Audits
Anfang einer seriösen datenschutzrechtlichen Beratung sollte immer ein Audit sein, um zu ermitteln, welche Defizite im Datenschutz das Unternehmen hat und welche Maßnahmen in Folge implementiert werden müssten. Audits können auf Unternehmens-. Abteilungs- und Applikationsebene durchgeführt werden. Die datenschutzrechtlichen Anforderungen lassen sich auf jede Ebene nahezu gleichermaßen projizieren. Während eines Audits lässt sich bspw. feststellen, ob und welche Lücken in der Datenschutzdokumentation vorhanden sind, welche bereits vorhandenen technischen und organisatorischen Maßnahmen nicht den gesetzlichen Vorgaben genügen oder ob und inwieweit aktive Geschäftsprozesse und Applikationen unter datenschutzrechtlichen Gesichtspunkten optimiert werden müssten.
Audits sind der Ursprung der Datenschutz-Compliance. Sie lassen den gesamten Handlungsbedarf ermitteln und dienen dazu, Handlungsnotwendigkeiten nach ihrer Dringlichkeit zu priorisieren. Viele Unternehmen sind sich noch nicht darüber im Klaren, dass sie die datenschutzrechtlichen Prozesse nicht erfüllen. Nicht selten ist die Denkweise vorzufinden, dass es mit einer standardmäßigen Datenschutzerklärung aus dem Internet für die eigene Webseite schon getan wäre.
Fehlerquellen finden
Die Erfahrung zeigt aber, dass erst ein umfassendes Audit Aufschluss darüber geben kann, welche Maßnahmen noch nicht oder falsch umgesetzt worden sind. Bei der Umsetzung rechtlicher Vorgaben ist zwischen folgenden zwei Defiziten zu differenzieren:
- Der Verantwortliche weiß, dass Datenschutzmaßnahmen fehlen, kann sie aber nicht selbst umsetzen (etwa aufgrund mangelnder Ressourcen)
- Der Verantwortliche weiß nicht einmal, dass Datenschutzmaßnahmen fehlen und bietet somit eine große Angriffsfläche für Wettbewerber, Aufsichtsbehörden oder betroffene Personen
Insbesondere der letzte Punkt stellt ein großes Problem dar, dem dringend Beachtung geschenkt werden sollte. Wenn bspw. ein Unternehmen gar nicht weiß, dass für eine bestimmte Software eine Datenschutz-Folgenabschätzung durchgeführt werden müsste oder mit einem Dienstleister ein Auftragsverarbeitungsvertrag abgeschlossen werden müsste, kann es diese Anforderungen nicht erfüllen. Falls anschließend die Aufsichtsbehörde auf einen solchen Vorgang aufmerksam wird – etwa im Rahmen einer Überprüfung oder weil sie darauf aufmerksam gemacht wurde – und feststellt, dass die Anforderungen nicht einmal ansatzweise beachtet werden, kann dies schwerwiegende Konsequenzen haben.
Datenschutz ist messbar
Seit Anwendbarkeit der DSGVO lässt sich der Mehrwert in der Schaffung eines datenschutzkonformen Arbeits- und Geschäftsumfelds direkt per KPIs messen. Für eine Vielzahl von verschiedensten Datenschutzverstößen und Datenschutzverletzungen wurden bisher Geldbußen verhängt. Um Bußgeldrisiken nachhaltig auszuschließen oder zumindest weitmöglichst zu verringern, sollten die Vorgaben des Datenschutzes unbedingt eingehalten werden.
Vorsicht ist besser als Nachsicht
Ein Audit ist für die Prävention solcher Gefahren bestens geeignet. Systematisch werden mitunter alle Geschäftsbereiche, Geschäftsvorgänge, die IT-Landschaft, Beziehungen zu Geschäftspartnern und Dienstleistern, Datenflüsse und Schnittstellen zur Datenübertragung überprüft. Mit einem bedarfsgerechten Überprüfungsansatz und einer strukturierten Vorgehensweise werden die einzelnen Defizite und Handlungsnotwendigkeiten herausgearbeitet.
Audits unterstützen auch dabei, Geschäftsvorgänge zu optimieren bzw. zu verbessern. Immer wieder ergeben sich in Unternehmen Bilder, die auf ein unzureichendes Datenschutz-Management und eine unstrukturierte Datenhaltung zurückzuführen sind. Der Datenschutz kann die interne Organisation, insbesondere bspw. das Dokumentenmanagement, Zugriffsberechtigungen und den Austausch von Geschäftsunterlagen spürbar optimieren. Dies spart im Ergebnis Zeit und Kosten ein.
Kontaktieren Sie uns unverbindlich. Wir steigen mit einem Audit bei Ihnen ein und unterstützen Sie in allen Maßnahmen des Datenschutzes und der IT-Sicherheit!
