Welchen Zweck hat ein Datenschutz Audit?
Gemeinsam mit einem Datenschutzbeauftragten betrachtet das Unternehmen im Rahmen eines Datenschutz-Audits das vergangene Jahr aus der datenschutzrechtlichen Perspektive und analysieren, ob das Unternehmen den datenschutzrechtlichen Anforderungen gerecht wird.
Das jährliche Datenschutz-Audit ist ein fester Bestandteil des bestehenden Datenschutz-Managements und dient der regelmäßigen Prüfung und detaillierten Bewertung des bestehenden Datenschutzkonzeptes unter Beachtung des geltenden Datenschutzgesetzes. Dabei findet bspw. eine Prüfung von Verträgen, Betriebsvereinbarungen, internen Richtlinien hinsichtlich der Datenschutzkonformität statt.
Datenschutzrechtliche Chancen und Risiken werden evaluiert und ein möglicher Bedarf an Optimierung aufgezeigt, um Verstöße gegen das geltende Recht und die damit verbunden Bußgelder zu vermeiden. Im Anschluss erhält das Unternehmen an das Datenschutz-Audit eine objektive Bewertung des ermittelten Status-quo in einem ausführlichen datenschutzrechtlichen Jahresbericht rückblickend auf das vergangene Jahr. Dieser beinhaltet grundsätzlich auch Handlungsempfehlungen zur gezielten Behebung von Schwachstellen.
Wer führt ein Datenschutz Audit durch?
Der Datenschutzbeauftragte eines Unternehmens hat die Aufgabe, die gesetzlichen Anforderungen an den Datenschutz im Unternehmen sicherzustellen und ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen.
Eine weitere Möglichkeit ist ein „externes Audit“. Dies hat den großen Vorteil, dass Personen, die außerhalb der Organisation oder Unternehmen stehen, einen objektiven prüfenden Blick auf die bestehenden Geschäftsprozesse werfen. Auch zur Unterstützung des Datenschutzbeauftragten bei der Durchführung eines internen Audits kann es von Vorteil sein, dieses gemeinsam mit einem externen Beratungsunternehmen durchzuführen. Unternehmen profitieren von einer fachkundigen Beratung.
Fazit:
Da sich die DSGVO grundsätzlich an alle Unternehmen richtet, die personenbezogene Daten verarbeiten, ist ein Datenschutz-Audit grundsätzlich von allen Unternehmen durchzuführen. Auch KMU’s sind davon betroffen. Eine Erforderlichkeit besteht bereits dann in Unternehmen, wenn Zweifel hinsichtlich der Bestellung eines Datenschutzbeauftragten bestehen. Die Notwendigkeit einer rechtlichen Beurteilung möglicher personenbezogener Datenverarbeitungsvorgänge ist bestehend. Darüber hinaus ist ein Audit dann erforderlich, wenn Anhaltspunkte für mögliche Hackerangriffe vorliegen oder sonstige Zweifel an der IT-Sicherheit bestehen. Prinzipiell ist eine regelmäßige Datenschutzprüfung durch ein Datenschutzauditfür jedes Unternehmen sinnvoll, welches mit der Verarbeitung personenbezogener Daten beschäftigt ist.