Software-Ingenieur mit einem Laptop in einem Serverraum

Datenschutzaudit – Vernachlässigte Aufgabe der Unternehmens-Compliance?

Welche Maßnahmen für einen unabhängigen Blick auf den Reifegrad der betrieblichen Datenschutz-Compliance und die Risiken nötig sind.


Überblick

  • Die DSGVO verpflichtet Unternehmen zur kontinuierlichen Kontrolle der Datenschutzkonformität bei der Verarbeitung personenbezogener Daten.
  • Unternehmen sollten zudem auch die Bestimmung und Optimierung des Reifegrads der betrieblichen Datenschutz-Compliance auf ihrer Agenda haben.
  • Nur so lassen sich etwaige potenzielle Datenschutzrisiken frühzeitig erkennen und vermeiden.

Mehr als fünf Jahre sind vergangen, seit die Datenschutz-Grundverordnung (DSGVO) erstmals als unmittelbar anwendbares Recht den Unternehmen Anforderungen des Datenschutzes in der EU und im EWR und zur Umsetzung und Ausgestaltung ihrer betrieblichen Datenschutz-Compliance vorgab.

Viele haben nun die zu diesem Zeitpunkt mehr oder weniger „grünen Wiesen des betrieblichen Datenschutzes“ mit unterschiedlichen Ambitionen „bebaut“, was die eklatanten Bußgelder, die die Aufsichtsbehörden nach wie vor verhängen, und die gerichtlichen Verfahren, die auf Initiative Betroffener zur Durchsetzung datenschutzrechtlicher Ansprüche gegen Unternehmen und Behörden angestoßen werden, immer noch eindrücklich belegen.

Datenschutz-Grundverordnung
trat die DSGVO in Kraft und regelt europaweit einheitlich, wie Unternehmen mit personenbezogenen Daten umgehen dürfen.

Daher liegt es nahe, den Blick auf ein spezifisches Mittel als Gradmesser zur Bestimmung und Optimierung des Reifegrads der betrieblich implementierten Datenschutz-Compliance, aber auch zur Identifizierung betrieblicher Datenschutzrisiken zu lenken: das Datenschutzaudit. 

Das Datenschutzaudit

In der DSGVO, aber auch im Bundesdatenschutzgesetz (BDSG) oder in den Datenschutzgesetzen der Länder findet dieses Instrument keine Erwähnung. Diese Regularien verpflichten Unternehmen als Verantwortliche der Datenverarbeitung lediglich zu einer kontinuierlichen Kontrolle der datenschutzkonformen Durchführung der Verarbeitung personenbezogener Daten und fordern dabei Rechenschaftspflicht (Accountability), also einen jederzeit vorlegbaren Nachweis der Erfüllung datenschutzrechtlicher Mindestanforderungen.

Ob diese Kontrolle durch ein internes oder ein externes Audit erfolgt, ist letztlich unerheblich. Für ein externes Audit sprechen jedoch mehrere Gründe: 

Zum einen definiert die ISO 19011:2011 das Audit generell als systematischen, unabhängigen und dokumentierten Prozess zur Erlangung von Auditnachweisen und zu deren objektiver Auswertung. Ziel ist es zu ermitteln, inwieweit die Auditkriterien erfüllt sind. 

Natürlich ist auch ein internes Audit, beispielsweise veranlasst durch die interne Revision oder den betrieblichen Datenschutzbeauftragten möglich. Erfahrungsgemäß sind jedoch – meist bedingt durch Bestrebungen zur Erhaltung des betrieblichen Friedens – in der Praxis immer wieder Tendenzen ersichtlich, die geeignet sind, die Unabhängigkeit des Prozesses und die Objektivität der Feststellungen nach Auswertung der Audit-Nachweise zu beeinflussen und damit den objektiven Blick auf den tatsächlichen Stand des Reifegrads der betrieblichen Datenschutz-Compliance zu verstellen. 

Aber auch zur Vorbereitung einer datenschutzrechtlichen Zertifizierung, wie sie die DSGVO in Artikel 42 vorsieht, kann ein externes Datenschutzaudit hilfreiche Dienste leisten. Dabei ist der Prüfungsgegenstand nicht auf Geschäftsprozesse beschränkt, in denen personenbezogene Daten verarbeitet werden, sondern er kann auch Produkte und Verfahren umfassen, für die der Anwendungsbereich des Datenschutzes eröffnet ist. Gegenstand der Auditierung können auch Verarbeitungen, Softwareapplikationen, Plattformen, einzelne Gesellschaften oder Unternehmensbereiche sein.



Die Dienstleister, die für den Verantwortlichen als Auftragsverarbeiter die gesamte Verarbeitung personenbezogener Daten oder Teile davon übernehmen, sollten turnusmäßig ebenfalls einer Auditierung unterzogen werden.



Die Dienstleister, die für den Verantwortlichen als Auftragsverarbeiter die gesamte Verarbeitung personenbezogener Daten oder Teile davon übernehmen, sollen turnusmäßig ebenfalls einer Auditierung unterzogen werden.

Dabei unterteilt sich ein Audit in verschiedene Phasen wie die Vorbereitung, einen Audit-Plan, die Durchführung der Audit-Nachweise durch den Auditor, die eigentliche Bewertung der erhobenen Nachweise sowie bei festgestellten Lücken in der Datenschutz-Compliance Empfehlungen zum Schließen Letzterer. All dies findet Eingang in den Audit-Bericht des unabhängigen Auditors.

In der Praxis von Datenschutzaudits hat es sich bewährt, als externer Auditor zusammen mit dem zu prüfenden Unternehmen zunächst die Themenfelder des Datenschutzaudits (Audit-Domänen) auszuwählen.

Die Einzelkontrollen aus den Bereichen Recht, Organisation, Prozesse und IT wählt dann der Auditor in einem zweiten Schritt selbstständig, ohne Mitwirkung des zu prüfenden Unternehmens, aus, um ein objektives und möglichst repräsentatives Ergebnis zum Stand der Datenschutz-Compliance im Unternehmen zu bekommen.

Zum Vorgehen gehören Dokumenten-Reviews, meist verbunden mit Vor-Ort-Prüfungen und Interviews.

Häufig klaffen die Eigenwahrnehmung des Auditees und die Feststellungen des externen Auditors bezüglich der Erfüllung der Mindestanforderungen der DSGVO weit auseinander. Dann stehen die Feststellungen und die gegebenenfalls abweichende Auffassung des unabhängigen Auditors nebeneinander und werden im Audit-Bericht entsprechend festgehalten.

Diese Vorgehensweise ermöglicht es den Beteiligten, eine Risikoeinschätzung und daraus resultierende Risikobehandlungsmaßnahmen zu treffen, die nicht nur auf einer einzelnen Betrachtung (intern oder extern) beruhen, sondern eine Abwägung vornehmen und das richtige Maß bei einer Entscheidung zur Behandlung der Datenschutzrisiken erkennen.



Die Binnenperspektive eines internen Auditors ist meist zu sehr auf das eigene Geschäftsmodell des Unternehmens fokussiert und betrachtet die Anforderungen aus einem einseitigen Blickwinkel. Der externe Auditor bringt branchenübergreifende Erfahrungen aus zahlreichen Audits mit und kann dabei auch ein Benchmarking mit in die Auditierung einbringen.



Die Binnenperspektive eines internen Auditors ist meist zu sehr auf das eigene Geschäftsmodell des Unternehmens fokussiert und betrachtet die Anforderungen aus einem einseitigen Blickwinkel. Der externe Auditor bringt branchenübergreifende Erfahrungen aus zahlreichen Audits mit und kann dabei auch ein Benchmarking mit in die Auditierung einbringen.

Umfang und Inhalt eines Datenschutzaudits sollten sich zuvorderst an den Datenschutzrisiken orientieren, zumal die DSGVO auf einem risikobasierten Ansatz beruht.

Cybersecurity

Vorsicht ist besser als Nachsicht – das gilt auch bei der Cybersecurity. Wir helfen Unternehmen aus allen Sektoren, sich strategisch aufzustellen, die eigene Resilienz zu erhöhen, aber auch im Fall der Fälle handlungsfähig zu bleiben.

Dies setzt jedoch voraus, dass im Unternehmen bereits ein definierter und dokumentierter Prozess für Datenschutzrisiken implementiert wurde und gelebt wird. Dies umfasst die Identifizierung von Datenschutzrisiken, eine Methodik der Bewertung von Datenschutzrisiken und einen definierten Maßnahmenkatalog zur Risikobehandlung, etwa regelmäßige Audits, Pentesting und andere Prüfungen, um beispielsweise die Einhaltung der Anforderungen aus Art.  32 DSGVO und ErwGr 83 sowie aus Art. 25 Abs. 1 und 2 DSGVO zu prüfen und nachzuweisen (Art. 24 DSGVO). Ferner umfassen die Maßnahmen zur Risikobehandlung auch Prozesse zu Art. 33 und 34 DSGVO, Prozesse zur Modifikation (Risiko tragen -> Managemententscheidung), Reduktion (zum Beispiel technische und organisatorische Maßnahmen der Datensicherheit (TOM) nach Stand der Technik), Übertragung (richtiger Risikoeigner) oder Vermeidung (keine Daten erheben oder Daten anonymisieren) sowie eine etablierte Risikokommunikation und -konsultation zwischen den einzelnen Stakeholdern im Unternehmen.

Der risikobasierte Ansatz der DSGVO stellt folgende Anforderungen an den Verantwortlichen und damit an die jeweiligen Fachabteilungen als Risk Owners im operativen Datenschutzmanagement des Unternehmens: 

  • Sie müssen die Risiken, die sich aus der jeweiligen Verarbeitungstätigkeit für Betroffene und das Unternehmen ergeben, anhand objektiver Kriterien beurteilen können.
  • Sie müssen die Risiken, die mit einer Verarbeitung verbunden sind, systematisch identifizieren können.
  • Sie müssen eine Risikoanalyse hinsichtlich der Eintrittswahrscheinlichkeit und Schwere der Folgen vornehmen können.
  • Außerdem müssen sie in der Lage sein, eine qualitative Risikoklassifikation (Risiko oder hohes Risiko) vorzunehmen, um am Ende dem Management eine geeignete Risikobehandlung als Entscheidungsvorlage vorzuschlagen.

Fazit

Soweit diese Datenschutzrisikoanalyse zu den wesentlichen betrieblichen Datenschutzrisiken (noch) nicht implementiert oder durchgeführt wurde, empfiehlt sich deren Durchführung. Das kann auch ein externer Datenschutzauditor übernehmen, was eine objektive Bewertung der Datenschutzrisiken und adäquate Risikobehandlungsmaßnahmen ermöglicht.

Sowohl ein externes Datenschutzaudit als auch eine Analyse der Datenschutzrisiken unterstützen den für die Datenverarbeitung Verantwortlichen durch Dokumentation dabei, seine datenschutzrechtliche Rechenschaftspflicht zu erfüllen und die datenschutzrechtlich verpflichtenden Anforderungen bei seinen Datenschutzmanagementaufgaben umzusetzen.

Co-Autor: Dr. Christian Oliver Dressel

Mehr zum Thema