Datenschutzaudit

DSGVO-Audit Notwendigkeit, Ablauf, Umfang, Kosten

Die Datenschutz-Grundverordnung (DSGVO) sieht an vielen Stellen Kontroll- und Nachweispflichten zur regelmäßigen Prüfung der Vorgaben der DSGVO für Unternehmen vor. Dies soll mögliche Risiken frühzeitig eindämmen.

Ein DSGVO-Audit erfüllt dem Zweck die Einhaltung der DSGVO im Unternehmen auf ihre wirksame Umsetzung hin überprüfen. Das Audit dient dabei nicht nur der Prüfung einzelner datenschutzrechtlich relevanter Vorgänge im Unternehmen, sondern einer allgemeinen Prüfung der Einhaltung und Umsetzung der DSGVO auch speziell in der Organisation und der Datensicherheit.

Ihr Ansprechpartner, Steffen Müller, Datenschutzauditor

Ein effektives Datenschutzaudit verläuft insgesamt in vier Schritten:

 1. Bestandsaufnahme:
gesucht sind Vorgänge die besonders hohe Risiken für Verstöße aufweisen. Überprüft werd rechtlicher, bautechnische und technische Sichtweise (die DSGVO gibt vor technische und organisatorische Maßnahmen (TOM) zu ergreifen um ein angemessenes Schutzniveau zu gewährleisten)

2. Audit der Technischen und organisatorischen Maßnahmen :
Sind die ergriffenen Schutzmaßnahmen „angemessen“ und sichern diese entsprechende Gewährleistungsziele ab?
Im Einzelfall gilt es zu prüfen ob:

  • besonders schützenswerte Daten vorliegen?
  • Gibt es Anhaltspunkte für technische Hackerangriffe?
  • Sind die geplanten Maßnahmen überhaupt finanzierbar?

3. Handlungsempfehlungen:
Das Ergebnis der Bestandsaufnahme wird in Handlungsempfehlungen eingearbeitet um einen bestimmten Soll-Zustand zu erreichen. Es gilt Maßnahmen zu unterscheiden in:

  • rechtliche Aspekte (z.B. veränderte Einwilligungs- und Datenschutzerklärungen)
  • technische Aspekte (z.B. den Aufbau einer entsprechenden Logistik für die wirksame Cyberabwehr)
  • organisatorische Aspekte (z.B. Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten, des Datenschutzmanagementsystems ).

4. Dokumentation und Prüfschleifen:
Der gesamte Datenschutzaudit wird entsprechend dokumentiert. Dies bringt den Vorteil dass Unternehmen  den Fahrlässigkeitsvorwurf bei möglichen DSGVO-Verstößen entkräften und somit wirksam gegen Bußgeldbescheide vorgehen können. Zudem ermöglicht die regelmäßige Überprüfung Verstöße und Cyberattaken zu verhindern. Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht nach DSGVO nach und können die „Zertifikate“ zur Vertrauensbildung bei Kunden und Geschäftspartnern einsetzen. 


Welche Unternehmen sollen ein Audits durchführen lassen?

Die DSGVO ist grundsätzlich an alle Unternehmen gerichtet, die personenbezogene Daten verarbeiten. Somit ist ein Datenschutzaudit grundsätzlich auch für alle Unternehmen – also auch für kleinere und mittlere Unternehmen empfehlswert. Notwendig ist ein Datenschutzaudit insbesondere dann, wenn Zweifel in rechtlichen belangen wie bei der Prüfung zur Bestellung eines Datenschutzbeauftragten oder es Hinweise auf IT-Sicherheitsmängel bestehen.

Ein weiterer wichtiger Anknüpfungspunkt ist die Menge und der Automatisungsgrad der Verarbeitung von Kunden, Mitarbeiter- und Bewerberdaten. Je umfangreicher das HR oder die automatisierte Verarbeitung, desto dringender ist ein Datenschutzaudit durchzuführen. Weiterer Anhaltspunkt für die Erforderlichkeit eines Datenschutzaudit sind umfangreiche Auftragsverarbeitungsverträge, also Verträge, durch die andere Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt werden. Hier besteht stets das Risiko, dass Verantwortlichkeiten nicht genau abgegrenzt werden oder bei der Übertragung von Daten DSGVO-Verstöße erfolgen. In diesen besonderen Fällen ist eine umfangreiche Prüfung der Schutzmßnahmen beim Auftragsverarbeiter unerlässlich.


Datenschutzaudit: Umfang und Kosten

Die DSGVO fordert regelmäßige Kontrollen und Überprüfungen der datenschutzrechtlichen Vorgaben. Deshalb gilt es vor allem die Effektivität „geregelter Prozesse zum Datenschutz“, z.B. mittels Datenschutzmanagementsystem, Risikoabschätzungen und ordnungsgemäße Dokumentation zu prüfen. Weitere Prüfpunkte sind die ausreichenden Kenntnisse um mit Datenpannen umzugehen, existieren klare Vorgaben für den Umgang mit den Meldepflichten der DSGVO oder wie effektive ist der Datenschutzbeauftragten in das Unternehmen eingebunden. Zielgerichtete Schulungen und Weiterbildungen bilden hier effektive Gegenmittel.

Was kostet ein DSGVO-Audit?

Die Kosten sind je nach Größe und Infrastruktur sehr unterschiedlich. Für einen professionellen Audit eines Kleinstunternehmens mit ca. 7 MA, eigener Datenhaltung und Newsletterversandt sollten sie mit ca. 1 Tag vor Ort und 2-3 Tagen Nachbereitung rechnen. Hierfür sollten sie mit ca. 1.200 Euro Tagessatz, also insgesamt ca. 4.800 Euro Netto veranschlagen. Für größere Unternehmen sollten sie 2 Tage vor Ort und 3 Tage Nachbereitung kalkulieren.

Fazit

Ein DSGVO-Audit ist eine fachkundige Überprüfung der Vorgaben der DSGVO durch einen entsprechenden Datenschutzspezialisten. Die nachfolgende Checkliste hilft Unternehmen zu erkennen, wann ein Audit Nutzen bringt: