Die Datenschutz-Checkliste

Für die betriebliche Praxis – ohne Fachjargon

Datenschutzaudit

Was ist ein Datenschutzaudit, einfach erklärt?

Bei einem Datenschutzaudit handelt es sich um eine unabhängige Prüfung des Datenschutzes im Unternehmen. Jedes Unternehmen ist gesetzlich verpflichtet, einmal im Jahr ein Datenschutzaudit durchzuführen. Der Gesetzgeber beschränkt den Umfang des Audits auf die technischen und organisatorischen Maßnahmen. Dies ist ein wichtiger Punkt, da eine Prüfung dieser Maßnahmen durch Datenschutzbeauftragte oft nur auf dem Papier erfolgt oder durch die Kontrolle von Türknäufen und Postablagen vor Ort im Unternehmen, eine fachlich fundierte Prüfung der technischen Maßnahmen aber nicht vorgenommen wird. Die meisten Audits sind damit reine „paper compliance“ und ihr Geld nicht wert.

Ein gutes Datenschutzaudit beinhaltet einen genauen Blick auf die IT-Infrastruktur, eine Schutzbedarfsanalyse und deren Abgleich mit dem IT-Sicherheitskonzept. Ergänzt werden kann ein Datenschutzaudit durch einen Penetrationstest. Hierbei wird vom Dienstleister ein vorher vereinbarter Teil der IT-Infrastruktur des Unternehmens mit den wichtigsten Hacker-Techniken angegriffen, um zu ermitteln, ob die getroffenen Schutzmaßnahmen wirksam sind oder Verbesserungen vorgenommen werden müssen.

Verschiedene Arten von Datenschutzaudits

Es gibt keine feste Definition von Arten von Datenschutzaudits. Der Umfang kann beliebig festgelegt werden, je nach den Bedürfnissen des Unternehmens.

Bei jungen Unternehmen oder Unternehmen, die sich noch nicht mit dem Datenschutz befasst haben, führt man in der Regel ein Bestandsaufnahmeaudit durch. In solch einem Audit wird erst einmal ermittelt, welche Pflichten im Datenschutz ausgelöst werden und es wird eine Liste der schon vorhandenen Sicherheitsvorkehrungen aufgestellt, um daraufhin die notwendigsten weiteren Sicherheitsvorkehrungen empfehlen zu können.

Die gesetzlich vorgeschriebene Datenschutz-Folgenabschätzung stellt ein Produktaudit dar. Hierbei wird ein bestimmter Verarbeitungsvorgang wie etwa eine App, die das Unternehmen entwickelt, oder eine Dienstleistung wie beispielsweise die geschäftsmäßige Anonymisierung personenbezogener Daten, auf ihre Rechtmäßigkeit und Sicherheit hin geprüft.

Reguläre Audits können der Ermittlung von Veränderungen im Unternehmen dienen, also daraufhin prüfen, ob neue Verarbeitungstätigkeiten hinzu gekommen sind oder sich Veränderungen bei bestehenden Verarbeitungstätigkeiten ergeben haben.

Eine Alternative zu regulären Datenschutzaudits sind Penetrationstests für den Datenschutz, die die Wirksamkeit der für den Schutz personenbezogener Daten getroffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO nachweisen.

Vorgaben für Datenschutzaudits

Datenschutzaudits können sich nach der DIN EN ISO 19011 zur Auditierung von Managementsystemen richten. Im Fokus steht dann das Datenschutzmanagement, also alle Vorgaben und Prozesse, die die Einhaltung des Datenschutzes gewährleisten sollen.

Führt man einen Penetrationstest durch, um die gesetzlichen Vorgaben an Datenschutzaudits zu erfüllen, kann man sich an Leitfäden zu Penetrationstests orientieren, wie dem Leitfaden des BSI. Doch Vorsicht: Penetrationstests werden oft zur Prüfung der Informationssicherheit angeboten. Das ist etwas anderes als der Datenschutz. Damit ein Penetrationstest die gesetzlichen Anforderungen für den Datenschutz erfüllt, ist es ausschlaggebend, dass der Penetrationstest den Datenschutz zum Gegenstand hat. Im Fokus stehen dann die Risiken für die Betroffenen, also für die Beschäftigten und Kunden des Unternehmens. Bei der Informationssicherheit geht es um die Wahrung von Geschäftsgeheimnissen und um allgemeine Risiken für das Unternehmen. Die einzige direkte Schnittmenge zwischen Datenschutz und Informationssicherheit ist, dass beide Blickwinkel auch das reibungslose Funktionieren der IT-Infrastruktur berücksichtigen.

Wann ist ein Datenschutzaudit Pflicht?

Art. 32 DS-GVO legt jedem Unternehmen die Pflicht auf, jährlich ein Datenschutzaudit mit Fokus auf die technischen und organisatorischen Maßnahmen durchzuführen.

Art. 32 Abs. 1 Buchstabe d DS-GVO schreibt vor, dass es ein Verfahren im Unternehmen geben muss, dass die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßigen überprüft und bewertet. Es reicht also nicht aus, mit einer simplen Checkliste durch das Unternehmen zu rennen und abzuhaken, ob es sichere Türschlösser gibt und alle Arbeitsplätze über passwortgeschützte Bildschirmschoner verfügen. Eine Prüfung und Bewertung setzt einen methodischen Ansatz voraus, wie das Standard-Datenschutzmodell (SDM) der deutschen Datenschutzaufsichtsbehörden (DSK) oder die IT-Grundschutz-Methode des Bundesamts für Sicherheit in der Informationstechnologie (BSI).

Wozu ist ein Datenschutzaudit gut?

Ein Datenschutzaudit hilft zu ermitteln, wo Handlungsbedarf im Unternehmen besteht, um den Datenschutz umzusetzen. Die Prüfung der technischen und organisatorischen Maßnahmen trägt außerdem dazu bei, die Ausfallsicherheit der IT-Infrastruktur zu steigern, und einen reibungslosen Geschäftsablauf zu unterstützen.

Was macht ein Datenschutzauditor?

Der Inhalt eines Datenschutzaudits

Ein wesentlicher Gegenstand eines Datenschutzaudits ist die Prüfung, welche Pflichten für das geprüfte Unternehmen im Datenschutz ausgelöst werden. Dieser Punkt ist besonders für Bestandsausnahme Audits, auch Erstaudits genannt, relevant.

Folgende Pflichten werden dabei geprüft:

Ein Audit kann auch der Ermittlung von Verarbeitungstätigkeiten dienen, falls es im Unternehmen noch keinen Überblick darüber gibt, welche Verarbeitungen eigentlich genau vorgenommen werden und was an diesen Prozessen für den Datenschutz relevant ist.

Dokumentenprüfung

Die meisten oben genannten Pflichten setzen voraus, dass ihre Einhaltung in irgendeiner Form schriftlich dokumentiert wird. Eine inhaltliche Prüfung bedeutet, dass diese Dokumente auf ihre Vollständigkeit und Richtigkeit hin geprüft werden.

Weil Dokumentenprüfungen aufwändig und deswegen teuer sind, sind sie meistens nicht Bestandteil eines Audits, sondern werden nach Bedarf separat vorgenommen.

Besonders häufig werden Datenschutzerklärungen und Cookie-Banner geprüft, da sie ein Aushängeschild der Seriosität des Unternehmens sind.

Prüfung der technischen und organisatorischen Maßnahmen

Bei einem Bestandsaufnahmeaudit wird zunächst eine Liste von technischen und organisatorischen Maßnahmen erstellt, die als Ausgangspunkt der Bewertung dient, ob die bislang vorgenommenen Schutzvorkehrungen für den Schutzbedarf der im Unternehmen verarbeiteten personenbezogenen Daten angemessen sind.

Wie bereits angesprochen, sind Penetrationstests für den Datenschutz eine ideale Maßnahme, um die Wirksamkeit der technischen und organisatorischen Maßnahmen des Unternehmens nachzuweisen. Ein Penetrationstest fokussiert jedoch auf ausgewählte Teile einer Infrastruktur und lässt andere Teile außen vor. Daher erläutern wir hier noch einige weitere Methoden.

Phishing-Tests sind eine Methode, um zu prüfen, ob Beschäftigte ausreichend darin geschult sind, Phishing-Angriffe per E-Mail zu erkennen und nicht auf Anhänge zu klicken oder Passwörter preiszugeben.

Ein klassischer Teil eines Datenschutzaudits ist das Social Engineering. Dabei versuchen die Auditoren vom Empfang unbemerkt in die Büroräumlichkeiten vorzudringen und Einblick in personenbezogene Daten zu erhalten oder Zutritt zum Server-Raum zu erhalten.

Ausgehend von der Datenschutzrichtlinie des Unternehmens und seines Datenschutzschulungskonzepts für Mitarbeiter, kann darüber hinaus geprüft werden, ob die wesentlichen Inhalte der Datenschutzrichtlinie den Beschäftigten bekannt sind und auch in der Praxis gelebt werden.

Was kostet ein Datenschutzaudit?

Die Kosten für ein Datenschutzaudit hängen vom Schwerpunkt und vom Umfang des Prüfgegenstands ab. Ein kurzer Check, welche Pflichten ausgelöst werden, ist natürlich günstiger, als eine vollumfängliche Prüfung des gesamten Unternehmens inklusive der rechtlichen Prüfung wichtiger Dokumente für den Datenschutz.

Datenschutzaudit-Checkliste

  1. Gehen Sie die einzelnen Pflichten der DS-GVO und des BDSG durch und ermitteln Sie, ob die Pflichten ausgelöst und ggf. dokumentiert und nachweisbar erfüllt werden:
  2. Führen Sie eine Schutzbedarfsanalyse gemäß des Standard-Datenschutzmodells der deutschen Aufsichtsbehörden durch.
  3. Prüfen Sie die Wirksamkeit der im Unternehmen umgesetzten Sicherheitsvorkehrungen.
  4. Bewerten Sie, ob das vorliegende Sicherheitskonzept ein dem Schutzbedarf angemessenes Schutzniveau gewährleistet.

Nochmal in trocken!

Art. 32 DS-GVO und § 64 BDSG beschreiben, die Pflicht, jährliche Datenschutzaudits durchzuführen. Wichtig: Sie beziehen sich auf die technischen und organisatorischen Maßnahmen, also auf den IT-Teil und nicht auf den rechtlichen Teil! Viele Datenschutzbeauftragte können den technischen Teil gar nicht verlässlich prüfen, da sie keine Informatiker sind und ihnen damit die notwendige Fachkunde fehlt.

Wo erfährt man mehr darüber?


Über die Verfasser

Dieser Beitrag wurde von Dipl.-Inf. Marius Post, zertifizierter Datenschutzbeauftragter und zertifizierter IT-Grundschutzberater (BSI), und Dr. Werner Schäfke‑Zell, Datenschutzauditor (TÜV), den Geschäftsführern von Caladan, verfasst.