Datenschutzaudit

Ablauf, Umfang, Kosten, FAQ

Sehr gut! Sie wissen Ihre Privatsphäre zu schützen. Um das Kontaktformular zu aktivieren, müssen wir Sie an dieser Stelle um Ihr Einverständnis bitten. Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf "Zustimmen" zu besagtem Formular gelangen.

Bei einem Audit nach DSGVO ist zu prüfen, ob Ihr Unternehmen den Anforderungen der Datenschutz-Grundverordnung gerecht wird. Dazu wird der aktuelle Stand des Datenschutzes in Ihrem Unternehmen analysiert und dokumentiert.

Chancen und Risiken werden gegenübergestellt und ein möglicher Bedarf an Optimierung aufgezeigt. So kann verlässlich die Datenschutzsituation in Ihrem Unternehmen für die Zukunft geplant und kontrolliert werden.

Was ist ein Datenschutzaudit?

Ein Datenschutzaudit identifiziert den aktuellen Stand des Datenschutzes im Unternehmen, die gemäß den einschlägigen gesetzlichen Vorgaben (BDSG, BDSG-neu, DSGVO) im Umgang mit personenbezogenen Daten aber auch bezüglich der Informationssicherheit zu berücksichtigen sind. Die Aufgaben eines externen Datenschutzbeauftragten umfassen unter anderem die Analyse und die Bewertung einzelne Bereiche, Programme, Abteilungen oder des Gesamtzustandes.

Das Datenschutz-Audit macht es möglich, Abweichungen vom Soll-Zustand zu erkennen und je nach Umsetzungsgrad des Datenschutzes in Ihrem Unternehmen, Handlungsempfehlungen zur gezielten Behebung von Schwachstellen abzuleiten.

Der Auditbericht gibt einen schnellen Überblick über kritische Bereiche. Ebenso wichtig ist die Maßnahmenliste, die eine detaillierte Übersicht über die noch durchzuführenden Maßnahmen gibt. Sie dient als Arbeitsgrundlage zur weiteren Verbesserung der Datenschutzmanagementsystem Vorlage. Mit dem Datenschutzaudit erhalten Sie einen strukturierten Fahrplan zur Umsetzung der rechtlichen Vorgaben. Online-Themen (wie zum Beispiel die Qualität der Datenschutzerklärung) werden ebenfalls berücksichtigt.

Der Erfolg von eigesetzten Maßnahmen kann anhand von Folgeaudits abgelesen werden. Das Ergebnis der Bestandsaufnahme kann vom Unternehmen veröffentlicht werden und als Datenschutzzertifizierung dienen. Dies kann das Vertrauen der Nutzer in das Unternehmen stärken.

Services und Leistungen zum Audit DSGVO

Was kann auditiert werden? Sie können die gesamte Verarbeitung personenbezogener Daten in Ihrem Unternehmen prüfen lassen oder nur einen Teil wie beispielsweise die Datensicherheit durch einen unabhängigen externen Experten prüfen und dokumentieren lassen. Dabei unterscheiden wir die folgenden Arten des Datenschutzaudits:

Initiales Audit

gesamte Prüfung der datenschutzrechtlichen Situation im Unternehmen. Ein initiales Audit kann vor Ort oder digital stattfinden und stellt die Basis weiterer Maßnahmen dar.

Review

ebenfalls gesamte Prüfung der datenschutzrechtlichen Situation im Unternehmen – jedoch als zweite unabhängige Einschätzung durch einen externen Experten.

AV Audit

Überprüfung externer Dienstleister im Unternehmen sowie der vertraglichen Angemessenheit für die bestehende Datenverarbeitung durch Dritte.

Datensicherheit

Überprüfung der technisch-orgnisatorischen Maßnahmen (TOM) zur Sicherung der Daten. In diesem Fall kann eine Prüfung vor Ort sinnvoll sein (Stichwort: Physischer Zugang zu Servern / Kameras etc. ).

Website Check

Überprüfung der Datenschutzerklärung & des Consent Managements auf nationale und ggf. internationale Anforderungen

Überprüfen Sie Ihr Datenschutzniveau

Füllen Sie unseren kurzen Fragebogen aus und wir erstellen Ihnen ein für Ihre Anforderungen passendes Angebot zusammen.

Was gehört zum Datenschutzaudit?

Datenschutzaudit – Ablauf

  • Ist-Analyse: Überprüfung der rechtlichen Einhaltung des Transparenzgrundsatzes der DSGVO, der Reichweite von Einwilligungen der zu ergreifenden Maßnahmen für ein angemessenes Schutzniveau (TOM, Mitarbeiterschulungen etc.)
  • TOM-Audit: Liegen besonders sensible Daten vor? Bestehen Anhaltspunkte für Hackerangriffe (physischer oder digitaler Art)?
  • Bericht mit Risikoeinschätzung: Welche Vorgänge im Unternehmen weisen besonders hohe Risiken für DSGVO-Verstöße auf?
  • Maßnahmen & Handlungsempfehlungen: To-Do-Liste zum Erreichen des Soll-Zustandes (Beispielsweise: Erstellen von AVVs, VVT, Verbesserung der TOM u.v.m.)
  • Implementierung des Datenschutzmanagementsystems: zur Erfüllung der Dokumentations- und Nachweispflicht und Reduzierung von Datenschutzvorfällen dank einfacher Überprüfbarkeit
  • Erhalt des Cortina-Datenschutzsiegel
  • Dokumentation und Prüfschleifen: Mit der Dokumentation des Audits erfüllen Unternehmen die Rechenschaftspflicht vor Behörden
Datenschutzaudit

Datenschutzaudit – Umfang

In einem Datenschutzaudit wird geprüft, welche Mitarbeiter mit personenbezogenen Daten in Kontakt kommen, in welcher Form dies geschieht und wie diese Daten verarbeitet werden.

  • Identifikation der Verantwortlichen und der vorhandenen Datenarten im Unternehmen
  • Analyse der Datenverarbeitungsprozesse
  • Überprüfung, ob die Verarbeitung personenbezogener Daten im Unternehmen den gesetzlichen Vorgaben entsprechen.
  • Risikoeinschätzung und Festlegung von Sicherheitslücken und Schwachstellen
  • Handlungsempfehlungen zur Verbesserung des Datenschutzes im Unternehmen
  • Dokumentation und Zusammenfassung der Ergebnisse in einem Auditbericht
  • Implementierung und Verbesserung des Datenschutzmanagementsystems
  • Datenschutzschulungen für Mitarbeitende
  • Datenschutz-Siegel (auf Wunsch): zwecks Nachweis der etablierten Datenschutzmaßnahmen
Konzept-Review

Die Schritte eines Datenschutzaudits bestehen, wie die Grafik zeigt, aus Konzeption, Angemessenheit und Wirksamkeit.

  1. Gibt es bereits ein Datenschutzkonzept oder muss noch ein Datenschutzmanagementsystem etabliert werden?
  2. Ist dieses der Datenverarbeitung und den damit einhergehenden Risiken angemessen?
  3. Werden die Maßnahmen korrekt umgesetzt, sodass sie ihren Zweck erfüllen können? Wo bestehen eventuell noch Sicherheitslücken?

Sie benötigen Unterstützung bei Datenschutzrichtlinien?

Dann sind Sie hier richtig! Kontaktieren Sie uns. Wir beraten Sie zu Ihrem Anliegen.

Was kostet ein Datenschutzaudit?

Die Kosten für ein Datenschutzaudit richten sich in der Regel nach dem Aufwand und können somit zwischen 1000 und 3000 Euro betragen. Ein Datenschutzaudit ist ein finanzieller Aufwand, der sich schnell auszahlt, da das Audit die Grundlage für das zukünftige Datenschutzniveau im Unternehmen darstellt.

Ein Datenschutzaudit ist essentiell für die erfolgreiche Umsetzung von Datenschutzmaßnahmen im Unternehmen. Es stellt die Basis weiterer Vorgehensweisen dar und dient gleichzeitig der Rechenschaftspflicht im Unternehmen gegenüber Landesaufsichtsbehörden.

Datenschutzaudit im DSB-Paket-Preis

Für Unternehmen, die personenbezogene Daten verarbeiten, ist die Bestellung eines Datenschutzbeauftragten Pflicht. Zu den Aufgaben eines Datenschutzbeauftragten gehört selbstverständlich das Datenschutzaudit, um sich einen Überblick über die Datenverarbeitung und das vorhandene Datenschutzkonzept zu verschaffen. Aus diesem Grund empfiehlt es sich, ein DSB-Paket zu buchen, welches budgetorientiert – je nach Unternehmensgröße und Aufwand – alle notwendigen Datenschutzleistungen enthält. Damit keine bösen Überraschungen entstehen, haben wir ein kostentransparentes Konzept erstellt, welches die Kosten überschaubar und planbar hält.

Small

REMOTE DSB (S)
  • Wir stellen Ihren DSB
  • Digitales Datenschutzhandbuch (DSMS)
  • Mitarbeiterschulungen (bis 25 Mitarbeiter)
  • Datenschutzerklärung Website (Cloud DSE)
  • Onboarding, Coaching & Fortschrittsübersicht inklusive
  • Kommunikation via Ticketsystem, TEAMS, Telefon & E-Mail
  • Persönlicher Ansprechpartner
  • Perfekt für produzierende Unternehmen, Dienstleister & B2B

Medium

REMOTE DSB (M)
  • Wir stellen Ihren DSB, inkl. Tochtergesellschaften
  • Digitales Datenschutzhandbuch (DSMS) mit 3 Zugängen
  • Mitarbeiterschulungen (bis 75 Mitarbeiter)
  • Datenschutzerklärung Website (Cloud DSE), Cookie Consent Tool, Social Media DSE
  • Bestandsaufnahme (Audit), Coaching & Fortschrittsübersicht
  • Controlling: Wir behalten Ihr Projekt im Blick
  • Kommunikation via Ticketsystem, TEAMS, Telefon
  • Persönlicher Ansprechpartner
  • Datenschutzsiegel
  • Perfekt für E-Commerce, Logistik, IT & B2C

Large

DSB ON DEMAND
  • Wir stellen Ihren DSB
  • Datenschutzhandbuch, Mitarbeiterschulungen, Webcompliance (Website, Social Media & App)
  • Individuelles Leistungspaket: Umfang nach Absprache
  • Beratung durch zertifizierte Spezialisten aus Recht, IT & Web aus einer Hand
  • Projektcontrolling & Status Calls
  • Remote und / oder vor Ort
  • Perfekt für Unternehmen mit komplexeren Anforderungen & B2C
  • Datenschutzsiegel

Wer braucht einen Datenschutzbeauftragten?

Unternehmen mit mindestens 20 Mitarbeitern, die regelmäßig autonomisiert Daten verarbeiten brauchen einen Datenschutzbeauftragten.

Unabhängig von der Mitarbeiterzahl ist die Bestellung eines Datenschutzbeauftragten Pflicht, wenn im Unternehmen sensible Daten identifizierbarer Personen (z.B. Gesundheitsdaten) verarbeitet werden oder die Hauptbeschäftigung des Unternehmens die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten darstellt.

Datenschutzaudit vor Ort oder remote

Ein Datenschutzaudit muss nicht zwangsweise vor Ort stattfinden. Ein Audit vor Ort macht besonders dann Sinn, wenn die physischen Sicherheitsbedingungen geprüft werden sollen (TOM). Doch ein Audit kann auch bequem remote – also aus der Ferne – durchgeführt werden. Dies hat für beide Seiten viele Vorteile: Eine Terminfindung ist meist unkomplizierter, es spart Zeit und Aufwand und somit auch Kosten. Für die Sicherheit der Daten bei dem digitalen Austausch von Daten wird durch Cortina gesorgt.

Welchen Vorteil hat ein remote Audit?

Ein remote Audit ist ein Audit aus der Ferne. Das bedeutet, dass der Datenschutzberater für die Durchführung des Audits nicht vor Ort sein muss. Das macht nicht erst seit Corona Sinn, sondern ist auch praktisch für Unternehmen, die beispielsweise eine Zweigstelle an einem anderen Standort haben. Ein remote Audit macht die Zusammenarbeit außerdem flexibler und kostengünstiger.

Ablauf remote Audit

  • Bequem von Ihrem Schreibtisch aus: Erstes Telefongespräch (und Web-Meeting oder Videokonferenz) zur Besprechung Ihres bisherigen Vorgehens zur Umsetzung der DSGVO.
  • Status quo DSGVO: Wir besprechen IST- und SOLL der DSGVO-Anforderung bzw. den Grad der Umsetzung in Ihrer Oragnisation
  • Erste Einschätzung oder zweite Meinung: Sie erhalten die Meinung eines Datenschutz-Experten zu Ihrem aktuellen Datenschutz-Status.
  • Budgetplan : Sie erhalten ein an die Anforderungen Ihres Unternehmens angepassten Budgetplan für individuelle Datenschutzlösungen.

Wie funktioniert ein remote Audit?

In einem Remote Audit sind Sie mit Ihrem Datenschutzberater über Telefon/Videokonferenz und Screensharing miteinander verbunden und können digital (via sicherem Austauschserver) Daten austauschen. Dazu benötigen Sie eine stabile Internetverbindung und eine zuverlässige technische Infrastruktur. Dadurch sparen Sie Zeit, Anfahrtskosten und sind ortsunabhängig.

Externer Datenschutzbeauftragter München

FAQ: Häufig gestellte Fragen zu Datenschutzaudit

Wann ist eine Datenschutzprüfung im Unternehmen sinnvoll?

Die DSGVO fordert die Einführung eines Datenschutzmanagementsystems. Das bedeutet, dass es nicht mehr reicht, den Datenschutz lediglich einzuhalten. Es ist erforderlich, den Datenschutz im Unternehmen systematisch zu planen um die Umsetzung überprüfen und bei Abweichungen nachbessern zu können. Aus diesem Grund sollte grundsätzlich jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen.
Ob eine Prüfung des Ist-Zustandes Ihres betrieblichen Datenschutzes sinnvoll ist, können Sie anhand einiger Fragen herausfinden:

  • Haben Sie den Datenschutzbeauftragten rechtskonform bestellt?
  • Gelände, Serverraum, Büros – sind die Zugänge sicher organisiert?
  • Marketing – ob Newsletter oder vertriebliche Akquise: sind die Anforderungen der DSGVO erfüllt?
  • Wird Ihre IT-Umgebung ausreichend durch eine funktionierende Datensicherung und Firewall geschützt?
  • Haben Sie mit Ihren IT-Dienstleistern aktuelle Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen und die Dienstleister dokumentiert geprüft?
  • Besteht eine ausreichende IT- Dokumentation, um nicht anhängig von Ihren Administratoren zu sein?
  • Erfassen Sie von Ihren Beschäftigten nur Daten, zu deren Verarbeitung Sie auch berechtigt sind?

Sofern Sie nicht all diese Fragen mit „Ja“ beantworten können, sollte auf jeden Fall ein Datenschutzaudit durchgeführt werden.

Datenschutz im Unternehmen, Datenschutzaudit

Wer braucht einen Auditbericht?

Mit einem Auditbericht kommen Unternehmen ihrer Rechenschaftspflicht nach. Indem Sie Ihr Datenschutzkonzept dokumentieren und begründen, sichern Sie sich gegenüber Aufsichtsbehörden ab und haben einen Leitfaden für die weitere Vorgehensweise zum Erreichen eines hohen Datenschutzniveaus.

In Art. 5 Abs. 2 DSGVO wird der Grundsatz der Rechenschaftspflicht definiert. Demnach gilt, dass Verantwortliche Stellen die Einhaltung bestimmter Datenschutzgrundsätze nachweisen (können) müssen. Art. 24 Abs.1 DSGVO greift diese Pflicht auf, indem weiter präzisiert wird, dass Verantwortliche in der Pflicht stehen, den Nachweis dafür zu erbringen, dass die Datenverarbeitung DSGVO-gemäß erfolgt.

Wie oft sollte ein Audit durchgeführt werden?

Ein Datenschutzaudit wird zu Beginn eines einzuführenden Datenschutzes gemacht. Sobald die Maßnahmen im Unternehmen umgesetzt wurden, müssen diese regelmäßig mit dem PDCA Prinzip überprüft und angepasst werden. Da sich Unternehmen im Laufe der Zeit immer weiterentwickeln, können auch neue Maßnahmen notwendig werden. Es empfiehlt sich einmal pro Jahr eine Datenschutzfolgeabschätzung durchzuführen, die bestehende Risiken aufdeckt und eine Verbesserung der Maßnahmen.

Datenschutzaudit für Websites

Die Vorgaben der DSGVO für Websites werden immer komplexer. Um personenbezogene Daten zu schützen, müssen Websitebetreiber einiges beachten. Zu den wichtigsten Bestandteilen einer Website nach DSGVO gehören die Datenschutzerklärung und eine Consent-Management-Platform, auch bekannt als Cookie Banner....

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Als TÜV zertifizierter externer Datenschutzbeauftragter steht er Ihnen bei allen Fragen der DSGVO zur Seite und unterstützt Sie u.a. bei diesen Themen:

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

Downloads zu Datenschutzaudit

box_doc

Geheimhaltungs-vereinbarung