Datenschutzaudit

Das Datenschutzauditgesetz war ein geplantes deutsches Gesetz, das es Anbietern von datenverarbeitender Hardware und Software sowie Datenverarbeitern ermöglichen sollte, ihr Datenschutzkonzept und ihre technischen Einrichtungen (auf freiwilliger Basis) überprüfen zu lassen. Als Resultat der Prüfung sollte eine Bewertung (schriftliche Dokumentation) aussagen, ob das Konzept und die eingesetzte Technik mit den Datenschutzgesetzen vereinbar sind. Leider hat der Deutsche Bundestag am 3. Juli 2009 beschlossen, das Gesetz nicht zu verabschieden.

Somit ist ein Datenschutzaudit bis auf Weiteres ein freiwilliges Instrument, zu erkennen, ob das Datenschutzkonzept des Unternehmens den rechtlichen Ansprüchen genügt (oder sie gar übertrifft).

Was ist ein Datenschutzaudit? 

Das Datenschutzaudit ist eine förmliche Prüfung des Datenschutzkonzepts. § 9a BDSG unterscheidet zwischen verschiedenen Möglichkeiten. Einerseits können die technischen Einrichtungen überprüft werden, auf der anderen Seite aber auch das gesamte Datenschutzkonzept.

Das Bundesdatenschutzgesetz (BDSG) erwartet vom Datenschutzbeauftragten (DSB), dass er auf die gesetzlichen Anforderungen des Datenschutzes hinwirkt und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme überwacht. Dafür kann der DSB eine Bestandsaufnahme vornehmen in Form eines Datenschutzaudits.

Doch auch bei einem externen Datenschutzaudit spielt der DSB eine zentrale Rolle. Er ist für die Auditoren der erste Ansprechpartner und bearbeitet die förmlichen Anfragen der Auditoren. Der DSB hat durch seine Fachkunde und Eignung für diese Rolle als Mittler zwischen dem Unternehmen und der externen Seite, die die Auditierung durchführt, auch bei einem externen Datenschutzaudit eine wichtige Rolle.

Ziel des Datenschutzaudits

Kein Unternehmen, dass Daten verarbeitet, ist bisher verpflichtet, sich einem Datenschutzaudit zu unterziehen. Dennoch kann eine solche tiefergehende Untersuchung des Datenschutzkonzepts Schwächen der technischen Implementierungen oder Verfahrensfehler aufdecken. So kann eine kontinuierliche Verbesserung des Datenschutzniveaus erreicht werden.

Durch ein Datenschutzaudit können den Datenschutz verbessernde Maßnahmen dokumentiert werden, die sich aus den Empfehlungen des Auditreports ergeben. Ebenso kann ein positives Prüfergebnis eines Audits als Werbemaßnahme angesehen und dieses veröffentlicht werden. Das Unternehmen, das ein Datenschutzaudiot durchführen lässt, dokumentiert damit, dass es es sich einer freiwilligen Selbstkontrolle unterzogen hat. Dies ist ein klarer Wettbewerbsvorteil gegenüber Mitbewerbern des jeweiligen Markts.

Ablauf des Datenschutzaudits

Zunächst wird eine Datenschutzprüfung durchgeführt, um den momentanen Status des Datenschutzes im Unternehmen darzustellen. Mit den Ergebnissen daraus erstellt der Auditor für das Unternehmen (und in Absprache mit der Geschäftsleitung) eine Datenschutzpolitik (ähnlich der Datenschutzerklärung einer Webseite, nur wesentlich ausführlicher), auf die sich Geschäftsführung verpflichtet. Sie dient als Grundlage für das anschließend zu erstellende Datenschutzkonzept. Ebenfalls werden im Auditreport konkrete Verbesserungsvorschläge gemacht, die am besten mit einem Zieldatum versehen werden. Das Datenschutzmanagementsystem, das die Organisationsstruktur und Zuständigkeiten regelt, wird im nächsten Schritt erstellt. Zeitgleich sollte an den Verfahrensbeschreibungen gearbeitet werden.

Wenn alle diese Schritte erledigt sind, muss sichergestellt werden, dass das Managementsystem und das Konzept dauerhaft den gesetzlichen Anforderungen genügt. Dazu sollten periodisch Folgeprüfungen durchgeführt werden.

Wann ist ein Datenschutzaudit sinnvoll?

Natürlich ist ein Datenschutzaudit auf freiwilliger Basis eine unternehmerische Entscheidung. Denn wenn der Prozess einmal angestoßen ist, ist er schwerlich umkehrbar. Die Geschäftsführung möchte den Aufwand und die Kosten verständlicherweise möglichst gering halten. Genau hier ist anzusetzen. Denn Aufwand und Kosten orientieren sich am Aufwand der auditierenden Stelle. Ist ein solches Audit gut vorbereitet, sind Kosten und Aufwand für das Unternehmen gering.

Mit den folgenden Fragen lässt sich die Sinnhaftigkeit eines Datenschutzaudits überprüfen:

  • Soll nach einem erfolgreichen Datenschutzaudit ein positives Image gepflegt werden?
  • Hat das Datenschutzniveau im Unternehmen bereits einen hohen Standard?
  • Kann das Unternehmen hinsichtlich notwendigen datenschutzrelevanten Änderungen flexibel?
  • Ist bereits ein mit dem erforderlichen Fachwissen und erforderlicher Zuverlässigkeit DSB im Unternehmen angesiedelt?
  • Möchte das Unternehmen überhaupt den Datenschutz verbessern?

Falls mehrere dieser Fragen mit einem „Ja“ beantwortet werden können, so ist es wahrscheinlich, dass ein Datenschutzaudit positiv verlaufen wird.

Natürlich helfen wir Ihnen bei der Überlegung, ob ein Datenschutzaudit für Sie sinnvoll ist oder nicht. Bitte wenden Sie sich an uns.