Übersicht zum Datenschutzaudit
Warum einen Datenschutzaudit durchführen
Die Datenschutzgesetze sind umfangreich.
Die vollständige Einhaltung ist aufwändig und selbst schwer zu beurteilen.
Der Datenschutzaudit soll Schwachstellen zeigen und Risiken identifizieren.
Findet unabhängig und objektiv durch Fachleute statt – Betriebsblindheit ausgeschlossen.
SOLLTE als Grundlage für Verbesserungen herangezogen werden.
Ein Datenschutzaudit bietet Ihnen die Möglichkeit eines schnellen Überblicks über den Erfüllungsgrad der Datenschutzanforderungen, z.B. DSGVO, in Ihrem Unternehmen. Entweder bezogen auf einzelne Verarbeitungen (vgl. Prozesse), oder die gesamte Datenschutzorganisation.
Die Datenschutzgesetze sind so umfangreich, dass Sie die Einhaltung nur sehr aufwändig selbst überprüfen und beurteilen können. Dazu kommt, dass diejenigen die sich selbst überprüfen sollen, nicht objektiv sein können.
Ein Datenschutzaudit findet unabhängig und objektiv auf unterschiedliche Arten durch Fachleute statt – Betriebsblindheit ist damit ausgeschlossen. Er soll Ihnen Schwachstellen zeigen, und Risiken identifizieren.
Wichtig sind im Rahmen eines Audits die Nachweise. Diese können durch
- vor Ort Begehung (Inaugenscheinnahme)
- Befragung
- Dokumente
- Stichproben
erbracht werden.
Im Idealfall ergreifen Sie danach (Abhilfe)Maßnahmen bei „Nicht-Erfüllungen“ (vgl. „Offene Punkte Liste“). Die Grundlage für Verbesserungen bildet ein Auditbericht.
Eine Bitkom-Unternehmensbefragung u.a. zum Umsetzungsstand der DSGVO aus dem Septembert 2020 ergab:
- Nur jedes fünfte Unternehmen hat die DSGVO vollständig umgesetzt (inkl. Prüfprozessen für Weiterentwicklungen)
- 37 Prozent haben das Gesetzt „größtenteils“ umgesetzt
Die Leistungen in einem Datenschutzaudit
Ablauf eines Datenschutzaudits
- aktueller Umsetzungsstand
- Abgleich mit DSGVO
- Dokumentation potentielle Schwachstellen
- Auditbericht mit Analyse und Handlungsempfehlungen
- Maßnahmen- und Projektplan (vgl. Maßnahmenkatalog)
Kosten eines Datenschutzaudits
Die Kosten eines Datenschutzaudits sind abhängig von
- Dauer
- Umfang
- Ort (falls vor Ort)
Die Abrechnung erfolgt in der Regel aufwandsbasiert.
Bei unseren Leistungen in einem Datenschutzaudit orientieren wir uns an den gesetzlichen Vorgaben und legen diese als Messlatte an.
Wir führen mit Ihnen ein Vorgespräch. Darin legen wir Umfang und Fokus möglichst genau fest.
Sie erhalten eine objektive Bewertung.
Wir erfassen den Ist-Zustand. Stoßen wir auf Abweichungen und Schwachstellen, machen wir Sie darauf aufmerksam. Eine Meldung von Verstößen bei einer Aufsichtsbehörde müssen Sie durch uns nicht fürchten: es gilt eine vereinbarte Geheimhaltungspflicht.
Oft befinden sich die Schwachstellen auch bei Dienstleistern – eine Überprüfung erspart oft böse Überraschungen.
Sie erhalten einen ausführlichen Auditbericht. Darin erläutern wir Details und geben Ihnen Handlungsempfehlungen an die Hand. Falls Sie bei der konkreten Umsetzung Unterstützung benötigen sind wir weiterhin für Sie da – praktische Tipps inklusive.
Ablauf eines Datenschutzaudits
Vorteile eines Datenschutzaudits
- unabhängige, objektive Bewertung
- bessere Risikoeinschätzung möglich
- Verbesserungpotential
- geringere Risiken
- weniger Sicherheitsvorfälle
- höhere Compliance
- gesteuerte Prozesse
- professionelle Organisation
- wachsende Mitarbeiterkompetenz
- Nachweis unabhängiger Dritter
- mehr Vertrauen
Die meisten Datenschutzaudits basieren auf nachvollziehbaren Checklisten. Diese wiederum basieren auf gesetzlichen Vorgaben, Empfehlungen von Verbänden, Aufsichtsbehörden, o.ä.
In Datenschutzaudits beurteilen wir den aktuellen Umsetzungsstand und vergleichen diesen mit dem Soll (= DSGVO Vorgabe). Dabei stoßen wir auch auf vorhandene, oder potentielle Schwachstellen. Im Datenschutz auch Risiken genannt.
Sie erhalten einen Auditbericht mit Analyse und Handlungsempfehlungen. Gerne erstellen wir Ihnen darauf basierend einen Maßnahmen- und Projektplan (vgl. Maßnahmenkatalog).
Wenn Sie möchten unterstützen wir Sie bei der Umsetzung. Siehe dazu auch unseren Beitrag zum Datenschutzmanagement.
Mit einem positiven Auditergebnis können Sie Ihre datenschutzkonforme Verarbeitung personenbezogener Daten nachweisen. Immer mehr Auftraggeber bestehen auf Nachweisen zur Einhaltung der in der DSGVO niedergelegten Pflichten.
Ein angenehmer Nebeneffekt ist das zusätzliche Vertrauen Ihrer Kunden in Ihr Unternehmen.
Den Umfang des Audits bestimmen Sie. Wir können uns entweder bestimmte Bereiche oder einzelne Prozesse näher ansehen. Natürlich können wir auch die gesamte Datenschutzorganisation betrachten. Sie entscheiden.
Diese Datenschutzaudits führen wir am häufigsten durch:
- DSGVO Umsetzung allgemein
- Webseitenaudits
- Auftragsverarbeiter (Lieferantenaudits)
- Datenschutzmanagementsysteme
- Verzeichnis von Verarbeitungstätigkeiten
- Technische und organisatorische Maßnahmen
- Betroffenenrechte (vor allem Informationspflichten)
- Einwilligungen