Datenschutzaudit

Datenschutzaudit und Bestandsaufnahme zum Datenschutz

Als auf Datenschutzrecht spezialisierte Kanzlei unterstützen wir Unternehmen bei der Prüfung datenschutzrechtlicher Risiken, Prozesse und Dokumentationen rund um die Verarbeitung personenbezogener Daten. Typische Anlässe und Prüfungsfelder sind insbesondere die folgenden Fallgruppen:

• Die Aufnahme der bisherigen Datenschutzaktivitäten im Rahmen einer Bestandsaufnahme zum Datenschutz. Hier geht es u.A. auch darum, inwieweit Sie Ihre getroffenen Maßnahmen für eine evtl. Anfrage einer Aufsichtsbehörde oder ein Audit auch ausreichend dokumentiert haben.
  
• Die vorgelagerte datenschutzrechtliche Prüfung eines Dienstleisters, etwa eines Softwareanbieters, Cloud-Dienstes oder Rechenzentrums, insbesondere im Hinblick auf dessen Eignung als Auftragsverarbeiter, die vorgesehenen technischen und organisatorischen Maßnahmen sowie den erforderlichen vertraglichen Rahmen.
• Die regelmäßige datenschutzrechtliche Überprüfung von Dienstleistern und Auftragsverarbeitern, insbesondere im Hinblick auf die Einhaltung vereinbarter Weisungen, technischer und organisatorischer Maßnahmen sowie bestehender Kontroll- und Nachweispflichten.
• Die regelmäßige Überprüfung der Datenschutzaktivitäten zur Erstellung aussagekräftiger Datenschutzberichte. Dies ist insbesondere für Auftragsverarbeiter von Interesse, die ihren Kunden gegenüber die fortlaufende Befassung mit dem Datenschutz sowie die Umsetzung eines kontinuierlichen Verbesserungsprozesses nachvollziehbar dokumentieren möchten.

Typische Anlässe für ein Datenschutzaudit

• Datenschutzaudit als Bestandsaufnahme und zur Ableitung von Maßnahmen in Hinblick auf einen rechtssicheren Datenschutz. Ein effektiver Datenschutz erfordert regelmäßig die Etablierung eines Datenschutzmanagements. Idealerweise sollt dies dokumentiert und eingehalten, sprich gelebt, werden. Für die Erstellung eines solchen Konzepts beginnt man regelmäßig mit der

• Datenschutzaudit zur Kontrolle des Datenschutzkonzepts. Auch wenn Sie bereits ein Datenschutzmanagement-System eingeführt haben und dieses vielleicht sogar in einem Datenschutzkonzept dokumentiert ist, bieten sich Audits an, um dieses System regelmäßig intern auf seine Wirksamkeit zu prüfen. Ein Datenschutzkonzept bedeutet nämlich nicht automatisch, dass ein angemessenes Datenschutzniveau besteht und damit die datenschutzrechtlichen Anforderungen erfüllt werden.

• Datenschutzaudit zur Kontrolle von Auftragsverarbeitungen (AVV). Setzen Sie Dienstleister als Auftragsverarbeiter ein, bleibt Ihr Unternehmen trotz der Auslagerung für die datenschutzkonforme Verarbeitung personenbezogener Daten verantwortlich. Regelmäßige Audits helfen dabei, die Auswahl und Kontrolle der Dienstleister, die Einhaltung vereinbarter Weisungen sowie die Umsetzung technischer und organisatorischer Maßnahmen nachweisbar zu überprüfen. Dadurch lassen sich Haftungs-, Schadensersatz- und Bußgeldrisiken verringern und zugleich operative Schwachstellen frühzeitig erkennen. Auch Dienstleister mit Subunternehmern oder mehreren Standorten profitieren von Audits, weil sie ihren Kunden ein belastbares Datenschutzniveau dokumentieren können.
  
  
• Audits zur Verlängerung von Zertifizierungen. Bestimmte Zertifizierungen setzen regelmäßige interne und externe Audits voraus. Im Datenschutz sind formale Zertifizierungsverfahren derzeit noch deutlich seltener anzutreffen als etwa im Bereich der Informationssicherheit. Gerade bei informationssicherheitsbezogenen Standards, insbesondere im Umfeld der ISO/IEC 27001, gehören Überwachungs- und Rezertifizierungsaudits jedoch zum etablierten Regelfall.

Unterstützung des internen Datenschutzbeauftragten

Auch wenn Ihr Unternehmen einen internen Datenschutzbeauftragten benannt hat, kann eine zusätzliche externe Unterstützung bei Audits und Kontrollen sinnvoll sein. Der interne Datenschutzbeauftragte nimmt gesetzlich vorgegebene Beratungs- und Überwachungsaufgaben wahr; ein externer Auditor ergänzt diese Funktion durch einen unabhängigen Blick, zusätzliche Praxiserfahrung und methodische Unterstützung bei der Durchführung interner Kontrollen. Auf diese Weise können Optimierungspotenziale oft klarer identifiziert und Verbesserungsmaßnahmen strukturierter umgesetzt werden. Externe Unterstützung ist insbesondere dann hilfreich, wenn interne Ressourcen begrenzt sind, besondere Fachfragen auftreten oder eine objektivierte Bewertung bestehender Datenschutzmaßnahmen gewünscht ist.

• Externe Prüfer werden besser akzeptiert. Widerstände sind hier meist deutlich geringer.
• Rechtliche Fragen können durch den Datenschutzbeauftragten nicht immer geklärt werden.
• Begrenzte personelle und zeitliche Ressourcen im Unternehmen können dazu führen, dass notwendige Kontrollen, Prüfungen und Dokumentationen nicht mit der erforderlichen Regelmäßigkeit und Tiefe durchgeführt werden. Externe Unterstützung hilft in solchen Fällen, Kapazitätsengpässe gezielt auszugleichen und datenschutzrechtliche Prüfprozesse verlässlich umzusetzen.
• Unsicherheit bei bestimmten Fachfragen. Best Practice Ansätze nicht bekannt.
• Der interne Datenschutzbeauftragte sollte nicht in die Lage geraten, seine eigene Tätigkeit oder von ihm selbst verantwortete Prüfungsansätze zu kontrollieren. Gerade zur Vermeidung von Selbstkontrolle und möglichen Interessenkonflikten kann es deshalb sinnvoll sein, interne Audits mit externer Unterstützung durchzuführen. Der Datenschutzbeauftragte kann dabei weiterhin als fachlicher Ansprechpartner eingebunden bleiben, ohne selbst Gegenstand oder alleiniger Träger der Prüfung zu sein.

Auch wenn ein Audit für den geprüften Bereich zunächst mit zusätzlichem Aufwand verbunden ist, wird die Prüfung häufig als Ausdruck einer strukturierten und ernst genommenen Datenschutzorganisation wahrgenommen. Regelmäßige Audits schaffen zudem mehr Sicherheit im Umgang mit datenschutzrechtlichen Anforderungen und stärken die Routine für zukünftige interne und externe Prüfungen.

Auditieren von Dienstleistern

Die Auslagerung von Aufgaben an externe Dienstleister entbindet Ihr Unternehmen nicht von der datenschutzrechtlichen Verantwortung für die Rechtmäßigkeit der Verarbeitung. Deshalb sind die Auswahl geeigneter Dienstleister, die Prüfung der technischen und organisatorischen Maßnahmen sowie regelmäßige Kontrollen der tatsächlichen Vertragsausführung unerlässlich. In der Praxis zeigt sich insbesondere bei Agenturen, Hosting-Anbietern und Softwaredienstleistern häufig, dass rechtliche Anforderungen nur teilweise umgesetzt oder Musterlösungen verwendet werden, die mit den tatsächlichen Verarbeitungsprozessen nicht übereinstimmen.

Wir unterstützen Sie nicht nur bei der konkreten Prüfung einzelner Dienstleister, sondern auch beim Aufbau eines tragfähigen Prozesses zur Auftragskontrolle. In vielen Unternehmen bestehen bereits zu Beginn der Zusammenarbeit Unsicherheiten darüber, wann, wie oft und nach welchen Kriterien Auftragsverarbeiter geprüft werden sollen. Deshalb entwickeln wir gemeinsam mit Ihnen einen risikoorientierten Prüfprozess, der bereits bei der Auswahl des Dienstleisters und der datenschutzrechtlichen Einbindung des Datenschutzbeauftragten ansetzt, geeignete Auftragsverarbeitungsverträge berücksichtigt und in ein nachvollziehbares Auditprogramm überführt wird. Für die praktische Durchführung erstellen wir strukturierte Prüfpläne und standardisierte Fragebögen, die als Self-Assessment genutzt und anschließend ausgewertet werden können; soweit erforderlich, ergänzen wir dies durch vertiefte Prüfungen oder Vor-Ort-Audits. Auf diese Weise erhalten Sie einen dokumentierten, wiederholbaren und praxistauglichen Prozess zur Kontrolle Ihrer Auftragsverarbeiter.

Behördliche Erwartungen an Kontroll- und Prüfprozesse

Auch aus Sicht der Aufsichtsbehörden sind regelmäßige und strukturierte Kontrollen ein wesentlicher Bestandteil einer wirksamen Datenschutzorganisation. Dies zeigt exemplarisch der Tätigkeitsbericht 2021 des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, in dem Defizite bei der Kontrolltätigkeit von Datenschutzbeauftragten beanstandet wurden. Die dort angesprochenen Anforderungen lassen sich in der Sache auch allgemein auf Unternehmen übertragen, soweit es um planvolle Prüfprozesse, dokumentierte Kontrollen und die nachvollziehbare Beseitigung festgestellter Mängel geht.
Der BfDI hebt hervor, dass ein hohes Datenschutzniveau nur durch eine umfassende und strukturierte Kontrolltätigkeit erreicht werden kann, die alle relevanten Geschäftsbereiche in regelmäßigen Abständen erfasst. Erforderlich sind danach insbesondere ein Jahreskontrollplan und aussagekräftige Kontrollberichte, damit festgestellte Mängel dem Verantwortlichen bekannt werden und zeitnah behoben werden können.

Häufige Fragen zum Thema Datenschutzaudit und die Antworten