Datenschutz Audits (DSA)

Iberl Consulting & Training – DatenschutzConsulting, spezialisierte fachliche Expertise im Datenschutz für komplexe Vorgaben.

Datenschutz Audits (DSA)

Datenschutzaudits

Kernelemente des Managementsystems sind das bereits dargestellte Prinzip der kontinuierlichen Verbesserung (PDCA-Zyklus), aber auch die Gewährleistung eines für die betreffenden Produkte des Unternehmens definierten Niveaus. Der PDCA-Mechanismus verfolgt damit nicht in erster Linie den Zweck, das Niveau nach dem Maximalprinzip zu steigern, sondern er hat auch dort seinen Platz, wo es darum geht, noch nicht erreichte Ziele aller Art (Qualitäts-, Kosten-, Sicherheitsziele etc.) zu realisieren, Schwachstellen aufzuzeigen oder das erreichte Niveau zu sichern.

Da in der Praxis nicht immer alle Ziele vollständig erreicht sein werden, besteht i. d. R. ein Verbesserungsbedarf und damit auch Raum für die Anwendung des PDCA-Prinzips. Neben der Verbesserung verfolgt das Managementsystem aber auch den Zweck, ein unter der Kundensituation definiertes Niveau, das nicht das Maximum sein muss, zu gewährleisten. Diese Zielsetzung für das Managementsystem findet ihre Entsprechung auch in Art. 32 Abs. 1 DSGVO, dieser verlangt nicht ein Höchstmaß an technischen und organisatorischen Maßnahmen, sondern, nach dem Stand der Technik, dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessene Maßnahmen.

Was sind die rechtlichen Grundlagen zur Durchführung von Datenschutzaudits?

Gesellschaftsrecht, § 91 II, AktG, § 116 AktG, § 43 GmbHG

Verpflichtung des Vorstandes zur Einrichtung eines Überwachungssystems, das den Fortbestand von der Gesellschaft gefährdenden Entwicklungen früh erkennt (§ 91 Abs. 2 AktG)

DSGVO, Art. 5 Abs. 2 (Rechenschaftspflicht)

DSGVO, Art.24 Abs. 1 (Verantwortung des für die Verarbeitung Verantwortlichen) Grundlage zur Durchführung von Audits!

DSGVO, Art. 32 DSGVO (Sicherheit der Verarbeitung) 64 BDSG (Anforderungen an die Sicherheit der Datenverarbeitung)

Sabanes Oxley Act (SOX)

Basel III, PSD2 Dienstleister (Zugang zu persönlichen Bankdaten)

GoBD, Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

KonTraG, Erweiterung aus dem HGB und dem AktG (Risikomanagementsystem, Revision)

Bürgerliches Gesetzbuch, § 823 BGB (Schadensersatzpflicht)

IT-Sicherheitsgesetz, Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

BSIG, Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

Gesetze anderer Länder die aufgrund der Verarbeitung einzuhalten sind, sowie betriebsinterne Vereinbarungen und Richtlinien, Betriebsvereinbarungen, Tarifverträge, Kollektiv-Vereinbarung

In Vertragswerken bestehende Datenschutzregelungen / Richtlinien

genehmigte Verhaltensregeln, zur Förderung der Durchführung datenschutzrechtlicher Regelungen“ nach Artikel 40 EU-DSGVO

genehmigte Verhaltensregeln, zur Förderung der Durchführung datenschutzrechtlicher Regelungen“ nach Artikel 40 EU-DSGVO

Prüfstandards des Instituts der Wirtschaftsprüfer in Deutschland (IDW)

IDW PS 330 Einsatz von Informationstechnologie

IDW PS 340 Prüfung von Risikomanagement- und Compliance-Management-Systemen

IDW PS 951: Prüfung von Dienstleistern bei Outsourcing und Cloud Computing

IDW PH 9.860.1 Prüfungshinweis für die Prüfung von Datenschutzorganisationen

Sonstige rechtliche Bestimmungen für den verantwortlichen!

Ziel eines Audits

Mit dem Audit kann damit ein doppelter Zweck verfolgt werden, nämlich einerseits Schwachstellen, Verbesserungspotenziale und Handlungsbedarf aufzuzeigen, wo die Ziele noch nicht erreicht sind, und andererseits die Konformität der Verfahren mit den definierten Anforderungen nach außen zu bescheinigen. Da sich aufgrund des technischen Wandels die technischen und organisatorischen Anforderungen im Zeitablauf ändern oder neue Schwachstellen entstehen können, sind regelmäßige Überwachungsaudits sinnvoll, um die Angemessenheit der technischen und organisatorischen Maßnahmen laufend zu überprüfen und Handlungsbedarf rechtzeitig zu erkennen.

Auch im rechtlichen Bereich ändern sich die Anforderungen immer wieder, sei es durch Gesetzesänderungen oder durch die höchstrichterliche Rechtsprechung, sodass auch hier, obwohl die Gesetzeskonformität als Standard zu jeder Zeit gefordert ist, Überwachungsaudits angebracht sein können.

Datenschutzaudits können insbesondere auch für Dienstleistungsunternehmen, die im Wege der Datenverarbeitung im Auftrag Kundendaten verarbeiten, sinnvoll sein. Dies insbesondere dann, wenn die Daten sehr sensibel sind, z. B. Personaldaten des Auftraggebers. In diesen Fällen steht häufig nicht eine generelle und pauschale Übererfüllung von gesetzlichen Anforderungen im Fokus, sondern die Erfüllung von konkreten Kundenanforderungen. Es kann aber auch, eventuell anders als bei einer Datenverarbeitung für eigene Zwecke, die Bescheinigung der datenschutzrechtlichen Konformität und deren regelmäßige Erneuerung durch Überwachungsaudits von Nutzen sein, weil Kunden eine regelmäßige Auditierung und aktuelle Zertifizierung verlangen.

Soll ein externes Audit durchgeführt werden, empfiehlt sich, abgesehen von einer ohnehin erforderlichen Vorbereitung und Planung, auch eine Klärung der Rolle des internen Datenschutzbeauftragten. Folgende Fragen sind dabei insbesondere zu klären:

Rolle des externen Auditors gegenüber dem Datenschutzbeauftragten

Der Datenschutzbeauftragte ist gegenüber der Geschäftsleitung weisungsfrei und der externe Auditor hat im Unternehmen keinerlei Befugnisse im Bereich des Datenschutzes. Anordnungsbefugnisse stehen nur der Aufsichtsbehörde für den Datenschutz zu. Feststellungen des Auditors münden in aller Regel entweder in Empfehlungen oder in Abweichungen, die im Auditbericht festgestellt werden. Der Auditbericht richtet sich an die Geschäftsleitung und besitzt für den Datenschutzbeauftragten keine unmittelbare Verbindlichkeit. Erst im Zusammenhang mit der Erledigung der Empfehlungen und Abweichungen werden die Feststellungen des Auditors von der Geschäftsleitung an den Datenschutzbeauftragten herangetragen. Der Datenschutzbeauftragte hat im Audit für den Auditor die Rolle einer sachverständigen Ansprechstelle. In dieser Funktion steht er neben den übrigen Stellen im Unternehmen dem Auditor für alle Fragen zur Verfügung. Der Auditor hat gegenüber dem Datenschutzbeauftragten keinerlei Befugnisse, kann aber Empfehlungen geben.

Beteiligung des Datenschutzbeauftragten bei der Durchführung des Audits

Für die Durchführung der datenschutzrelevanten Teile des Audits sollte die Rolle und die Beteiligung des Datenschutzbeauftragten geklärt und mit dem externen Auditor abgestimmt werden.

Art und Ziele des Audits

Die datenschutzrelevanten Ziele des Audits sollten zwischen den Beteiligten und der Geschäftsleitung abgestimmt werden.

Festzulegen ist der Auditgegenstand, z. B. System-, Produkt- oder Prozessaudit. Je nach Art des Audits sind die Gegenstände der Prüfung sehr unterschiedlich. So wird beim Prozessaudit auf den jeweiligen operativen Prozess bezogen das Vorhandensein und die Vollständigkeit der datenschutzrechtlichen Regelungen und Verfahrensanweisungen, die Erfüllung bzw. Beachtung der gesetzlichen Anforderungen, z. B. von Informations- und Einwilligungspflichtenbei der Datenerhebung, bei der Verarbeitung, Nutzung und Übermittlung von Daten, die Erfüllung der Rechte der Betroffenen auf Auskunft, Berichtigung und Löschung, von Benachrichtigungspflichten oder bei einer Datenverarbeitung im Auftrag die Erfüllung der vertraglichen Anforderungen geprüft. Es wird jedoch nicht nur geprüft, ob die erforderlichen Regelungen vorhanden sind, sondern genauso wichtig ist die Prüfung, ob diese Regelungen auch beachtet, gelebt und eingehalten werden und auch, ob die Beachtung der Regelungen nachvollziehbar belegt ist und nachgewiesen werden kann. Geprüft wird auch, ob im Prozess datenschutzrelevante Änderungen eingetreten oder beabsichtigt sind.

Beim Systemaudit wird das Datenschutzsystem als Ganzes einschließlich der gesamten Organisation des Datenschutzes betrachtet. Dazu gehören die organisatorische Einbindung des Datenschutzes in das Managementsystem, die Vollständigkeit und Aktualität der Datenschutzdokumentation, die Art und Weise sowie die Erledigung der laufenden Datenschutzprüfungen und der Umsetzung der Ergebnisse der Prüfungen. Produktaudits richten sich beim Verfahrens- und Systementwickler auf die Erfüllung der datenschutzrechtlichen Anforderungen und die sicherheitstechnischen Eigenschaften des Produkts, z. B. auf die Umsetzung von Privacy by Design und auf technische Kriterien zum Datenschutz und zur Datensicherheit, wie Möglichkeiten der Anonymisierung und Pseudonymisierung, z. B. bei Übermittlungen, Nutzungen und Auswertungen etc.

Beim Anwender kann sich ein Audit auf die Art und Weise der Implementierung eines Systems, z. B. eines Personalmanagement- oder ERP-Systems, und auf die Berücksichtigung der anwendungsindividuellen Datenschutz- und Datensicherheitskriterien wie Privacy by Default richten.

Bei Auftragsdatenverarbeitern kann schließlich, meist in Form eines Prozessaudits, die Abwicklung von Kundenaufträgen und Auftragsdatenverarbeitungen überprüft werden. Hier geht es einerseits um Vorhandensein, Eignung und Angemessenheit der allgemeinen technischen und organisatorischen Maßnahmen und andererseits um die Gewährleistung der Einhaltung von auftragsindividuellen Maßnahmen und Kontrollen, die eine auftragsgemäße Abwicklung der Kundenaufträge sicherstellen.

Wurde nach einem externen Audit ein Zertifikat erstellt, schmälert dies natürlich nicht die Prüfbefugnisse und den Prüfumfang der Aufsichtsbehörden für den Datenschutz. Allerdings kann sich ein Zertifikat gem. Art. 83 Abs. 2 DSGVO bei Einhaltung eines genehmigten Zertifizierungsverfahrens bei Verhängung eines Bußgeldes bußgeldmindernd auswirken. Gegenüber Kunden sind Zertifikate insbesondere bei Auftragsdatenverarbeitern ein geeignetes Instrument zum Nachweis hinreichender Garantien i. S. v. Art. 28 Abs. 1 DSGVO und der Erfüllung der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO.

Durchführung des Audits

Der Auditor benutzt i. d. R. einen Prüfkatalog, dessen Inhalt und Fragen sich nach dem Gegenstand des Audits richten. Grundsätzlich gibt der Prüfkatalog die gesetzlichen und sonstigen Datenschutzanforderungen wieder. Der Auditor wird sich zuerst die Datenschutzdokumente und die sonstigen Regelungen zum Datenschutz wie Datenschutzhandbuch und die Dokumentation zu den technischen und organisatorischen Maßnahmen, IT-Sicherheitsrichtlinien etc. sowie relevante allgemeine Unterlagen zur Unternehmensorganisation vorlegen lassen. Anhand dieser Beleg- und Nachweisdokumente prüft der Auditor schon im Vorfeld des eigentlichen Audits, (vorauditierung der Unterlagen) ob aktuelle, ausreichende, angemessene und gesetzeskonforme Regelungen vorhanden sind. Können hier nur unvollständige oder nicht aktuelle Dokumentationen vorgelegt werden, wird der Auditor in aller Regel eine Abweichung feststellen. Bei groben Mängeln kann das Audit überhaupt infrage gestellt sein. Für den Erfolg eines externen Audits ist es deshalb von besonderer Wichtigkeit, dass der Datenschutzbeauftragte eine rechts- und systemkonforme und durch regelmäßige interne Audits aktuell gehaltene Dokumentation vorlegen kann.

Nach dieser Dokumentenprüfung wird die eigentliche Prüfung i. d. R. vor Ort durchgeführt werden. Hauptansprechpartner wird dabei der betriebliche Datenschutzbeauftragte sein. Die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO verlangt aber nicht nur die Existenz und Aktualität der erforderlichen Dokumente, sondern auch den Nachweis der Wirksamkeit dieser Regelungen. Der Auditor erwartet deshalb nicht nur im Rahmen von regelmäßigen Datenschutzprüfungen oder internen Audits ausreichende und aussagefähige Prüfungen der Befolgung und der tatsächlichen Wirksamkeit dieser Regelungen, z. B. durch Prüfung der Einhaltung an den einzelnen Arbeitsplätzen, sondern auch ein funktionierendes Datenschutzmanagement, das regelmäßige interne Prüfungen sicherstellt. Darüber hinaus wird sich der Auditor durch eigene Prüfungen von der Einhaltung der Regelungen überzeugen.

Interne Audits bzw. Datenschutzprüfungen

Interne Audits unterliegen z. T. anderen Beweggründen. Während beim externen Audit die Außenwirkung eine wesentliche Motivation bildet, steht beim internen Audit die laufende interne Überprüfung der Prozessfähigkeit und des Managementsystems sowie die Vollständigkeit und die Aktualität der Datenschutzdokumentation im Vordergrund, um rechtzeitig Verbesserungs- und Anpassungsmaßnahmen einleiten zu können. Darüber hinaus ist die laufende Durchführung von internen Audits eine Voraussetzung für eine externe Auditierung, denn Voraussetzung für ein externes Zertifikat ist der Nachweis, dass die Regelungen und Maßnahmen sowie deren Einhaltung und Wirksamkeit durch interne Kontrollen laufend überprüft und aufrechterhalten werden.

Innerhalb der DSGVO gewinnen interne Audits bzw. Datenschutzprüfungen im Hinblick auf die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO und die Prüf- und Aktualisierungspflicht des Art. 24 Abs. 1 Satz 2 DSGVO ein zunehmendes Gewicht. Es genügt nicht mehr, nur das Vorhandensein, die Vollständigkeit und Aktualität von datenschutzrechtlichen Regelungen zu überprüfen, sondern es muss laufend deren Einhaltung und Wirksamkeit überprüft und nachgewiesen und auch die Überprüfung selbst nachgewiesen werden. Dieser Nachweis geschieht durch Prüf- bzw. Auditprotokolle und Berichte. Der Datenschutzbeauftragte bzw. der Auditor muss sich z. B. durch Prüfungen der Arbeitsabläufe an den einzelnen Arbeitsplätzen oder Verifizierung von Ablaufbelegen etc. von der Einhaltung und der Wirksamkeit der Regelungen und Maßnahmen überzeugen. Bei Auftragsdatenverarbeitern gehört dazu auch die Prüfung der Abwicklung von Kundenaufträgen und Auftragsdatenverarbeitungen um die Einhaltung von auftragsindividuellen Maßnahmen und Kontrollen, die eine auftragsgemäße Abwicklung der Kundenaufträge sicherstellen.

Grundsätzlich gelten die Ausführungen über die Vorbereitung und Durchführung der externen Audits auch für interne Audits. Hier rückt aber wegen der Vernetzung des Datenschutzes mit Revision und QM-Beauftragten die Zusammenarbeit der beteiligten Stellen im Unternehmen noch deutlicher in den Vordergrund. Insbesondere für interne Audits können nach Bedarf Schwerpunkte gesetzt werden. So kann z. B. im Rahmen eines Systemaudits der Stand der Integration des Datenschutzes in das Managementsystem geprüft oder ein Verfahrensaudit unter das Vorzeichen von Datenschutz-, Ordnungsmäßigkeits- und Sicherheitsfragen gestellt werden.

Prüf- und Auditplan

Für die Erfüllung der Rechenschafts- und Nachweispflichten nach den Vorschriften der DSGVO auch auf allen Ebenen der Datenschutzarbeit, sei es bei der organisatorischen Gestaltung, also auf der Managementebene, oder der praktischen Umsetzung eine systematische und methodische Vorgehensweise erforderlich. Dazu gehört auch eine sorgfältige Planung der internen Datenschutzprüfungen bzw. der Datenschutzaudits. Je nach Größe des Unternehmens, der Komplexität der organisatorischen Verhältnisse, der Gestaltung des Managementsystems und der datenschutzrechtlichen Anforderungen gestalten sich auch die Art und der Umfang der datenschutzrechtlichen Prüfungen und Audits und damit auch der Anspruch an die Planung der Prüfungen.

Dies betrifft sowohl die Zeitplanung als auch die Planung der Inhalte und der Ziele der Prüfungen und der Abstimmung mit sonstigen Prüfungen und Audits im Unternehmen. Der Planungszeitraum sollte ein Jahr umfassen und sowohl die Arten der Prüfungen als auch deren Ziele und Gegenstände konkretisieren. Ist im Unternehmen ein QM-System nach ISO 9001 eingerichtet, sollten die Prüfungen und Audits sowohl hinsichtlich der Terminierung als auch der Gegenstände mit dem QM-Verantwortlichen abgestimmt werden. Auch Anforderungen von externen Stellen, z. B. im Zusammenhang mit externen Audits und Prüfungen, müssen berücksichtigt werden, weil die Funktionsfähigkeit und die Wirksamkeit des internen Auditwesens auch bei externen Audits gewürdigt werden. Art. 35 Abs. 1 DSGVO verlangt eine Überprüfung, ob die Verarbeitung gemäß der Datenschutzfolgenabschätzung durchgeführt wird. Soweit Datenverarbeitungsverfahren betrieben werden, die einer Datenschutzfolgenabschätzung unterliegen und eine solche durchgeführt worden ist, muss die regelmäßige Prüfung, ob die Verfahren entsprechend den Auflagen aus der Datenschutzfolgenabschätzung betrieben werden, in die Auditplanung einbezogen werden.

An zentraler Stelle steht die laufende Überprüfung der Aktualität des Verzeichnisses von Verarbeitungstätigkeiten. Dabei ist auch zu prüfen, ob hinsichtlich der Risiken für die Rechte und Freiheiten der betroffenen Personen oder der Datenschutzziele i. S. v. Art. 32 DSGVO Änderungen eingetreten sind, die eventuell eine Nachjustierung der technischen und organisatorischen Maßnahmen erfordern.

Die technischen und organisatorischen Maßnahmen müssen dem Stand der Technik entsprechen. Auch dieser Stand der Technik ist laufenden Änderungen und Entwicklungen unterworfen. Die einmal eingerichteten technischen und organisatorischen Maßnahmen und Verfahrensweisen sind, auch wenn sie zum Einrichtungszeitpunkt ausreichend und angemessen waren, nicht für die Ewigkeit bestimmt. Es ist deshalb zu prüfen, ob die eingerichteten technischen und organisatorischen Maßnahmen noch diesem Stand der Technik entsprechen oder der Entwicklung angepasst werden müssen. So können z. B. Verschlüsselungs- oder Löschverfahren an Sicherheit verlieren und müssen ggf. durch neue und sicherere Verfahren ersetzt werden. Für die sonstigen Audits und Datenschutzprüfungen gelten die Grundsätze zu den entsprechenden externen Audits.

Sie benötigen ein Datenschutz Audit? Dann nehmen Sie bitte mit mir Kontakt auf!