Eine umfassende Sicherstellung des Datenschutzes nach der Datenschutz-Grundverordnung (DSGVO) erfordert in Unternehmen die Berücksichtigung zahlreicher Aspekte. Selbst vermeintlich einfache Datenschutz-Vorschriften, wie die Pflicht zur Benennung eines Datenschutzbeauftragten oder der Abschluss von Auftragsverarbeitungsvereinbarungen, bergen Fallstricke. Andere Regelungen sind hingegen kaum bekannt oder werden aufgrund des damit verbundenen Aufwands erstmal verschoben. Hier gilt es, den Überblick über die wichtigsten Anforderungen zu wahren und priorisiert zu handeln.

Ein Datenschutz-Audit hilft, Klarheit zu erlangen

Insbesondere große Unternehmen verbinden mit einem Audit oft das Ziel, einen Bericht über die Umsetzung der Datenschutz-Vorschriften zu erhalten, bspw. als Ergänzung zur Berichterstattung des Datenschutzbeauftragten oder des Compliance-Beauftragten.

Die Mehrheit der Unternehmen im Mittelstand benötigt jedoch vorrangig eine pragmatische Übersicht über den im Unternehmen bestehenden Handlungsbedarf. Die Durchführung eines Datenschutz-Audits ermöglicht es hier, 

  • Klarheit über die zu erfüllenden gesetzlichen Anforderungen zu erlangen, 
  • systematisch den aktuellen Stand der Umsetzung bzw. des Fortschritts zu ermitteln,
  • Risiken aufzuzeigen und
  • Optimierungspotentiale zu erkennen.

Ein auf diese Weise erstellter Maßnahmenplan wird oft über viele Jahre fortgeschrieben und entwickelt so - in Verbindung mit regelmäßigen Follow-Up-Prüfungen - langfristigen Nutzen.

"Als Auditor wahren wir einen neutralen und fachlich fundierten Blick"

Die kontinuierliche Überwachung der Einhaltung des Datenschutzes ist gemäß der DSGVO eine der Kernpflichten des Datenschutzbeauftragten. Ein externes Audit kann hier dazu dienen, den Datenschutzbeauftragten bei der Erfüllung seiner Kontrollfunktion effizient zu unterstützen: sowohl durch eine personelle Entlastung, als auch durch die Ergänzung um spezifisches Know-How und Erfahrungen in der Prüfung. Als Auditor wahren wir dabei immer einen neutralen und fachlich fundierten Blick - sowohl in der Durchführung der Prüfung, als auch in der Abstimmung mit der Geschäftsführung unserer Kunden. 

"Für Digitalisierung und HomeOffice wird der Datenschutz 2021 eine Schlüsselrolle einnehmen"

Vor dem Hintergrund der zunehmenden Digitalisierung gewinnt der Schutz von personenbezogenen Daten, wie auch von Geschäftsdaten, weiterhin an Bedeutung. Eine frühzeitige Einbeziehung und Berücksichtigung von Datenschutz und IT-Sicherheit hilft hier nicht nur, Zwischenfälle zu vermeiden, die im Zweifelsfall durch öffentliches Bekanntwerden zu einem Imageschaden für das Unternehmen führen. Durch eine frühzeitige Berücksichtigung und sorgfältige Planung können oft auch Kosten gespart werden, wenn Fehlinvestitionen oder unsachgemäße Implementierungen vermieden werden. Eine nachträgliche Umsetzung von Datenschutz und IT-Sicherheit ist oft wesentlich teurer - getreu dem Motto, wer billig kauft, kauft zweimal. Für zwei der wichtigsten IT-Themen der Jahre 2020 und 2021, Digitalisierung und HomeOffice, wird der Datenschutz eine Schlüsselrolle einnehmen.

Ablauf des Audits - in 7 Schritten zum Erfolg

Vorgespräch 
In einem Vorgespräch legen wir gemeinsam mit Ihnen den Rahmen des Audits fest. Welche Gesellschaften sollen einbezogen werden? Gibt es verbundene Unternehmen oder Niederlassungen im Ausland, die zu berücksichtigen sind? Auch die Größe des Unternehmens sowie der Umfang und die Komplexität der zu erwartenden Datenverarbeitung werden besprochen, um das Audit verlässlich planen zu können. 

1. Wir legen gemeinsam den Prüfungsmaßstab fest 
Basierend auf dem Vorgespräch legen wir gemeinsam mit dem Kunden den Prüfungsmaßstab für das Audit fest. Dadurch wird in wesentlichem Maß der Detailgrad und der inhaltliche Umfang des Audits bestimmt. 

Grundsätzlich wird der Prüfungsmaßstab durch die maßgeblichen Datenschutzgesetze, die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) vorgegeben. Denn den meisten Unternehmen geht es bei der Datenschutz-Auditierung vor allem um die Frage, ob diese Gesetze eingehalten werden und das Unternehmen damit im Wesentlichen "DSGVO-konform" aufgestellt ist. 

Darüber hinaus kann eine Auditierung auf Basis der Prüfungsstandards des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) erfolgen. Das IDW hat zu allen wichtigen Fragen der IT-Prüfung, bspw. zu Prüfungen der IT-Sicherheit und der IT-Compliance, der Prüfung von Clouddiensten und eben auch zu Datenschutz-Audits anerkannte Prüfungsstandards entwickelt. Ein systematisches Prüfungsvorgehen und eine hohe Prüfungsqualität sind damit sichergestellt. Für Unternehmen besteht der zusätzliche Nutzen, dass ein Nachweis über die Einhaltung der Datenschutzgesetze aufgrund einer anerkannten Prüfungsnorm bescheinigt werden kann. 

2. Wir führen das Datenschutz-Audit durch
Zum Auftakt des Datenschutz-Audits bilden wir uns ein Gesamtbild der bestehenden, datenschutzrechtlichen Strukturen sowie der Aufbau- und Ablauforganisation des Unternehmens. 

Wesentliche Prüfungsgegenstände sind das Datenschutzmanagementsystem, die Geschäftsprozesse sowie die IT-Infrastruktur einschließlich der technischen und organisatorischen Schutzmaßnahmen:

Datenschutzmanagementsystem: Wir analysieren die im Unternehmen bestehenden Regelungsdokumente und Dokumentationen mit Bezug zu Datenschutz und IT-Sicherheit.

Geschäftsprozesse: Wir betrachten Art und Umfang der Datenverarbeitung und prüfen, ob 

  • die Zulässigkeit der Verarbeitung durch valide Rechtsgrundlagen gewährleistet ist, 
  • die Datenverarbeitung datenschutzrechtlich angemessen ausgestaltet ist und 
  • die Sicherheit der Daten durch angemessene Schutzmaßnahmen gewährleistet ist.

IT-Sicherheit:  Wir beurteilen die im Unternehmen getroffenen technischen und organisatorischen Schutzmaßnahmen sowie die zugrundeliegende Dokumentation des Informationssicherheits-Managementsystems (ISMS). 

3. Wir identifizieren den bestehenden Handlungsbedarf 
Basierend auf dem ermittelten Ist-Zustand identifizieren wir den bestehenden Handlungsbedarf. Dabei wird besonders den folgenden Fragen nachgegangen: Welche Schutzmaßnahmen existieren bereits, sind aber nicht ausreichend oder nicht wirksam? Welche Schutzmaßnahmen fehlen noch vollständig? 

4. Wir beurteilen die Risiken 
Anhand der Handlungsbedarfs-Analyse beurteilen wir die daraus jeweils resultierenden Risiken für Ihr Unternehmen. Dabei berücksichtigen wir die Eintrittswahrscheinlichkeit und mögliche Schäden, bspw. Bußgelder, Reputationsrisiken oder Risiken für den IT-Betrieb. Beispielsweise können fehlende Berechtigungseinstellungen nicht nur zu Datenschutz-Bußgeldern führen - sie können auch Hackern den Zugriff auf Ihre Geschäftsdaten erleichtern.

Nach Abstimmung mit Ihnen prüfen wir auch, ob ein adäquates Risikomanagementsystem besteht. Dies kann neben Datenschutz und IT-Sicherheit auch Ihr internes Kontrollsystem betreffen und damit beispielsweise auch für die Jahresabschlussprüfung relevant sein.

5. Wir erstellen einen individuellen Maßnahmenplan 
Basierend auf der Analyse des Handlungsbedarfs und der damit verbundenen Risiken erstellen wir für Sie einen Maßnahmenplan. Dieser strukturiert konkrete Umsetzungsempfehlungen mit einer entsprechenden Priorisierung. Sie gewinnen Klarheit, welche Punkte kurzfristig umgesetzt werden sollten.

6. Wir erläutern Ihnen unser Vorgehen und stimmen uns gemeinsam ab 
Wichtig ist uns eine transparente Kommunikation der vorangegangenen Schritte. Wir erläutern Ihnen die Ergebnisse des Datenschutz-Audits, zeigen die für Sie daraus resultierenden Risiken auf und erläutern Ihnen unsere Handlungsempfehlungen. 

7. Wir erstellen einen mehrjährigen Prüfungsplan und unterstützen Sie durch eine kontinuierliche Begleitung
Nach Abschluss des Datenschutz-Audits begleiten wir Sie auf Wunsch dauerhaft bei der Umsetzung der Maßnahmen und der Weiterentwicklung Ihres Datenschutz- und IT-Sicherheitsmanagements. Wir unterstützen Sie beispielsweise bei der Fortschreibung des Maßnahmenplans und erstellen gemeinsam mit Ihnen einen mehrjährigen Prüfungsplan. Damit werden die strukturierte Weiterentwicklung des Datenschutzmanagements und eine systematische Fortführung des Audits und der damit gewonnenen Erkenntnisse sichergestellt.

Fazit

In Zeiten einer voranschreitenden Digitalisierung kommt dem Datenschutz eine kontinuierlich wachsende Bedeutung zu. Ein Datenschutz-Audit hilft Ihnen, durch eine neutrale und qualifizierte Beurteilung, bestehende Risiken und Handlungsbedarfe frühzeitig zu erkennen, Geschäftsprozesse und IT-Sicherheitsmaßnahmen zielgerichtet zu optimieren und Klarheit über die zu erfüllenden datenschutzrechtlichen Anforderungen zu erlangen. Fragen zur Durchführung von Datenschutz-Audits oder anderen Datenschutz- bzw. IT-Sicherheitsthemen beantwortet Ihnen unser Experte Herr Dr. Ralf Kollmann.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: