Das Datenschutzaudit: Bestandsaufnahme in Sachen Datenschutz

Unsere Datenschutzaudits helfen Ihrem Unternehmen bei der Bestandsaufnahme, Identifizierung und Prüfung von Schwachstellen in Ihren Datenschutz. Alle nötigen Korrekturmaßnahmen und Verbesserungen werden mit Ihnen zusammen in einem Maßnahmenkatalog erfasst und nach Prioritäten abgearbeitet. Ein externer, neutraler Blick hilft Ihnen Lücken in Ihren Datenschutzmaßnahmen zu finden, die im Arbeitsalltag oft übersehen werden. Hauptzweck dieser externen Datenschutzaudits durch Regio Datenschutz für Unternehmen in der Region Basel, Freiburg, Lörrach ist die Prüfung Ihrer Verfahren und Prozesse mit personenbezogenen Daten im Unternehmen. Dazu gehören auch personenbezogene Daten der Mitarbeiter. Ein Team von ein bis zwei Datenschutzauditoren wird die gelebten und dokumentierten Abläufe und Prozesse im Umgang mit personenbezogenen Daten durchgehen, um Stärken und Schwächen zu erkennen und Verbesserungspotenziale zu identifizieren. Werden im Verlauf des Datenschutzaudits datenschutzrechtliche Risiken in Systemen oder Prozessen identifiziert, folgt eine Nennung und Bewertung der Risiken. Danach erarbeiten wir für Sie mit Hilfe einer Risikoanalyse Empfehlungen für geeignete Maßnahmen zur Risikobeseitigung oder Minimierung des Risikos im Umgang mit Daten in Ihrem Unternehmen. In der Regel wird ein Datenschutzaudit „vor Ort“ in Form von Interviews, Präsentationen und/oder Begehungen durchgeführt. Wir überprüfen unter anderem die Einhaltung des Bundesdatenschutzgesetz (BDSG) sowie die Datensicherheit personenbezogener Daten.

Das Datenschutzaudit gliedert sich grob in folgende drei Teile:

  • Die Eröffnung des Audits mit Vorstellung der Teilnehmer und der Auditoren sowie mit Festlegung des betrachteten Auditumfangs
  • Das eigentliche Audit, in der Regel immer auch mit einer Begehung vor Ort
  • Die Auditnachbesprechung mit der Klärung evtl. offen gebliebener Fragen

Wie wird ein Datenschutzaudit im Unternehmen möglichst effektiv geplant und durchgeführt?

  • 1. Vorbereitung

    Vor der eigentlichen Planung eines Datenschutzaudits erfolgt eine Vorbesprechung mit der Unternehmensleitung zwecks Festlegung des Audittyps und Auditumfangs. Danach wird Regio Datenschutz den individuellen Auditplan und eine Liste der zu prüfenden Systeme „nach Wichtigkeit und Dringlichkeit“ erstellen und Ihnen vor Beginn des Datenschutzaudits zur Verfügung stellen. Berücksichtigt werden auch Ihre konkreten Themenwünsche, und – falls vorhanden – Ideen oder Vorschläge der betrieblichen Datenschutzorganisation oder den Interessenvertretungen des Unternehmens.

  • 2. Durchführung

    Im Rahmen des Datenschutzaudits werden die betreffenden Systeme und Prozesse direkt bei Ihnen vor Ort im Unternehmen betrachtet, mit denen personenbezogene Daten (von Mitarbeitern, Kunden usw.) verarbeitet werden.  Als zeitlicher Umfang eines Datenschutzaudits sind meist ein bis drei Tage angesetzt, je nach Umfang und Typ des Datenschutzaudits.

  • 3. Nachbereitung und Umsetzung

    Die Ergebnisse des Datenschutzaudits werden in einem Auditbericht dokumentiert und Ihnen zur Verfügung gestellt. Darin enthalten sind Angaben zu Datum und Teilnehmern, zum Auditgegenstand und zusätzliche formale Angaben. Wichtigster Bestandteil des Berichts sind die im Audit getroffenen Feststellungen, die den jeweiligen Sachverhalt in Ihrem Unternehmen zum Zeitpunkt des Datenschutzaudits wiedergeben. Die im Auditbericht vorgeschlagenen Maßnahmen zum Umgang mit Daten werden auf Ihrem Wunsch in einem Maßnahmenkatalog detailliert beschrieben und von unseren Experten mit Ihnen zusammen kompetent umgesetzt

Warum finden Datenschutzaudits statt?

Datenschutzaudits sind ein wichtiges Element eines wirksamen Datenschutz-Managementsystems und tragen maßgeblich dazu bei, das Datenschutzniveau in Ihrem Unternehmen bzw. in Ihren Unternehmensbereichen nachhaltig zu verbessern. Sie sind eine wichtige Maßnahme, um die Anforderungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) zu erfüllen. Audits sind bei Unternehmen mit Betriebsrat als zentrales Element im § 23 der Betriebsvereinbarung Beschäftigtendatenschutz (KBV BDS) festgeschrieben. Schließlich sollten Datenschutzaudits auch in Ihren Unternehmensleitlinien zum Datenschutz erwähnt werden.  Außerdem soll möglicher Schaden von Ihrem Unternehmen abgewendet werden. Denn: Datenschutzverstöße können gemäß DSGVO Art. 82 zu Geldbußen, Schadensersatzforderungen und Informationspflichten mit der entsprechenden negativen Öffentlichkeitswirksamkeit führen.

Welche Kompetenzen sind für ein Datenschutzaudit wichtig?

Um die verschiedenen Belange einer Auditierung gerecht zu werden, müssen die Auditoren von Regio Datenschutz über spezifisches Fachwissen verfügen. Üblicherweise werden deshalb nur Auditoren mit zertifiziertem Fachwissen (Datenschutzbeauftragte, Datenschutzauditoren) oder IT Experten mit entsprechender Fachausbildung eingesetzt.  Sind wesentliche datenschutzrelevante Prozesse und Verantwortlichkeiten in Ihrem Unternehmen an Dritte (z.B. Auftragsverarbeiter, IT-Systemhäuser) ausgelagert wird gegebenenfalls ein Experte der Drittfirma beim Datenschutzaudit hinzugezogen.

Jetzt kostenloses Erstgespräch vereinbaren!

Sie haben Fragen zum Datenschutzaudit oder möchten einen Termin vereinbaren? Wir sind für Sie da!
Unsere Beratungsleistungen werden im Rahmen der Wirtschafts-und Mittelstandsförderung vom Bundesamt für Wirtschaft gefördert.