Audits im Datenschutz dienen zur Übersicht der Vorgänge, in denen Daten verarbeitet werden. Verarbeitungen müssen in einem Verzeichnis festgehalten werden. Ein solches Verzeichnis ist Pflicht.

Audits können auf Unternehmens-, Abteilungs- und Applikationsebene durchgeführt werden. Während eines Audits lässt sich bspw. feststellen, ob und welche Lücken in der Datenschutzdokumentation vorhanden sind, welche vorhandenen technischen und organisatorischen Maßnahmen nicht den gesetzlichen Vorgaben genügen oder ob und inwieweit aktive Geschäftsprozesse und Applikationen unter datenschutzrechtlichen Gesichtspunkten optimiert werden müssten.

Audits sind die Basis der Datenschutz-Compliance. Sie lassen den gesamten Handlungsbedarf ermitteln und dienen dazu, Handlungsnotwendigkeiten nach ihrer Dringlichkeit zu priorisieren. Viele Unternehmen sind sich nicht darüber im Klaren, dass sie die datenschutzrechtlichen Prozesse nicht erfüllen. Nicht selten ist die Denkweise vorzufinden, dass es mit einer standardmäßigen Datenschutzerklärung aus dem Internet für die eigene Webseite schon getan wäre.

Kontakt

Fehlerquellen finden

Die Erfahrung zeigt aber, dass erst ein umfassendes Audit Aufschluss darüber geben kann, welche Maßnahmen noch nicht oder falsch umgesetzt worden sind. Bei der Umsetzung rechtlicher Vorgaben ist zwischen folgenden zwei Defiziten zu differenzieren:

  • Der Verantwortliche weiß, dass Datenschutzmaßnahmen fehlen, kann sie aber nicht selbst umsetzen (etwa aufgrund mangelnder Ressourcen)
  • Der Verantwortliche weiß nicht einmal, dass Datenschutzmaßnahmen fehlen und bietet somit eine große Angriffsfläche für Wettbewerber, Aufsichtsbehörden oder betroffene Personen

Insbesondere der letzte Punkt stellt ein großes Problem dar, dem dringend Beachtung geschenkt werden sollte. Wenn bspw. ein Unternehmen gar nicht weiß, dass für eine bestimmte Software eine Datenschutz-Folgenabschätzung durchgeführt werden müsste oder mit einem Dienstleister ein Auftragsverarbeitungsvertrag abgeschlossen werden müsste, kann es diese Anforderungen nicht erfüllen. Falls anschließend die Aufsichtsbehörde auf einen solchen Vorgang aufmerksam wird – etwa im Rahmen einer Überprüfung oder weil sie darauf aufmerksam gemacht wurde – und feststellt, dass die Anforderungen nicht einmal ansatzweise beachtet werden, kann dies schwerwiegende Konsequenzen haben.

Inhalt eines Audits

Präventive Maßnahmen durch Datenschutzaudits:

Systematische Überprüfung für optimierte Geschäftsprozesse und gestärkte IT-Sicherheit

Ein Audit ist für die Prävention von Gefahren bestens geeignet. Systematisch werden mitunter (je nach Wunsch) alle Geschäftsbereiche, Geschäftsvorgänge, die IT-Landschaft, Beziehungen zu Geschäftspartnern und Dienstleistern, Datenflüsse und Schnittstellen zur Datenübertragung überprüft. Mit einem bedarfsgerechten Überprüfungsansatz und einer strukturierten Vorgehensweise werden die einzelnen Defizite und Handlungsnotwendigkeiten herausgearbeitet.

Audits unterstützen auch dabei, Geschäftsvorgänge zu optimieren bzw. zu verbessern. Immer wieder ergeben sich in Unternehmen Bilder, die auf ein unzureichendes Datenschutz-Management und eine unstrukturierte Datenhaltung zurückzuführen sind. Der Datenschutz kann die interne Organisation, insbesondere bspw. das Dokumentenmanagement, Zugriffsberechtigungen und den Austausch von Geschäftsunterlagen spürbar optimieren. Dies spart im Ergebnis Zeit und Kosten ein.

Wir steigen mit einem Audit bei Ihnen ein und unterstützen Sie in allen Maßnahmen des Datenschutzes und der IT-Sicherheit!

← zurück

Ihr Ansprechpartner:

Erdem Durmus

Managing Director | Externer Datenschutzbeauftragter

CIPP/E
CIPM
FIP
ISO 27001
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten

Ihr Ansprechpartner:

Michael Gilmour

Managing Director | Externer Datenschutzbeauftragter

Certified Professional Data Protection Officer (udis)