Die Dienstleister, die für den Verantwortlichen als Auftragsverarbeiter die gesamte Verarbeitung personenbezogener Daten oder Teile davon übernehmen, sollten turnusmäßig ebenfalls einer Auditierung unterzogen werden.
Die Dienstleister, die für den Verantwortlichen als Auftragsverarbeiter die gesamte Verarbeitung personenbezogener Daten oder Teile davon übernehmen, sollen turnusmäßig ebenfalls einer Auditierung unterzogen werden.
Dabei unterteilt sich ein Audit in verschiedene Phasen wie die Vorbereitung, einen Audit-Plan, die Durchführung der Audit-Nachweise durch den Auditor, die eigentliche Bewertung der erhobenen Nachweise sowie bei festgestellten Lücken in der Datenschutz-Compliance Empfehlungen zum Schließen Letzterer. All dies findet Eingang in den Audit-Bericht des unabhängigen Auditors.
In der Praxis von Datenschutzaudits hat es sich bewährt, als externer Auditor zusammen mit dem zu prüfenden Unternehmen zunächst die Themenfelder des Datenschutzaudits (Audit-Domänen) auszuwählen.
Die Einzelkontrollen aus den Bereichen Recht, Organisation, Prozesse und IT wählt dann der Auditor in einem zweiten Schritt selbstständig, ohne Mitwirkung des zu prüfenden Unternehmens, aus, um ein objektives und möglichst repräsentatives Ergebnis zum Stand der Datenschutz-Compliance im Unternehmen zu bekommen.
Zum Vorgehen gehören Dokumenten-Reviews, meist verbunden mit Vor-Ort-Prüfungen und Interviews.
Häufig klaffen die Eigenwahrnehmung des Auditees und die Feststellungen des externen Auditors bezüglich der Erfüllung der Mindestanforderungen der DSGVO weit auseinander. Dann stehen die Feststellungen und die gegebenenfalls abweichende Auffassung des unabhängigen Auditors nebeneinander und werden im Audit-Bericht entsprechend festgehalten.
Diese Vorgehensweise ermöglicht es den Beteiligten, eine Risikoeinschätzung und daraus resultierende Risikobehandlungsmaßnahmen zu treffen, die nicht nur auf einer einzelnen Betrachtung (intern oder extern) beruhen, sondern eine Abwägung vornehmen und das richtige Maß bei einer Entscheidung zur Behandlung der Datenschutzrisiken erkennen.
Die Binnenperspektive eines internen Auditors ist meist zu sehr auf das eigene Geschäftsmodell des Unternehmens fokussiert und betrachtet die Anforderungen aus einem einseitigen Blickwinkel. Der externe Auditor bringt branchenübergreifende Erfahrungen aus zahlreichen Audits mit und kann dabei auch ein Benchmarking mit in die Auditierung einbringen.
Die Binnenperspektive eines internen Auditors ist meist zu sehr auf das eigene Geschäftsmodell des Unternehmens fokussiert und betrachtet die Anforderungen aus einem einseitigen Blickwinkel. Der externe Auditor bringt branchenübergreifende Erfahrungen aus zahlreichen Audits mit und kann dabei auch ein Benchmarking mit in die Auditierung einbringen.
Umfang und Inhalt eines Datenschutzaudits sollten sich zuvorderst an den Datenschutzrisiken orientieren, zumal die DSGVO auf einem risikobasierten Ansatz beruht.
Dies setzt jedoch voraus, dass im Unternehmen bereits ein definierter und dokumentierter Prozess für Datenschutzrisiken implementiert wurde und gelebt wird. Dies umfasst die Identifizierung von Datenschutzrisiken, eine Methodik der Bewertung von Datenschutzrisiken und einen definierten Maßnahmenkatalog zur Risikobehandlung, etwa regelmäßige Audits, Pentesting und andere Prüfungen, um beispielsweise die Einhaltung der Anforderungen aus Art. 32 DSGVO und ErwGr 83 sowie aus Art. 25 Abs. 1 und 2 DSGVO zu prüfen und nachzuweisen (Art. 24 DSGVO). Ferner umfassen die Maßnahmen zur Risikobehandlung auch Prozesse zu Art. 33 und 34 DSGVO, Prozesse zur Modifikation (Risiko tragen -> Managemententscheidung), Reduktion (zum Beispiel technische und organisatorische Maßnahmen der Datensicherheit (TOM) nach Stand der Technik), Übertragung (richtiger Risikoeigner) oder Vermeidung (keine Daten erheben oder Daten anonymisieren) sowie eine etablierte Risikokommunikation und -konsultation zwischen den einzelnen Stakeholdern im Unternehmen.
Der risikobasierte Ansatz der DSGVO stellt folgende Anforderungen an den Verantwortlichen und damit an die jeweiligen Fachabteilungen als Risk Owners im operativen Datenschutzmanagement des Unternehmens:
- Sie müssen die Risiken, die sich aus der jeweiligen Verarbeitungstätigkeit für Betroffene und das Unternehmen ergeben, anhand objektiver Kriterien beurteilen können.
- Sie müssen die Risiken, die mit einer Verarbeitung verbunden sind, systematisch identifizieren können.
- Sie müssen eine Risikoanalyse hinsichtlich der Eintrittswahrscheinlichkeit und Schwere der Folgen vornehmen können.
- Außerdem müssen sie in der Lage sein, eine qualitative Risikoklassifikation (Risiko oder hohes Risiko) vorzunehmen, um am Ende dem Management eine geeignete Risikobehandlung als Entscheidungsvorlage vorzuschlagen.
Ihr Ansprechpartner
Fazit
Soweit diese Datenschutzrisikoanalyse zu den wesentlichen betrieblichen Datenschutzrisiken (noch) nicht implementiert oder durchgeführt wurde, empfiehlt sich deren Durchführung. Das kann auch ein externer Datenschutzauditor übernehmen, was eine objektive Bewertung der Datenschutzrisiken und adäquate Risikobehandlungsmaßnahmen ermöglicht.
Sowohl ein externes Datenschutzaudit als auch eine Analyse der Datenschutzrisiken unterstützen den für die Datenverarbeitung Verantwortlichen durch Dokumentation dabei, seine datenschutzrechtliche Rechenschaftspflicht zu erfüllen und die datenschutzrechtlich verpflichtenden Anforderungen bei seinen Datenschutzmanagementaufgaben umzusetzen.
Co-Autor: Dr. Christian Oliver Dressel