Datenschutzaudit – Wieso, Weshalb, Warum?

In der kommenden Blogreihe „Datenschutzaudit – Wieso, Weshalb, Warum?“ beschäftigen wir uns näher mit dem Datenschutzaudit.

In unserem ersten Beitrag der kleinen Reihe untersuchen wir zunächst die rechtlichen Grundlagen und skizzieren die Durchführung eines Datenschutzaudits.

Im zweiten Blogbeitrag „Muss ich ein Datenschutzaudit durchführen?“ untersuchen wir den Sinn und Zweck eines Datenschutzaudits und das Bestehen möglicher (mittelbarer) Verpflichtungen zur Durchführung eines Datenschutzaudits.

Im dritten Teil der Blogreihe „Unterschiede und Gemeinsamkeiten: Datenschutzaudit vs. DSGVO-Zertifikat“ wird die „DSGVO-Zertifizierung“ näher betrachtet, indem Unterschiede und Gemeinsamkeiten aufgezeigt und anschließend Resümee gezogen.

Abschließend wird im letzten Blogbeitrag der DIGITALE EURO aus datenschutzrechtlicher Sicht betrachtet und pilotmäßig ein Datenschutzaudit in Grundzügen skizziert.

Beginnen wir mit der Frage:

Was ist überhaupt ein Datenschutzaudit?

1. Rechtliche Grundlagen

Weder die Datenschutz-Grundverordnung (DSGVO) noch das Bundesdatenschutzgesetz (BDSG) n. F. treffen Regelungen oder definieren das sog. Datenschutzaudit. In § 9a BDSG a. F. (in der Fassung der Bekanntmachung vom 14.01.2003) heißt es jedoch: „Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen“.

Ein Datenschutzaudit lässt sich somit grob in zwei Teile gliedern: Prüfung und Bewertung. Oder anders ausgedrückt: Der Ist-Zustand wird mit dem zuvor definierten Soll-Zustand abgeglichen (Prüfung) und die Übereinstimmung (Konformität) oder Abweichungen (Nichtkonformität) festgestellt (Bewertung). Die Anforderungen des Soll-Zustandes ergeben sich aus den gesetzlichen Vorgaben der DSGVO inklusive nationaler Datenschutzverschriften.

Da Datenschutzaudits gesetzlich nicht weiter normiert sind, wird in der Praxis auf allgemeine Regelungen und Standards, wie der ISO 19011, eine internationale Norm, die unter anderem eine Anleitung für die Durchführung interner oder externer Audits von Qualitätsmanagement- und/oder Umweltmanagementsystemenist (vgl. EN ISO 19011:2002 (D/E), S. 6), zur Durchführung eines Datenschutzaudits, zurückgegriffen.

Erfolgt die Auditierung durch unabhängige und zugelassene Gutachter, handelt es sich in der Regel um ein „externes Audit“, auch „Zweit-“ oder „Drittparteien-Audit“ genannt. Zweitparteien-Audits werden z. B. von Kunden der zu auditierenden Organisation durchgeführt, also von Parteien, die ein Interesse an der Organisation haben. Drittparteien-Audits werden hingegen von externen unabhängigen Organisationen durchgeführt, üblicherweise für die zu prüfende Norm zugelassene Zertifizierungsstellen (vgl. EN ISO 19011:2002 (D/E), S. 8). Dass der Grad an Objektivität bei Letzteren höher ist, ergibt sich aus der Natur der Sache.

2. Ablauf eines Datenschutzaudits

Angelehnt an den Standard der ISO 19011 ist ein Audit klassischerweise wie folgt aufgebaut: Voraudit und Site Visit.

Voraudit

Zunächst wird in einem Voraudit der exakte Geltungsbereich abgestimmt, nämlich welcher konkrete Datenverarbeitungsvorgang auditiert werden soll (der sogenannte Scope). Dazu werden zunächst Informationen zum Geltungsbereich abgefragt, wie die exakte Bezeichnung des Verarbeitungsvorgangs, die verwendeten Datenarten und die relevanten Standorte. Im Rahmen dessen findet bereits eine Dokumentenprüfung statt.

Site Visit

Beim Site Visit findet die Auditierung statt. Dabei wird der Scope (IST-Zustand) auf die gesetzlichen Anforderungen der DSGVO (Soll-Zustand) auf Konformität hin überprüft. Die Ergebnisse der Evaluierung hinsichtlich der Konformität bzw. Nichtkonformität (Auditfeststellungen) werden in Form eines Berichts dokumentiert (Auditreport).

Inhaltlich orientiert sich das Audit an den Anforderungen der DSGVO, so dass üblicherweise die folgenden Themenbereiche vom Datenschutzaudit umfasst sind:

Zulässigkeit der Datenverarbeitung
Verantwortung des Verantwortlichen
Aspekte der Auftragsverarbeitung, sofern anwendbar
technisch-organisatorische Maßnahmen
Datenschutz-Management
Datenverarbeitung im EU-Drittland
Umsetzung von Betroffenenrechten
Privacy by design / privacy by default oder auch Förderung des Datenschutzes

Dabei können folgende Auditfeststellungen getroffen werden: 1. Anforderung erfüllt (Konformität), 2. Anforderung erfüllt, aber es besteht Verbesserungspotenzial (teilweise Konformität) oder 3. Anforderung ist nicht erfüllt (Abweichung/Nichtkonformität).

Wurden Empfehlungen für Verbesserungen getroffen, kann die Umsetzung der Maßnahmen in einem Nachfolgeaudit verifiziert werden. Diese Qualitätssicherung erhöht das Datenschutzniveau insgesamt.

Im nächsten Blogbeitrag werden wir uns mit Sinn und Zweck eines Datenschutzaudits beschäftigen und untersuchen, ob eine Verpflichtung zur Durchführung eines Datenschutzaudits besteht.

Stefanie Bedürftig | 9. August 2022 | Allgemein | Blogreihe, Datenschutzaudit, DSGVO, Konformität, Site Visit, Voraudit