Audit

Häufige Fragen zum Datenschutzaudit

Datenschutzerklärungen sind Pflicht für jede Internetseite. Sie informieren User und Userinnen über die Datenverarbeitung auf der Website und über die Rechte der Betroffenen. Es ist noch häufig zu beobachten, dass WebsitebetreiberInnen zu kostenlosen DSE Vorlagen im Netz greifen. Diese haben jedoch 2 Probleme: Unvollständigkeit & Unaktualität. Das liegt daran, dass ein Großteil der Datenverarbeitung im Hintergrund und ohne Wissen des Betreibers mithilfe von versteckten Cookies ablaufen.

Aufgrund von ständiger Veränderungen auf Homepages werden auch immer wieder Anpassungen in der Datenschutzerklärung fällig. Um Ressourcen zu sparen und Risiken zu minimieren, lohnt es sich, sich für eine intelligente Lösung zu entscheiden, die die Datenschutzerklärung einmalig aufgrund eines kompletten Website Checks erstellt und dann automatisch (auf der Basis wiederkehrender Scans) aktualisiert.

Mit einem Auditbericht kommen Unternehmen ihrer Rechenschaftspflicht nach. Indem Sie Ihr Datenschutzkonzept dokumentieren und begründen, sichern Sie sich gegenüber Aufsichtsbehörden ab und haben einen Leitfaden für die weitere Vorgehensweise zum Erreichen eines hohen Datenschutzniveaus.

In Art. 5 Abs. 2 DSGVO wird der Grundsatz der Rechenschaftspflicht definiert. Demnach gilt, dass Verantwortliche Stellen die Einhaltung bestimmter Datenschutzgrundsätze nachweisen (können) müssen. Art. 24 Abs.1 DSGVO greift diese Pflicht auf, indem weiter präzisiert wird, dass geeignete technische und organisatorische Maßnahmen (TOM) ergriffen werden müssen. Außerdem muss nachgewiesen werden, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO erfolgt. Diese TOM müssen überprüft und aktualisiert werden. 

Ein Datenschutzaudit wird zu Beginn eines einzuführenden Datenschutzes gemacht. Sobald die Maßnahmen im Unternehmen umgesetzt wurden, müssen diese regelmäßig mit dem PDCA Prinzip überprüft und angepasst werden. Da sich Unternehmen im Laufe der Zeit immer weiterentwickeln, können auch neue Maßnahmen notwendig werden. Es empfiehlt sich einmal pro Jahr eine Datenschutz-Folgenabschätzung durchzuführen, die bestehende Risiken aufdeckt und eine Verbesserung der Maßnahmen.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Optimieren Sie den Datenschutz in Ihrem Unternehmen!

Als externer Datenschutzbeauftragter führen wir regelmäßig Datenschutzaudits durch und unsterstützen Sie aktiv bei der Umsetzung aller Maßnahmen.

Die externen Datenschutzbeauftragter der Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

ISMS
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo