Auditoren sind schon ein besonderer Schlag Menschen. Ich muss es wissen, denn ich bin selber Auditorin – für Datenschutz. Unsere Tätigkeit ist – vorweihnachtlich gesprochen – vergleichbar mit der des Nikolaus: Brave Unternehmen bekommen eine Belobigung, unartige werden getadelt. Insofern sind Auditoren oft gefürchtet, decken sie doch z. B. in den Tiefen des Datenschutzmanagements oder der Informationssicherheit Lücken auf, an die man gar nicht mehr gedacht hatte. Auditoren schauen genau hin: Ist das Verfahrensverzeichnis aktuell? Sind die Türchen korrekt verschlossen? Sind keine Daten verlorengegangen? War man (datenschutzrechtlich gesehen) lieb zu den Kunden? Ist der Schreibtisch aufgeräumt („Clean Desk“)?
In einigen, wenigen Fällen sind Auditoren hingegen sehr beliebt. Hier gibt es zwei Fallgruppen:
- Erste Gruppe: Das Unternehmen ist makellos und setzt den Datenschutz einwandfrei um (ho-ho-ho, ein frommer Wunsch). Manchmal gibt es dann sogar Geschenke: Ein Gütesiegel oder ein Datenschutzzertifikat und das Unternehmen kann damit glänzen.
- Zweite Gruppe: Die IT oder auch das Datenschutzmanagement ist absolut unterbesetzt und die Leitung zu knausrig für neue Maßnahmen oder neues Equipment. Feststellungen des Auditors, dass z. B. notwendige Vertretungsregelungen mangels Personal nicht eingehalten werden können oder dass IT-Systeme hoffnungslos veraltet sind, werden dann gerne genommen, um beim Chef vorstellig zu werden, während man die schlechte Botschaft auf die Auditoren schieben kann. Immerhin ist eine negative Feststellung im Audit („Abweichung“ oder „Non-Conformity“) ja auch immer ein Compliance-Thema. Und wenn Knecht Ruprecht bei Datenpannen seine Rute auspackt, wirds ungemütlich.
Datenschutzaudits erfreuen sich zunehmender Beliebtheit, wohl auch deswegen, weil die DSGVO sie mal mehr, mal weniger direkt erwähnt. So müssen bspw. Unternehmen über die Einhaltung des Datenschutzes Rechenschaft ablegen gemäß Art. 5 Abs. 2 DSGVO. Auditoren können dies untersuchen, bescheinigen oder auch Verbesserungspotential aufzeigen. In Art. 32 Abs. 1 lit. d DSGVO wird davon gesprochen, „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung“ zu etablieren. Als Krönung sieht Art. 42 DSGVO eine Zertifizierung der Datenverarbeitung vor – sofern diese zuvor einer ausführlichen Prüfung durch Auditoren (hier: „Evaluatoren“) standhalten konnte. Der Clou ist daran, dass der Gesetzgeber von „regelmäßig“ spricht. Viele Prüfungsnormen sehen z. B. jährliche Audits vor. Und so begibt es sich, dass Auditoren alle Jahre wieder ins Haus schneien.
Die Qualität eines Audits hängt dabei stark von der Fachkunde und Unabhängigkeit des Auditors oder der Prüfstelle ab. Sogenannte „interne“ Audits können bspw. von Datenschutzbeauftragten durchgeführt werden. Sie kontrollieren dann Vorgänge in der eigenen Organisation. Legt man Wert auf ein unabhängigeres Ergebnis, kommen externe Auditoren zum Einsatz. Dies ist immer dann sinnvoll, wenn das Auditergebnis auch außerhalb der Organisation eine Rolle spielt, z. B. für Stakeholder wie Kunden oder Aufsichtsbehörden. Typisches Einsatzgebiet sind Lieferantenaudits. Dabei wird – zumeist vor Ort oder über eine Dokumentenprüfung und in Interviews – geprüft, ob eingesetzte Dienstleister einer Auftragsverarbeitung sicher und datenschutzkonform arbeiten. Diese Kontrollen sind u. a. in Art. 28 DSGVO vorgesehen. Geht es um die Auditierung von Managementsystemen, ist eine Ausbildung des Auditors anhand der DIN EN ISO 19011 sinnvoll.
Als Auditorin mag ich insbesondere zwei Momente im Audit: Die überraschten Gesichter, wenn bereits während der Begrüßung eine Abweichung festgestellt wird – etwa, wenn die Besucherin nicht ordentlich am Empfang angemeldet und begleitet wurde (ja: die Zugangskontrolle gilt auch gegenüber Auditoren). Und zweitens die stolz glänzenden Augen, wenn denn doch mal alles gut gelaufen ist und keine Abweichungen gefunden wurden.