Datenschutzaudit: Der Fragenkatalog für die Zertifizierung

Was ist ein Datenschutzaudit?

Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen. Die DSGVO spricht deshalb in Art. 42 DSGVO auch allgemein von der Zertifizierung. Unternehmen beauftragen mit dieser Auditierung unabhängige Prüfer und Gutachter. Diese arbeiten bei einem Datenschutzaudit mit einem Fragebogen beziehungsweise Fragenkatalog als wesentliches Instrument ihrer Feststellungen – neben Interviews, der Prüfung von Dokumenten und Vor-Ort-Untersuchungen. Um Unternehmen die Möglichkeit zu geben, sich bestmöglich auf den Zertifizierungsprozess vorzubereiten, stellen wir hier wichtige Teile des Fragenkatalogs für den Datenschutzaudit vor.

Warum ist ein Datenschutzaudit sinnvoll?

Ein Audit bezeichnet allgemein eine Prüfung, mit der man bestimmte Parameter erfasst, bewertet und daraus entsprechende Konsequenzen ableitet. Mit einem Datenschutzaudit werden also die entsprechenden Bedingungen im Bereich Datenschutz festgestellt, bewertet und im Anschluss daraus ein entsprechendes Datenschutzkonzept entwickelt. Das Datenschutzaudit dient insbesondere dazu, dem Verantwortlichen entsprechende Lücken im Datenschutz aufzuzeigen und Ihn dabei zu unterstützen, diese im Nachhinein zu schließen.

Da mit der DSGVO auch die entsprechenden Kompetenzen der Überwachungsbehörden gestärkt wurden und auf die Unternehmen schärfere Nachweis- sowie Dokumentationspflichten zukommen, ist ein individuelles Datenschutzkonzept für jedes Unternehmen unverzichtbar. Das Datenschutzkonzept dokumentiert die entsprechenden datenschutzrechtlichen Maßnahmen im Unternehmen. Es kann sich auf das gesamte Unternehmen und die gesamte datenschutzrechtliche Situation beziehen, es kann aber auch detailliert auf einen einzelnen Prozess abzielen wie zum Beispiel auf die Verarbeitungstätigkeiten. Um ein Datenschutzkonzept erstellen zu können, ist ein Datenschutzaudit neben einer intelligenten GAP-Analyse durch unsere Software Proliance 360 als erster Schritt in diesem Bearbeitungsprozess unabdingbar – fragen Sie Ihren externen Datenschutzbeauftragten danach!

Wie wird ein Datenschutzaudit erfasst?

Im Rahmen der Datenschutz-Bestandsaufnahme erfolgt die Erfassung des datenschutzrechtlichen Status quo Ihres Unternehmens anhand eines Digital- oder Präsenz-Audits mittels eines Fragenkatalogs durch geprüfte Datenschutzbeauftragte.

Ihr individueller Auditbericht stellt das eigentliche Kernstück des gesamten Audit-Prozesses dar, denn der Bericht beschreibt die aktuelle, datenschutzrechtliche Unternehmenssituation, den datenschutzrechtlichen Status quo.

Anhand Ihrer Angaben wird darin dokumentiert, welche datenschutzrechtlichen Maßnahmen im Unternehmen bereits Anwendung finden und darüber hinaus beinhaltet er die perspektivischen Handlungsempfehlungen (eine Art Checkliste) und weitere Schritte, die für eine Optimierung und Umsetzung des Datenschutzes im Sinne der Datenschutzgrundverordnung (DSGVO) notwendig sind. Somit handelt es sich bei Ihrem individuellen Auditbericht um einen entscheidenden Bestandteil Ihres betrieblichen Datenschutzkonzeptes.

Wie wird ein Datenschutzaudit von datenschutzexperte.de durchgeführt?

Ein Datenschutzaudit kann in verschiedener Weise durchgeführt werden. In der altmodischeren Form wurde es unter einem hohen Einsatz von entsprechendem Personal erarbeitet, nahm viel Zeit in Anspruch und lenkte das Unternehmen von seinen eigentlichen Aufgaben ab. Die innovative Form eines Datenschutzaudits ist das digitalisierte Audit. Wir bieten dieses innovative Datenschutzaudit für Ihr Unternehmen an – durchgeführt von unseren unabhängigen Experten:

Ein digitalisiertes Datenschutzaudit hat viele Vorteile wie:

• eine ortsunabhängige Durchführung der Bestandsaufnahme mithilfe digitaler Fragebögen
• zeitsparende, telefonische Rückfragen unsererseits zu den Angaben in den Fragebögen
• kostengünstige Alternative zum Präsenzaudit

Der größte Vorteil des digitalen Audits besteht letztlich darin, dass es ohne großen personellen oder zeitlichen Aufwand durchgeführt werden kann. Die alltäglichen Arbeitsabläufe in dem Unternehmen werden möglichst wenig gestört.

Sie wünschen eine persönlichere Beratung? Alternativ zu unserer digitalen Bestandsaufnahme bietet datenschutzexperte.de die Datenschutz-Bestandsaufnahme direkt vor Ort an. Ein Präsenz-Audit lohnt sind insbesondere aufgrund von:

• Erfassung des Datenschutz-Zustandes des Unternehmens direkt vor Ort
• Persönliche Vor-Ort-Betreuung durch Ihren externen Datenschutzbeauftragten von datenschutzexperte.de

Die einzelnen Komponenten des Datenschutzauditberichts

Einhergehend mit unserer innovativen Datenschutz-Software Proliance 360 stellen wir Ihrem Unternehmen einen externen Datenschutzbeauftragten. Zu Beginn unserer Zusammenarbeit wird dabei neben der intelligenten GAP-Analyse das Datenschutzaudit durchgeführt – je nach Wunsch als digitales Audit oder als Vor-Ort-Audit. Sowohl bei der GAP-Analyse als auch beim Datenschutz-Audit werden der Ist-Zustand Ihres Unternehmens-Datenschutzes erfasst und Handlungsempfehlungen abgeleitet. Das Audit dient dabei dafür, dass Sie einen persönlichen Ansprechpartner haben und Rückfragen stellen können, die sich vielleicht im Laufe der GAP-Analyse ergeben haben.

Der für Ihr Unternehmen zuständige Datenschutzexperte wird beim Audit detailliert alle Prozesse, Abläufe, Tools usw. mit Ihnen durchgehen und nach datenschutzrechtlichen Aspekten bewerten. Als Ergebnis der Datenschutz-Bestandsaufnahme Ihres Unternehmens erstellt Ihr Datenschutzbeauftragter von datenschutzexperte.de eine entsprechende Dokumentation aller aufgenommenen Unternehmensinformationen und Prozesse.

Der Auditbericht umfasst hierbei alle relevanten Unternehmensbereiche, in denen personenbezogene Daten erfasst und verarbeitet werden. Hierzu zählen einzelne Bereiche wie:

• Personal
• Finanzen
• Einkauf
• Vertrieb
• IT

Zudem werden Fragen geklärt, wie: Bestehen bereits Auftragsverarbeitungsverträge mit externen Dienstleistern oder sind eventuell zusätzliche datenschutzrechtliche Dokumente erforderlich? Sind alle Mitarbeiter umfassend für das Thema Datenschutz sensibilisiert und hinreichend durch Mitarbeiterschulungen geschult?

Darüber hinaus erfolgt im Rahmen der Bestandsaufnahme eine erste Bewertung der technischen und organisatorischen Maßnahmen des Unternehmens (TOM). Diese Maßnahmen sind gewissermaßen als Schutzmechanismen personenbezogener Daten im Unternehmen zu werten. Zu den im Rahmen des Auditprozesses erfassten Aspekten zählen unter anderem Zutrittskontrolle, Zugangskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie das Trennungsgebot.

Fragebogen beim Datenschutzaudit – Worum geht es?

Bei Datenschutzzertifizierungen können inhaltlich unterschiedliche Schwerpunkte gesetzt werden. Je nachdem, ob es um die Datenschutzkonformität bei einem bestimmten Projekt oder die Einhaltung des Datenschutzes insgesamt geht, werden die Fragen ausgewählt. Zertifizierungsstellen setzen für den Datenschutzaudit-Fragenkatalog häufig eine Software ein, die Datenschutzaudit-Muster bereithält, aber dennoch genug Spielraum für individuelle Abweichungen bei den Fragen für das einzelne Unternehmen bietet.

Bei einem allgemeinen Datenschutzaudit zur Feststellung des im Unternehmen bestehenden Datenschutzstandards werden grob die im Folgenden gelisteten Kategorien abgefragt.

• Personal
• Finanzen
• Einkauf
• Vertrieb
• IT

I. Fragen zur Erfassung des Unternehmens

• Haben Sie ein Organigramm des Unternehmens oder der Unternehmensgruppe?
• Welche Produkte oder Dienstleistungen erbringt Ihr Unternehmen?
• Wo befinden sich sämtliche Standorte Ihres Unternehmens bzw. an welchen Standorten finden Datenverarbeitungen statt?
• Befinden sich Standorte des Unternehmens außerhalb der EU oder des Europäischen Wirtschaftsraumes („EWR“)?

II. Datenschutzdokumentation

• Existiert ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO?
• Wie ist das Verzeichnis dokumentiert?
• Haben Sie eine Liste aller Dienstleister, die für Sie im Rahmen einer Auftragsverarbeitung tätig sind?
• Falls die Liste der Auftragsverarbeiter unvollständig ist oder nicht existiert, haben Sie eine Liste der Unternehmen und Dienstleister, die für Sie Datenverarbeitungen vornehmen?
• Ist das Unternehmen auf das Erfordernis einer Datenschutz-Folgenabschätzung  vorbereitet?
• Wurde ein Datenschutzmanagementsystem installiert, um sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt?

III.  Datenschutzorganisation

Ein besonderer Fokus beim Datenschutzaudit liegt in der Datenschutzorganisation. Hier kann der Fragebogen sehr ausführlich werden. Wir haben die wichtigsten Fragen herausgegriffen.

• Ist im Unternehmen ein Datenschutzbeauftragter bestellt?
• Gibt es eine eigene Datenschutzleitlinie?
• Wie ist organisatorisch sichergestellt, dass vor jeder Verarbeitung von personenbezogenen Daten geprüft wird, ob die geplante Verarbeitung zulässig ist?
• Besteht ein Prozess für die Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen?
• Gibt es im Unternehmen ein aktuelles Rollen- und Rechtekonzept?
• Besteht ein standardisierter Prozess beim Onboarding und Offboarding von Mitarbeitern?
• Ist die private Nutzung von Internetzugang, E-Mail-Postfach, dienstlichem Telefon und ggf. weiteren dienstlichen Geräten klar geregelt?
• Wie werden Betroffene über ihre Rechte informiert?
• Welcher Prozess ist für die Bewältigung einer Datenschutzpanne vorgesehen?

IV. Datensicherheit

• Wie ist der Zugang zu personenbezogenen Daten geregelt?
• Besteht ein IT-Sicherheitskonzept?
• Besteht ein externer Zugriff auf einzelne oder alle Systeme im Netzwerk (z. B. für Home-Office, E-Mail-Abruf oder Fernwartung)?
• Wie wird die Einhaltung aktueller technischer Standards gewährleistet?
• Werden aktuelle Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen mit einer risikoorientierten Betrachtungsweise auf Basis von Art, Umfang sowie den Zwecken der Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit sowie Schwere der Risiken für die Rechte und Freiheiten geführt?
• Wie ist die Löschung von Daten geregelt?
• Wie wurde sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Verarbeitungsprozesses im Unternehmen berücksichtigt werden – Beachtung des Privacy by Design nach Art. 25 DSGVO?

Bei dieser unvollständigen Checkliste handelt es sich lediglich um einen Einblick in den Fragebogen für den Datenschutzaudit. So wissen Unternehmer, welche Fragen bei einem Audit auf sie zukommen.

Datenschutzaudit – Was ist sein Ergebnis?

Im Anschluss an das digitale Datenschutzaudit (oder das Präsenz-Audit) wird ein dokumentierter sowie umfangreich recherchierter Prüfungs-Bericht erstellt. Er beschreibt die aktuelle datenschutzrechtliche Situation im Unternehmen, den datenschutzrechtlichen Status quo.

Basierend auf den im Audit erfassten Informationen erstellt datenschutzexperte.de erste Handlungsempfehlungen für Ihr Unternehmen. Welche Anforderungen müssen beim Datenschutz noch erfüllt werden? Der Bericht ist dementsprechend die Grundlage für die nachfolgende Schließung von Datenschutzlücken und die Erstellung bzw. Weiterentwicklung von Datenschutzkonzepten.

Ihr Individueller Auditbericht ist ein bedeutender Nachweis Ihrer Datenschutzaktivitäten. Da im Rahmen der DSGVO weitgehende Nachweis- und Dokumentationspflichten bestehen, wird ein fundiertes Datenschutzkonzept und die Dokumentation der datenschutzrechtlichen Maßnahmen für jedes Unternehmen unverzichtbar. Der Auditbericht stellt dabei einen wichtigen Baustein im Rahmen dieser Dokumentation dar; er ist quasi der „Ausgangspunkt“ für ein Unternehmen auf dem Weg zum korrekten Datenschutz.

Wie ein Datenschutzaudit Ihre Mitarbeiter für den Datenschutz mobilisiert

Wenn eine Optimierung des Datenschutzes in einem Unternehmen erreicht werden soll, müssen alle Mitarbeiter an einem Strang ziehen. Werden die Arbeitnehmer im Unternehmen nicht von der Bedeutung des Datenschutzes auch im täglichen Betriebsablauf überzeugt, können entsprechende Datenschutzmaßnahmen nicht greifen – denn der Arbeitgeber ist in der Verantwortung und muss seine Mitarbeiter entsprechend verpflichten.

Neben der Mitarbeiterschulung ist das Datenschutzaudit eine hervorragende Gelegenheit, die Aufmerksamkeit auf datenschutzrechtliche Belange zu lenken. Viele Mitarbeiter sind außerdem begeistert, wenn ihre Meinung im Diskussionsprozess über datenschutzrechtliche Problemstellungen zählt. Vielfach gelingt es über einenDatenschutzaudit, auch jene Mitarbeiter für Datenschutz zu sensibilisieren, die sich bisher mit der Materie wenig auskennen und sich auch nicht dafür interessieren.

Es wird ein Maximum an Interaktion zwischen den verschiedenen Fachbereichen und auch an Effektivität erreicht. Da verschiedene Abteilungen miteinander interagieren, entstehen viele neue Ideen und Rückmeldungen, die wiederum in neue Konzepte im Bereich Datenschutz einfließen können. Es wird so auch eine stärkere Wahrnehmung von datenschutzrechtlichen Problemstellungen erreicht.

Mit einem Fragenkatalog ist der Datenschutzaudit nach DSGVO keine Zauberei

Jedes Unternehmen kann sich auf einen Datenschutzaudit nach DSGVO und die entsprechenden Fragen einfach vorbereiten.

Prinzipiell sind die Datenschutzanforderungen der DSGVO abzuarbeiten, denn der Fragenkatalog für den Datenschutzaudit orientiert sich eng an den wesentlichen Vorgaben und Bereichen der DSGVO. Jedes Unternehmen, welches die DSGVO und ihre Regelungen ernst nimmt, wird per se entsprechende Antworten für den Fragebogen bereithalten.

Begreifen Sie den Audit in erster Linie als Selbstoptimierungsprozess mit Feststellung des Status Quos beim Datenschutz in Ihrem Unternehmen. Dann sind auch die Kosten für den Datenschutzaudit gut investiert.