Anknüpfend an den ersten Blogbeitrag unserer Reihe „Datenschutzaudit – Wieso, Weshalb, Warum?“ soll heute die Frage beantwortet werden, inwiefern Datenschutzaudits verpflichtend sind.
1. Sinn und Zweck eines Datenschutzaudits
Ein Datenschutzaudit dient der Überprüfung und Dokumentation von Verarbeitungsvorgängen hinsichtlich der Einhaltung der Anforderungen der DSGVO – sowohl in der Rolle eines Verantwortlichen als auch eines Auftragsverarbeiters. Allerdings OHNE Erteilung eines Zertifikats – im Gegensatz zu sog. „DSGVO-Zertifikaten“. Jedoch können Datenschutzaudits zur Vorbereitung einer Konformitätsprüfung im Rahmen eines „DSGVO-Zertifikats“ nach Art. 42 DSGVO dienen (näheres zum „DSGVO-Zertifikat“ im dritten Teil der Blogreihe). Interessanterweise entwickelte die Bundesregierung 2009 einen Gesetzentwurf zur Regelung des Datenschutzaudits (Drucksache 16/12011 v. 18. 02. 2009), in dem ein freiwilliges, gesetzlich geregeltes Datenschutzaudit mit der Vergabe eines Datenschutzauditsiegels zur Förderung des Datenschutzes und der Wirtschaft verbunden werden sollte. Das Gesetzesvorhaben scheiterte jedoch.
Zurück zur DSGVO, diese verpflichtet Verantwortliche und Auftragsverarbeiter für die Einhaltung bzw. Umsetzung verschiedener Maßnahmen. So sind z. B. Verantwortliche gemäß Art. 32 Abs. 1 DSGVO verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Umsetzung der Maßnahmen muss der Verantwortliche gemäß Art. 24 Abs. 1 S. 1 DSGVO umsetzen und nachweisen können.
Fraglich ist, in wieweit für Verantwortliche im Rahmen der Nachweispflichten eine Verpflichtung zur Durchführung eines Datenschutzaudits besteht. „Verantwortlicher“ ist gemäß Art. 4 Nr. 7 DSGVO in der Regel die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wie bereits festgestellt, enthält die DSGVO keine Regelungen zu Audits.
2. Verpflichtung zur Durchführung eines Datenschutzaudits
Anhaltspunkte, ob der Verantwortliche z. B. im Rahmen seiner Rechenschaftspflicht zur Durchführung eines Datenschutzaudits verpflichtet sein könnte, liefert Art. 5 DSGVO: Gemäß Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der Grundsätze „Rechtmäßigkeit“, „Verarbeitung nach Treu und Glauben“, „Transparenz“, „Zweckbindung“, „Datenminimierung“; „Richtigkeit“, „Speicherbegrenzung“ sowie „Integrität und Vertraulichkeit“ verantwortlich („Verantwortlichkeit“) und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Die Norm trifft keine Regelung, in welcher Form die Grundsätze der DSGVO nachzuweisen sind, sodass der Wortlaut der Norm gegen eine unmittelbare Verpflichtung, die sich aus der Norm ergibt, spricht.
Wie bereits erwähnt, verpflichtet Art. 24 Abs. 1 S. 1 DSGVO den Verantwortlichen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach Art. 24 Abs. 1 S. 2 DSGVO werden diese Maßnahmen erforderlichenfalls überprüft. Um die Erfüllung der Pflichten nachzuweisen, verweist Art. 24 Abs. 3 DSGVO u. a. auf genehmigte Zertifizierungsverfahren gemäß Artikel 42. Diese können im Rahmen der Nachweispflicht als ein Gesichtspunkt mit herangezogen werden. Auch hieraus ergibt sich zunächst einmal keine Verpflichtung für Verantwortliche in einer bestimmten Form die Umsetzung der Verpflichtung aus Art. 24 Abs. 1 DSGVO nachzuweisen. Vielmehr geht aus Art. 24 Abs. 3 DSGVO eine Wahlfreiheit hinsichtlich der Instrumente, die zur Nachweispflicht genutzt werden können, hervor. Der Sinn und Zweck des Art. 24 Abs. 3 DSGVO ist es, Instrumente zu schaffen, mit denen der Nachweisverpflichtung nachgekommen werden kann. Die Intention des Verordnungsgebers wird insbesondere durch die Formulierung des Art. 42 Abs.1 S. 1 deutlich:
„(…) Datenschutzsiegel[ ] und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.“
Im Ergebnis besteht keine Verpflichtung für Verantwortliche zur Durchführung eines Datenschutzaudits. Jedoch haben Datenschutzaudits eine enorme Bedeutung für die Praxis und bieten einen großen Mehrwert, denn ein dokumentiertes Audit unterstützt bei der Einhaltung der Rechenschafts- und Nachweispflicht. Insbesondere durch die Prüfung einer unabhängigen Stelle trägt ein Audit dazu bei, das Datenschutzniveau weiter zu verbessern, indem Verbesserungspotential identifiziert wird und im Folgeaudit die Umsetzung der empfohlenen Maßnahmen verifiziert werden. Datenschutz ist schließlich keine Eintagsfliege – die Anforderungen an technischen und organisatorischen Maßnahmen wächst durch die Entwicklung neuer Technologien stetig – sodass es einer regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen hinsichtlich des aktuellen Stands der Technik bedarf. Dies hat auch der Verordnungsgeber erkannt. In Art 32 Abs. 1 DSGVO heißt es:
„Unter Berücksichtigung des Stands der Technik (…) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (…)“.
Kurz zusammengefasst: „Muss ich ein Datenschutzaudit durchführen?“ – „Nein, aber es ist sinnvoll“ gerade im Hinblick drohender Geldbußen bei Verstößen gegen Grundsätze der Verarbeitung nach Art. 5 DSGVO kann die Aufsichtsbehörde gegenüber einem Unternehmen eine Geldbuße von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, vgl. Art. 83 Abs. 5 lit. a DSGVO.
Im nächsten Blogbeitrag widmen wir uns der „DSGVO-Zertifizierung“.