Datenschutzauditor
Ein Audit untersucht, ob Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen. Audits werden von einem speziell geschulten Auditor in unterschiedlichsten Bereichen der Wirtschaft durchgeführt und betreffen z.B. Umwelt-, Qualitäts- oder Informationsmanagement.
Wie gestaltet sich ein spezifischer Datenschutz-Audit?
Allem voran hat ein Datenschutzaudit den Zweck, Vertrauen aufzubauen. Immer wieder erscheinen Berichte über unsachgemäß verwaltete Daten in den Medien und verunsichern Partner, Lieferanten, Mitarbeiter und Kunden. Die Angst vor Verbreitung vertraulicher und persönlicher Informationen ist groß.
Durch ein Audit können Sie diese Angst nehmen und dokumentieren, dass Sie mit den Ihnen anvertrauten personenbezogenen Daten sorgsam umgehen und sämtliche gesetzlichen Bestimmungen einhalten. Zudem hilft ein Datenschutzaudit, etwaige vorhandene Schwachstellen aufzudecken und zu beseitigen.
Auch bei der Prüfung potentieller Auftragnehmer hilft ein Datenschutzaudit im Vorfeld, hinreichende Qualifikationen über den gesetzeskonformen Umgang mit personenbezogenen Daten festzustellen und zu dokumentieren. Dadurch sind Sie bei der Vergabe von Leistungen rechtlich auf der sicheren Seite.
Rechtsgrundlagen
Den Begriff des Datenschutzaudits regelte der § 9 a Bundesdatenschutzgesetz (BDSG a.F.) wie folgt:
„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.“
Relevanz des Datenschutzaudits
Gleichwohl dieses spezielle Gesetz für Datenschutzaudits noch nicht existiert, ist die Relevanz eines Audits nicht zu unterschätzen. Die durchführende Instant ist ein Datenschutzauditor (DAS). Die Umsetzung kann sowohl intern als auch extern erfolgen.
Der interne Datenschutzaudit
Hierbei wird der Ist-Zustand in puncto Datenschutz für den internen Datenschutzbeauftragten und die Geschäftsleitung ermittelt und dokumentiert. Es können spezifische Bereiche, Programme, Abteilungen oder der Gesamtzustand untersucht und bewertet werden. Diese Dokumentation dient dann als Basis für die Definition eines Soll-Zustandes. Wiederkehrende Audits vergleichen die Abweichung der jeweiligen aktuellen Qualität mit dem erarbeiteten Idealzustand.
Themenbeispiele aus der Praxis:
- Bewertung der Homepage im Hinblick auf Datenschutz
- Leitfaden zum Einsatz von Social Media (Instagram, Facebook, Twitter, Google+ etc.)
- Nutzung eigener mobiler Endgeräte am Arbeitsplatz
- Private Nutzung des Internetzugangs am Arbeitsplatz
- Datenschutz im HR-Bereich (insbesondere bei Bewerbungsprozessen)
- Wissensstand der verantwortlichen Mitarbeiter zum Thema Datenschutz
- Zustand der internen Abläufe zum Schutz personenbezogener Daten