Datenschutzaudit
Status quo DSGVO. Ist-soll-Analyse. Prozesse identifizieren. Maßnahmen planen.
Bei einem Datenschutzaudit nach DSGVO ist zu prüfen, ob Ihr Unternehmen den Anforderungen der Datenschutz-Grundverordnung gerecht wird. Dazu wird der aktuelle Stand des Datenschutzes in Ihrem Unternehmen analysiert und dokumentiert.
Chancen und Risiken werden gegenübergestellt und ein möglicher Bedarf an Optimierung aufgezeigt. So kann verlässlich die Datenschutzsituation in Ihrem Unternehmen für die Zukunft geplant und kontrolliert werden.
Was ist ein Datenschutzaudit?
Ein Datenschutzaudit identifiziert den aktuellen Stand des Datenschutzes im Unternehmen, die gemäß den einschlägigen gesetzlichen Vorgaben (BDSG, BDSG-neu, DSGVO) im Umgang mit personenbezogenen Daten aber auch bezüglich der Informationssicherheit zu berücksichtigen sind. Die Aufgaben eines externen Datenschutzbeauftragten umfassen unter anderem die Analyse und die Bewertung einzelne Bereiche, Programme, Abteilungen oder des Gesamtzustandes.
Das Datenschutzaudit macht es möglich, Abweichungen vom Soll-Zustand zu erkennen und je nach Umsetzungsgrad des Datenschutzes in Ihrem Unternehmen, Handlungsempfehlungen zur gezielten Behebung von Schwachstellen abzuleiten.
Der Auditbericht gibt einen schnellen Überblick über kritische Bereiche. Ebenso wichtig ist die Maßnahmenliste, die eine detaillierte Übersicht über die noch durchzuführenden Maßnahmen gibt. Sie dient als Arbeitsgrundlage zur weiteren Verbesserung der Datenschutzmanagementsystem Vorlage. Mit dem Datenschutzaudit erhalten Sie einen strukturierten Fahrplan zur Umsetzung der rechtlichen Vorgaben. Online-Themen (wie zum Beispiel die Qualität der Datenschutzerklärung) werden ebenfalls berücksichtigt.
Überprüfen Sie ihr Datenschutzniveau
Füllen Sie unseren kurzen Fragebogen aus und wir erstellen Ihnen ein für Ihre Anforderungen passendes Angebot zusammen.
Der Erfolg von eigesetzten Maßnahmen kann anhand von Folgeaudits abgelesen werden. Das Ergebnis der Bestandsaufnahme kann vom Unternehmen veröffentlicht werden und als Datenschutzzertifizierung dienen. Dies kann das Vertrauen der Nutzer in das Unternehmen stärken.
Services und Leistungen zum Audit DSGVO
Gesamte Prüfung der datenschutzrechtlichen Situation im Unternehmen. Ein initiales Audit kann vor Ort oder digital stattfinden und stellt die Basis weiterer Maßnahmen dar.
Ebenfalls gesamte Prüfung der datenschutzrechtlichen Situation im Unternehmen – jedoch als zweite unabhängige Einschätzung durch einen externen Experten.
Überprüfung externer Dienstleister im Unternehmen sowie der vertraglichen Angemessenheit für die bestehende Datenverarbeitung durch Dritte.
Überprüfung der technisch-orgnisatorischen Maßnahmen (TOM) zur Sicherung der Daten. In diesem Fall kann eine Prüfung vor Ort sinnvoll sein (Stichwort: Physischer Zugang zu Servern / Kameras etc. ).
Überprüfung der Datenschutzerklärung & des Consent Managements auf nationale und ggf. internationale Anforderungen.
Was gehört zum Datenschutzaudit?
Datenschutzaudit - Ablauf
Sprechen Sie uns an.
Wir beraten Sie gerne
+49 251 95 20 37 - 40
Ihr Ansprechpartner
Jörg ter Beek
+49 251 95 20 37 - 40
[email protected]
Ihr Datenschutzbeauftragter
- zehnjährige Praxiserfahrung
- TÜV-zertifizierter Datenschutzbeauftragter
- ISMS-Auditor
- Expertise in Datenschutzberatung und IT-Security
Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.
Was kann auditiert werden? Sie können die gesamte Verarbeitung personenbezogener Daten in Ihrem Unternehmen prüfen lassen oder nur einen Teil wie beispielsweise die Datensicherheit durch einen unabhängigen externen Experten prüfen und dokumentieren lassen. Dabei unterscheiden wir die folgenden Arten des Datenschutzaudits:
Datenschutzaudit - Umfang
In einem Datenschutzaudit wird geprüft, welche Mitarbeiter mit personenbezogenen Daten in Kontakt kommen, in welcher Form dies geschieht und wie diese Daten verarbeitet werden.
Konzeption, Angemessenheit und Wirksamkeit
Die Schritte eines Datenschutzaudits bestehen aus Konzeption, Angemessenheit und Wirksamkeit.
Gibt es bereits ein Datenschutzkonzept oder muss noch ein Datenschutzmanagementsystem etabliert werden?
Ist dieses der Datenverarbeitung und den damit einhergehenden Risiken angemessen?
Werden die Maßnahmen korrekt umgesetzt, sodass sie ihren Zweck erfüllen können? Wo bestehen eventuell noch Sicherheitslücken?
Sie benötigen Unterstützung bei Datenschutzrichtlinien?
Dann sind Sie hier richtig! Kontaktieren Sie uns. Wir beraten Sie zu Ihrem Anliegen.
Was kostet ein Datenschutzaudit?
Die Kosten für ein Datenschutzaudit richten sich in der Regel nach dem Aufwand und können somit zwischen 1000 und 3000 Euro betragen. Ein Datenschutzaudit ist ein finanzieller Aufwand, der sich schnell auszahlt, da das Audit die Grundlage für das zukünftige Datenschutzniveau im Unternehmen darstellt.
Ein Datenschutzaudit ist essentiell für die erfolgreiche Umsetzung von Datenschutzmaßnahmen im Unternehmen. Es stellt die Basis weiterer Vorgehensweisen dar und dient gleichzeitig der Rechenschaftspflicht im Unternehmen gegenüber Landesaufsichtsbehörden.
Datenschutzaudit im DSB-Paket-Preis
Für Unternehmen, die personenbezogene Daten verarbeiten, ist die Bestellung eines Datenschutzbeauftragten Pflicht. Zu den Aufgaben eines Datenschutzbeauftragten gehört selbstverständlich das Datenschutzaudit, um sich einen Überblick über die Datenverarbeitung und das vorhandene Datenschutzkonzept zu verschaffen.
Aus diesem Grund empfiehlt es sich, ein DSB-Paket zu buchen, welches budgetorientiert – je nach Unternehmensgröße und Aufwand – alle notwendigen Datenschutzleistungen enthält. Damit keine bösen Überraschungen entstehen, haben wir ein kostentransparentes Konzept erstellt, welches die Kosten überschaubar und planbar hält.
DSB SMALL
175€ /Monat
Das Einsteiger-Paket für kleine & mittlere Unternehmen, B2B
DSB MEDIUM
275€ /Monat
Perfekt für E-Commerce, Logistik, IT & B2C Unternehmen
DSB ON DEMAND
auf Anfrage
Perfekt für Unternehmen mit komplexen Anforderungen & B2C
| Feature | DSB SMALL | DSB MEDIUM | DSB ON DEMAND |
|---|---|---|---|
| Persönlicher Datenschutzbeauftragter DSB | |||
| Bereitstellung eines externen DSB | |||
| Nennung des DSB auf Website | |||
| Anmeldung des DSB bei Aufsichtsbehörde | |||
| Vorstellung des DSB in der Firma / Organisation | |||
| Ansprechpartner für Behörde, Kunden, Mitarbeiter | |||
| Kurzkommunikation bei akuten Fragen | 2x Monat | 4x Monat | All-in |
| Bestandsaufnahme / Audit | |||
| Bestandsaufnahme zum Status des Datenschutzes | via Fragebogen | via Interview (remote) | remote und/oder vor Ort |
| Statusbericht und Handlungsempfehlung | |||
| Ergebnisbesprechung des Statusberichts | |||
| Erstellung eines Umsetzungsplans / Roadmap | |||
| Datenschutzmanagementsystem (DSMS) | |||
| Hosting und Updates des Datenschutzhandbuches | |||
| Einführung in das DSMS | Remote Meeting | Remote Meeting | Webkonferenz mit DS-Team remote / vor Ort |
| Aktualisierung der Vorlagen, Checklisten etc. | |||
| Pflege des Datenschutzhandbuches | |||
| Aktive Weiterentwicklung (PDCA Zyklus) | |||
| Privacy Hub: Website / Onlinepräsenz | |||
| Privacy Hub Paket | |||
| DSGVO Website Check | |||
| Erstellung Datenschutzerklärung (DSE) | |||
| Erstellung Social Media DSE | |||
| Erstellung DSE für Apps | |||
| Hosting & Update-Service für DSE, inkl. Abmahnschutz | |||
| Consent-Management-Platform / CMP (Überprüfung & Report) | |||
| CMP Check Ergebnisbesprechung | |||
| CMP Tool Lizenz | |||
| DSGVO-Compliance Monitoring ges. Onlinepräsenz | |||
| Informationspflichten Artikel 13/14 | |||
| Remote-Meeting zur Einführung in die Aufnahme aller relevanten Verfahren im Unternehmen | |||
| Auflistung und Dokumentation aller relevanten Verfahren | |||
| Bereitstellen einer HTML- und Word-Vorlage | |||
| Hosting der Datenschutzinformationen & Bereitstellung eines Links zur Einbindung | |||
| Monitoring & Aktualität gemäß DSGVO, BDSG-neu | |||
| Aktive Weiterentwicklung (PDCA Zyklus) | |||
| Mitarbeiterschulung | |||
| Allgemeine Einführung zur DSGVO (E-Learning) | max. 25 Personen | max. 75 Personen | All-in |
| Firmenspezifische Einführung zur DSGVO mit individueller Terminwahl (E-Learning) | auf Anfrage | auf Anfrage | All-in |
| Dokumentation und Nachweis erfolgter Schulungsteilnahme | |||
| IT-Sicherheit (Awareness) Schulung | |||
| Beschäftigtendatenschutz | |||
| Vorlage zum Onboarding neuer Mitarbeiter | |||
| Verzeichnis Verarbeitungstätigkeiten (VVT) | |||
| Bereitstellen einer Prozessliste, inkl. Aktualisierung | |||
| Bereitstellen einer VVT-Vorlage mit Musterblatt | |||
| Anleitung zur Erstellung und Pflege der Prozessliste | Remote Meeting mit DSK | Remote Meeting mit DSK | Webkonferenz mit DS-Team remote / vor Ort |
| Erstellen von VVT gemäß Prozessliste | Remote Meeting mit DSK | Alle initial; fortlaufend 10 VVT / Jahr | nach Bedarf |
| Auftragsverarbeitungsvertrag | |||
| Bereitstellen einer zwecks Identifikation aller Dienstleister (inkl. Aktualisierung) | |||
| Anleitung zur Einführung, Erstellung und Pflege von AVV | Remote Meeting mit DSK | Remote Meeting mit DSK | Webkonferenz mit DS-Team remote / vor Ort |
| Bereitstellen einer AVV-Dokumentations-Vorlage mit Musterblatt | |||
| Pflege der AVV- und Dienstleister-Liste | |||
| Prüfen von übermittelten AVV | 5 AVV / Jahr | 10 AVV / Jahr | nach Bedarf |
| Erstellen von AVV | |||
| Technisch-organisatorische Maßnahmen (TOM) | |||
| Bereitstellung von Vorlagen für Konzepte, Dokumentation, Richtlinen | |||
| Allgemeine Einführung in die Pflege und Individualisierung der Inhalte | Remote Meeting mit DSK | Remote Meeting mit DSK | |
| Firmenspezifische Einführung in die Individualisierung und Pflege der Inhalte | |||
| Vorlage für verschiedene Mitarbeiterrichtlinien und IT-Konzepten | |||
| Erstellen und Anpassen von firmenspezifischen Mitarbeiter-Richtlinien und IT-Konzepten | |||
| Löschkonzept | |||
| Bereitstellung einer Vorlage zur Erstellung eines Löschkonzepts | |||
| Einführung zur Individualisierung und Pflege der Inhalte | Remote Meeting mit DSK | Remote Meeting mit DSK | Webkonferenz mit DS-Team remote / vor Ort |
| Erstellung eines firmenspezifischen Löschkonzepts | |||
| Betroffenenrechte | |||
| Bereitstellung eines Leitfadens | |||
| Ext. DSB ist Empfänger der Anfragen von internen und externen Betroffenen | |||
| Kommunikation & Korrespondenz mit Betroffenen und Aufsichtsbehörde | |||
| Datenschutzvorfall | |||
| Bereitstellung eines Leitfadens | |||
| Ext. DSB ist Empfänger der Anfragen von internen und externen Betroffenen | |||
| Kommunikation & Korrespondenz mit Betroffenen und Aufsichtsbehörde | |||
| Datenschutzfolgeabschätzung | |||
| Durchführung DSFA | auf Anfrage buchbar | 1 pro Jahr | nach Bedarf |
| Projektmanagement | |||
| Controlling | |||
| Statusgespräche / Calls | auf Anfrage | ||
| Regelmäßige Überprüfung / Validierung der getroffenen Maßnahmen | |||
| Persönlicher Ansprechpartner für Rückfragen | |||
| DSGVO News | |||
| Newsletter zu relevanten Datenschutzthemen | |||
| Vertragslaufzeit | |||
| Monate | 24 | 24 | 24 |
| Kosten | |||
| einmalige Setup-Kosten zu Beginn | 1375€ | 2750€ | nach Aufwand |
| pro Monat | 175€ | 275€ | nach Absprache |
Wer braucht einen Datenschutzbeauftragten?
Unternehmen mit mindestens 20 Mitarbeitern, die regelmäßig autonomisiert Daten verarbeiten brauchen einen Datenschutzbeauftragten.
Unabhängig von der Mitarbeiterzahl ist die Bestellung eines Datenschutzbeauftragten Pflicht, wenn im Unternehmen sensible Daten identifizierbarer Personen (z.B. Gesundheitsdaten) verarbeitet werden oder die Hauptbeschäftigung des Unternehmens die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten darstellt.
Datenschutzaudit vor Ort oder Remote
Ein Datenschutzaudit muss nicht zwangsweise vor Ort stattfinden. Ein Audit vor Ort macht besonders dann Sinn, wenn die physischen Sicherheitsbedingungen geprüft werden sollen (TOM). Doch ein Audit kann auch bequem remote – also aus der Ferne – durchgeführt werden.
Dies hat für beide Seiten viele Vorteile: Eine Terminfindung ist meist unkomplizierter, es spart Zeit und Aufwand und somit auch Kosten. Für die Sicherheit der Daten bei dem digitalen Austausch von Daten wird durch Cortina gesorgt.
Welchen Vorteil hat ein Remote Audit?
Ein remote Audit ist ein Audit aus der Ferne. Das bedeutet, dass der Datenschutzberater für die Durchführung des Audits nicht vor Ort sein muss. Das macht nicht erst seit Corona Sinn, sondern ist auch praktisch für Unternehmen, die beispielsweise eine Zweigstelle an einem anderen Standort haben. Ein remote Audit macht die Zusammenarbeit außerdem flexibler und kostengünstiger.
Ablauf Remote Audit
1. Bequem von Ihrem Schreibtisch aus
Erstes Telefongespräch (und Web-Meeting oder Videokonferenz) zur Besprechung Ihres bisherigen Vorgehens zur Umsetzung der DSGVO.
2. Status quo DSGVO
Wir besprechen IST- und SOLL der DSGVO-Anforderung bzw. den Grad der Umsetzung in Ihrer Oragnisation.
3. Erste Einschätzung oder zweite Meinung
Sie erhalten die Meinung eines Datenschutz-Experten zu Ihrem aktuellen Datenschutz-Status.
4. Budgetplan
Sie erhalten ein an die Anforderungen Ihres Unternehmens angepassten Budgetplan für individuelle Datenschutzlösungen.
Datenschutzaudit für Websites
Die Vorgaben der DSGVO für Websites werden immer komplexer. Um personenbezogene Daten zu schützen, müssen Websitebetreiber einiges beachten. Zu den wichtigsten Bestandteilen einer Website nach DSGVO gehören die Datenschutzerklärung und eine Consent-Management-Platform, auch bekannt als Cookie Banner....
Wie funktioniert ein Remote Audit?
In einem Remote Audit sind Sie mit Ihrem Datenschutzberater über Telefon/Videokonferenz und Screensharing miteinander verbunden und können digital (via sicherem Austauschserver) Daten austauschen. Dazu benötigen Sie eine stabile Internetverbindung und eine zuverlässige technische Infrastruktur. Dadurch sparen Sie Zeit, Anfahrtskosten und sind ortsunabhängig.
FAQ
Häufige Fragen zur Datenschutzaudit
Datenschutzerklärungen sind Pflicht für jede Internetseite. Sie informieren User und Userinnen über die Datenverarbeitung auf der Website und über die Rechte der Betroffenen. Es ist noch häufig zu beobachten, dass WebsitebetreiberInnen zu kostenlosen DSE Vorlagen im Netz greifen. Diese haben jedoch 2 Probleme: Unvollständigkeit & Unaktualität. Das liegt daran, dass ein Großteil der Datenverarbeitung im Hintergrund und ohne Wissen des Betreibers mithilfe von versteckten Cookies ablaufen.
Aufgrund von ständiger Veränderungen auf Homepages werden auch immer wieder Anpassungen in der Datenschutzerklärung fällig. Um Ressourcen zu sparen und Risiken zu minimieren, lohnt es sich, sich für eine intelligente Lösung zu entscheiden, die die Datenschutzerklärung einmalig aufgrund eines kompletten Website Checks erstellt und dann automatisch (auf der Basis wiederkehrender Scans) aktualisiert.
Mit einem Auditbericht kommen Unternehmen ihrer Rechenschaftspflicht nach. Indem Sie Ihr Datenschutzkonzept dokumentieren und begründen, sichern Sie sich gegenüber Aufsichtsbehörden ab und haben einen Leitfaden für die weitere Vorgehensweise zum Erreichen eines hohen Datenschutzniveaus.
In Art. 5 Abs. 2 DSGVO wird der Grundsatz der Rechenschaftspflicht definiert. Demnach gilt, dass Verantwortliche Stellen die Einhaltung bestimmter Datenschutzgrundsätze nachweisen (können) müssen. Art. 24 Abs.1 DSGVO greift diese Pflicht auf, indem weiter präzisiert wird, dass
Ein Datenschutzaudit wird zu Beginn eines einzuführenden Datenschutzes gemacht. Sobald die Maßnahmen im Unternehmen umgesetzt wurden, müssen diese regelmäßig mit dem PDCA Prinzip überprüft und angepasst werden. Da sich Unternehmen im Laufe der Zeit immer weiterentwickeln, können auch neue Maßnahmen notwendig werden. Es empfiehlt sich einmal pro Jahr eine Datenschutz-Folgenabschätzung durchzuführen, die bestehende Risiken aufdeckt und eine Verbesserung der Maßnahmen.
Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?
Wir helfen Ihnen gerne:
Ihr Ansprechpartner
Jörg ter Beek
Datenschutzexperte