Datenschutz-Audit • Datenschutz-Auditor

Was aus dem Qualitätsmanagement nicht wegzudenken ist und dort auch in Form der DIN EN ISO 19011 normiert ist, hält auch im Bereich des Datenschutzes Einzug:

Das Audit

Begriff Datenschutz-Audit, Datenschutz-Auditor

In Anlehnung an die Definition der ISO 19011 versteht man unter einem Audit eine systematische, formale, unabhängige und dokumentierte Untersuchung, anhand derer bewertet werden soll, inwieweit datenschutzrelevante Vorgaben an Systeme, Prozesse oder Produkte erfüllt werden.
Im Rahmen eines solchen Datenschutz-Audits können einzelne Verfahren oder Prozesse auf Konformität überprüft werden (Verfahrensaudit, Prozessaudit), es kann auch aber das gesamte System des betrieblichen Datenschutzes Ziel und Zweck eines Audits sein (Systemaudit).
Audits können sowohl durch interne Auditoren, die in diesem Fall Mitarbeiter des Unternehmens sind als interne Audits (First-Party-Audits) durchgeführt werden, als auch durch externe Datenschutz-Auditoren zum Zwecke der Zertifizierung.

Gemeinsam ist all diesen Arten, dass im Rahmen des Audits eine Bewertung vorgenommen wird, ob der betriebliche IST-Zustand mit dem SOLL-Zustand übereinstimmt, bzw. an welchen Stellen Nachbesserungen nötig sind.

Wichtig für das Verständnis eine Datenschutz-Audits ist dabei, dass der Auditor lediglich Abweichungen und Konformitäten feststellt – die Verantwortung für die Verbesserungen und Verbesserungsvorschläge liegt aber beim Auftraggeber – dem auditierten Unternehmen.

Die Anforderungen, die dabei an einen Datenschutz-Auditor gestellt werden, sind äußerst vielfältig. Der Auditor soll neben der erforderlichen Fachkompetenz auch Fertigkeiten in Menschenführung, unternehmerisches Denken, Methodik und Sozialkompetenz aufweisen. Dabei kann die soziale und methodische Kompetenz nicht hoch genug eingeschätzt werden. Der Auditor tritt den Fachbereichen und verantwortlichen Personen in einer Rolle und Funktion gegenüber, die erhebliches Konfliktpotential birgt. Hier kann ein sicheres Auftreten und das nötige Fingerspitzengefühl für die jeweilige Situation den Ausschlag geben, wie erfolgreich ein Audit durchgeführt wird.

Ablauf Datenschutz-Audit

In Anlehnung an Audits im Qualitätsmanagement folgen auch Datenschutz-Audits idealerweise einem festgelegten Ablauf.

Die regelmäßige Auditierung bestimmter Prozesse oder Unternehmensbereiche wird für gewöhnlich in einem Audit-Rahmenplan festgelegt. Dadurch können die Unternehmen frühzeitig die nötigen Ressourcen bereitstellen.
Im Rahmen einer sog. Vorauditierung werden vom Datenschutz-Auditor die für den zu auditiernden Prozess vorhandenen Unterlagen wie Verträge, Datenschutzhandbuch, Verfahrensbeschreibungen, Betriebsvereinbarungen, Unternehmensrichtlinien und ähnliches geprüft. Diese Unterlagen geben bereits wichtige Aufschlüsse darüber, inwieweit eine Konformität des Prozesses oder Systems vorliegt.

Das eigentlich Audit vor Ort findet in den Fachbereichen in Form von Gesprächen mit gewöhnlich 3 Phasen statt:

Die Ergebnisse der Audits in den Fachbereichen werden in einem abschließenden Auditplan festgehalten. Darin enthalten sind sämtliche Nichtkonformitäten und Abweichungen, die der Auditor im Rahmen des Datenschutz-audits festgestellt hat. Soweit mit den einzelnen Fachbereichen Korrekturvorschläge besprochen wurden, sind auch diese im Auditplan enthalten. Dieser Auditplan wird vom Auditor ausschließlich dem Auftraggeber ausgehändigt, die einzelnen Fachbereiche werden nur im Rahmen des Abschlussgespräches informiert. Inwieweit der Auftraggeber die Ergebnisse des Audits im Unternehmen bekannt macht, liegt allein in dessen ermessen.

Sinn und Zweck Datenschutz-Audit

Ein Datenschutz-Audit macht immer dann Sinn, wenn ein Unternehmen gegenüber der Öffentlichkeit oder gegenüber Geschäftspartnern nachweisen will, dass die Datenverarbeitung zu einem bestimmten Zeitpunkt im Einklang mit den gesetzlichen Vorgaben oder anderen Vorgaben erfolgt.
Ein Audit kann auch dann Sinn machen, um der Unternehmensleitung einen umfassenden Überblick über die Konformität der Datenverarbeitung im Unternehmen zu geben.

Im Vorfeld der Einführung eines komplexen Datenschutzkonzeptes sind ebenfalls Audits durchzuführen – diese dienen dazu, den datenschutzrechtlichen IST-Zustand des Unternehmens zu erforschen. Allerdings sind solche Audits lediglich vorbereitender Natur, da auf Basis der gewonnen Ergebnisse ein Datenschutzkonzept erarbeitet werden soll. Aus diesem Grund sollte man die Ermittlung des datenschutzrechtlichen IST-Zustandes im Vorfeld der Einführung eines umfassenden Datenschutzkonzeptes nicht als Datenschutz-Audit im oben beschriebenen Sinne auffassen.