Sie als Unternehmen sind gesetzlich verpflichtet, personenbezogene Daten zu schützen und entsprechend zu verarbeiten. Um stets auf dem neuesten Stand zu sein, müssen Sie dafür Prozesse im Unternehmen aufsetzen und diese Prozesse periodisch überprüfen. Durch eine Datenschutzaudit können Sie den aktuellen Stand Ihres Datenschutzes analysieren und Lücken in Ihrem Unternehmen aufdecken und beheben. Wie Sie ein solches Datenschutzaudit durchführen und welche Kosten auf Sie zukommen, erfahren Sie in der folgenden Übersicht.
Sie möchten sich direkt zum Thema Datenschutzaudit beraten lassen?
Was ist ein Datenschutzaudit und wozu dient er?
Gerade kleine und mittelständische Unternehmen wissen oft nicht, dass sie sich, ebenso wie Großunternehmen, an die Datenschutzvorschriften der Datenschutz-Grundverordnung (DSGVO) halten müssen. Ein Datenschutzaudit kommt zum Einsatz, wenn Sie Ihr Unternehmen einer freiwilligen Prüfung auf Basis der Datenschutz-Grundverordnung unterziehen und wissen möchten, ob Ihr Unternehmen die Anforderungen der DSGVO erfüllt. Das Audit zeigt dabei mögliche Schwachstellen in der Datenverarbeitung innerhalb Ihres Unternehmens auf und gibt Ihnen Hinweise zur Behebung der fehlerhaften Umstände.
Das Datenschutzaudit dient als vorbeugende Maßnahme, um datenschutzrechtliche Fehlerquellen in Ihrem Unternehmen frühzeitig zu entdecken, zu beheben und kostspieligen Abmahnungen immer einen Schritt voraus zu sein. Es wird dabei der bestehende Ist-Zustand mit dem Soll-Zustand verglichen und auf dieser Grundlage beurteilt, ob Handlungsbedarf besteht und Sie Ihr Datenschutzmanagement anpassen müssen.
Wann lohnt sich ein Datenschutzaudit?
Ein Datenschutzaudit lohnt sich in jeder Phase Ihres Unternehmens. Sobald Sie Daten verarbeiten, empfiehlt es sich, dass Sie die Datenverarbeitungsprozesse auf Grundlage der DSGVO prüfen lassen. So stärken Sie das Vertrauen Ihrer Mitarbeiter in Ihr Unternehmen und wissen gleichzeitig, wie es um Ihren Datenschutz innerhalb Ihres Unternehmens steht. Werden personenbezogene Daten innerhalb Ihres Unternehmens nicht datenschutzkonform verarbeitet und zeigen Verarbeitungsprozesse Schwachstellen auf, gefährden Sie Ihr Unternehmen durch teure Abmahnungen von Datenschutzbehörden.
Können Sie als Unternehmen selbst ein Datenschutzaudit durchführen?
Grundsätzlich sind für die Durchführung sowohl interne als auch externe Datenschutzauditoren geeignet. Zwar können Sie einen internen Datenschutzbeauftragten innerhalb Ihres Hauses mit dem Datenschutzaudit beauftragen. Da die Objektivität während eines Audits aber das Maß aller Dinge darstellt, besteht bei einem internen Datenschutzauditor die Gefahr der Betriebsblindheit, sodass die Objektivität infrage zu stellen ist. Dennoch kann der interne Datenschutzbeauftragte eine vorherige Einschätzung über den jeweiligen Zustand in Ihrem Unternehmen abgeben, die dann durch einen externen Datenschutzbeauftragten geprüft wird.
Wir empfehlen Ihnen daher einen externen Datenschutzauditor zu beauftragen, der das Audit für Sie übernimmt. So erhalten Sie objektive Ergebnisse und können durch dessen Beratung profitieren. Bei den unabhängigen Gutachtern handelt es sich zumeist um Datenschutzbeauftragte, Sicherheitsbeauftragte aus dem IT-Bereich oder Datenschutzkoordinatoren.
Wie ist der Ablauf eines Datenschutzaudits?
Der Ablauf eines Datenschutzaudits gliedert sich in vier Phasen:
Planungsphase
Bevor das Datenschutzaudit startet, sollten Sie mit dem externen Datenschutzbeauftragten einen Auditplan erstellen, in dem Sie gemeinsam den Umfang des Audits und die zu prüfenden Bereiche (Einkauf, Vertrieb, Personal, Finanzen und IT) festlegen.
Innerhalb eines Datenschutzaudits ist dann durch den leitenden Auditor der Ist-Zustand zu ermitteln, der im Rahmen der Durchführungsphase mit dem vorher definierten Soll-Zustand zu vergleichen ist.
Lassen Sie ihre Webseite auf Datenschutzkonformität prüfen!
Vorbereitungsphase
Innerhalb der Vorbereitungsphase ist dann zu schauen, ob bereits Auditberichte von vorherigen Audits zur Verfügung stehen, um diese in das anstehende Audit mit einzubeziehen. Im Anschluss wird eine Checkliste erarbeitet, die die zu überprüfenden Punkte enthält (Fragenkatalog). In dieser Phase wird auch der Zeitplan des Audits erstellt und Ihre Mitarbeiter frühzeitig informiert, sodass benötige Informationen schnell zugreifbar sind. Daneben können Sie auch ein Testaudit vorbereitend für das eigentliche Audit durchführen, dessen Ergebnisse ebenfalls für das Audit herangezogen werden können.
Durchführungsphase
Sofern die Vorbereitungsphase abgeschlossen ist, findet das eigentliche Audit statt. Innerhalb dieser Phase werden die zuvor in der Vorbereitungsphase besprochenen Punkte abgearbeitet und geprüft. Sofern der Auditor auch ungeplante Punkte prüft, sollte dieser die Punkte ebenfalls in die Dokumentation mit aufnehmen. Alle Dokumente, die der Auditor prüft, sind zu dokumentieren, sodass Sie den Ablauf jederzeit rekonstruieren können. Wichtig für Sie ist zu wissen, dass nach dem Audittermin der Auditor Ihnen nochmal alle wesentlichen Punkte nennt, die es zu beanstanden gab. Denn häufig kommt es vor, dass während des Audits alles problemlos abläuft, aber im späteren Bericht erhebliche Mängel enthalten sind. Transparente Kommunikation ist in dieser Phase besonders wichtig.
Besonders wichtige Themen, die innerhalb des Datenschutzaudits zu prüfen sind:
- Verarbeitungsverzeichnis nach Art. 30 DSGVO
- Informationspflicht nach Art. 13 und 14 DSGVO
- Einwilligungen
- Technische und Organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO
Nachbereitungsphase
In der Nachbereitungsphase erstellt der Auditor den Prüfbericht. Dieser enthält im Detail, was genau geprüft wurde und welche Beanstandungen es gibt. Darüber hinaus zeigt er mögliche Gefahren in Ihrem bestehenden Datenschutzmanagement auf und gibt Ihnen eine Empfehlung, wie diese umzusetzen sind. Im Anschluss besprechen Sie gemeinsam, welche Maßnahmen Sie ergreifen müssen, um die Defizite auszubessern.
Wie hoch sind Ihre Kosten für ein Datenschutzaudit?
Die Kosten für ein umfangreiches externes Datenschutzaudit variieren und richten sich nach der Größe des jeweiligen Unternehmens. Während eine datenschutzrechtliche Beratung zwischen 120 Euro und 450 Euro pro Stunde kostet, müssen Sie bei einem ausführlichen Datenschutzaudit zwar tiefer in die Tasche greifen, denn dort sind in der Regel mit Kosten zwischen 1.000 Euro und 5.000 Euro zu rechnen. Innerhalb eines Datenschutzaudit lassen sich aber mögliche Schwachstellen in Ihren Datenschutzabläufen schnell aufdecken und Sie können direkt intervenieren, sofern Handlungsbedarf besteht. Daher lohnt sich eine solche Investition in jedem Fall.
Datenschutzaudit vor Ort oder Remote – Was ist besser für Ihr Unternehmen?
Ein Datenschutzaudit können Sie sowohl vor Ort oder Remote (z.B. per Telefon oder Video-Call) durchführen. Ein Vor-Ort-Audit lohnt sich für Sie besonders, wenn Sie im Rahmen des umfangreichen Audits auch technische oder organisatorische Maßnahmen (TOM) geprüft haben möchten. Die Vorteile eines Remote-Audits liegen auf der Hand. Der Auditor braucht nicht den Weg zu Ihnen auf sich zu nehmen, sodass Sie Kosten und Zeit sparen. Allerdings ist in diesem Rahmen für eine sichere Verbindung zu sorgen, um den Datenaustausch unkompliziert und sicher zu ermöglichen.
Warum brauchen Sie eine Datenschutzzertifizierung?
Die Datenschutz-Grundverordnung sieht in Art 42 DSGVO eine Zertifizierung vor, sofern Ihr Unternehmen personenbezogene Daten verarbeitet oder erhebt und im Rahmen des Datenschutzaudits erfolgreich überprüft wurde. Mit der Zertifizierung weisen Sie aus, dass Ihr Unternehmen den datenschutzrechtlichen Vorschriften entspricht und Sie personenbezogene Daten rechtskonform erheben oder verarbeiten. Es schafft Vertrauen in Ihr Unternehmen und steigert Ihre Seriosität.
Wie Sie sehen, ist ein Datenschutzaudit gar nicht so kompliziert. Sofern Sie aktiv und vorbereitend mitwirken, ist der Ablauf schnell über die Bühne gebracht und Sie können sich gezielt auf die wichtigen Dinge in Ihrem Unternehmen konzentrieren. Mit uns an Ihrer Seite können Sie schnell und einfach Ihr Unternehmen prüfen lassen, sodass Sie Ihr Image durch eine entsprechende Zertifizierung weiter anheben können. Melden Sie sich einfach bei uns.
Beratung zum DSGVO-Audit
Überzeugen Sie sich selbst und informieren Sie sich hier über unser Paket zur Datenschutzprüfung.