Datenschutz-Audits

Ist Prüfung eine Pflicht?

Die Unternehmensleitung verantwortet die Einhaltung der DSGVO – nicht nur zum Stichtag der Einführung. Ohne regelmäßige Überprüfung kann nicht sichergestellt werden, dass die einmal implementierten Datenschutz-Prozesse tatsächlich funktionieren. Eine regelmäßige Wirksamkeitsprüfung ist somit unumgänglich.

Das Thema Datenschutz unterliegt einem kontinuierlich Wandel. Das Unternehmen und sein Umfeld (Technik) ändern sich und die Interpretation der DSGVO entwickelt sich. Die Norm fordert deshalb ein Datenschutzmanagementsystem: Mechanismen, die immer wieder prüfen, ob Strukturen und Prozesse zur Gewährleistung der Forderungen aus der DSGVO noch angemessen sind und ggf. Anpassungen notwendig werden.

Wer als Auftragsverarbeiter Daten für seine Kunden verarbeitet, muss vor allem gezielt die vereinbarten technischen und organisatorischen Maßnahmen zum Schutz der fremden Daten regelmäßig auf ihre Wirksamkeit prüfen.

Wer soll prüfen?

Aufgabe des Datenschutzbeauftragten (DSB) ist nach Art. 39 Abs. 1 DSGVO auch die Überwachung der Einhaltung der Vorordnung. Hieraus könnte eine Prüfpflicht für den DSB abgeleitet werden. Ein andere Sicht sieht den DSB als denjenigen, der darauf achtet, dass Kontrollen stattfinden, selbst jedoch kaum im Detail Prüfungen vornimmt. Der Ansatz sollte nach unserer Überzeugung von der Größe des Unternehmens und vom Reifegrad der Datenschutzorganisation abhängig gemacht werden. Zu nah darf der DSB natürlich nicht in operative Datenschutztätigkeiten eingebunden werden, da ansonsten seine Neutralität in Frage zu stellen wäre. Interessenkonflikte müssen vermieden werden. Der DSB darf am Ende nicht seine eigene Arbeit prüfen.

Detaillierte Vorgaben sind der DSGVO nicht zu entnehmen. Fest steht nur, dass es ohne Überprüfung nicht geht.

Seit November 2019 haben die deutschen Aufsichtsbehörden das Standard-Datenschutzmodell (SDM) in der Version 2.0 veröffentlicht (“Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele”). Das SDM ist kein ‘Kochbuch’, nach dessen Abarbeitung man formell auf der sicheren Seite wäre. Aber es liefert wertvolle Informationen und Erläuterungen, mit deren Hilfe eine systematisierte Prüfung aufgebaut werden kann.

Wie tief soll geprüft werden?

Diese Frage ist vor allem unter Haftungsgesichtspunkten spannend. Was passiert, wenn nach einer Prüfung ein Datenschutzvorfall Rechte von Betroffenen verletzt und mit einem geringfügig anderen Prüfungsfokus hätte wahrscheinlich verhindert werden können? Wie tief muss eine Datenschutzprüfung gehen und wie oft?

Prüfungen können nur Stichproben erfassen. Es ist unmöglich, permanent Vollprüfungen durchzuführen. Und, was genau wäre eine Vollprüfung? Muss der Sourcecode des Virenscanners als wichtige technische Schutzmaßnahme bei jedem Update auch analysiert werden? Und, muss ein Datenschutz-Audit auch die Firmware der Firewall untersuchen? An diesen Fragen merkt man schnell, dass die Erwartung einer Vollprüfung praktisch niemals erfüllt werden kann, weil sie bis ins unendliche getrieben werden könnte. Die DSGVO fordert deshalb den sog. risikoorientierten Ansatz, also ein an den Risiken der Verarbeitung ‘gebührend Rechnung tragendem’ Verhalten. Dies setzt freilich voraus, dass man seine Verabeitung im Griff hat und weiß, wo die Risiken (für die Betroffenen) tatsächlich liegen; es braucht also ein funktionierendes Risikomanagementsystem.

Ein paar Details zum risikoorientieren Ansatz haben wir hier zusammengestellt.

Wie wird geprüft?

In einer idealen Welt gibt es im Unternehmen ein Internes Kontrollsystem (IKS), das über alle relevanten Strukturen und Prozesse klare Ziele und Messpunkte definiert hat, woran man die Einhaltung dieser Ziele objektiv messen kann. Die mit diesem System verbunden Prüfungen (Einhaltungsüberprüfungen) können dann in den Fachabteilungen selbst durchgeführt werden (first line off defense). Aufgabe des DSB wäre hier als ‘second line of defense’, das Funktionieren des IKS zu hinterfragen. Werden die vorgesehenen Prüfungen tatsächlich durchgeführt? Wird mit Abweichungen angemessen umgegangen? Müssen ggf. Messpunkte überarbeitet werden?

Die Herausforderung in der Praxis ist jedoch: Es gibt vielfach kein umfassendes IKS, es fehlt generell an sehr vielen Stellen (noch) an an objektiv messbaren Sollzuständen. Neben den klassichen Einhaltungsprüfungen müssen also auch qualitative Prüfungen durchgeführt werden.

Qualitative Prüfungen

Fehlt es an klaren Messkriterien, kann nur eine qualitative Prüfung einen Überblick über die Güte und Einhaltung regulatorischer Vorgaben herbeiführen. Bei diesem Prüfungsansatz sind hohe Ansprüche an die Abgrenzung der Prüfungshandlungen zu stellen. Nur so kann auch für die geprüften Einheiten Klarheit darüber geschaffen werden, welche Tätigkeiten oder Vorgehensmuster im Fokus des Audits waren und als ‘geprüft’ gelten können.

Qualitative Prüfungen sind aufwändig und im Umfang schwierig zu planen; sie haben in gewisser Weise explorativen Charakter. Es gibt eben keine einfache Checklist, anhand derer binär ein o.k. oder eine Nichtübereinstimmung indentifiziert werden kann. Bei Feststellungen entbrennen unter Umständen noch Diskussionen über den genauen Sollzustand und die Bedeutung / Bewertung des Risikos aus der Abweichung.

Qualitative Prüfungen können als Grundlagenarbeit für die (Weiter-) Entwicklung eines IKS verwendet werden. Ein schöner Nebeneffekt qualitativer Prüfungen kann Mulitplizieren von Best Practices sein. Gute, auf Ebene der Fachabteilungen entwickelte Lösungen können durch eine qualitative Prüfung dort identifiziert, beschrieben und als beispielhaft (oder verbindlich) anderen Einheiten im Unternehmen zur Verfügung gestellt werden.

Gibt es Standards?

Jein. Es gibt nach unserer Kenntnis bisher zur Zeit weder eine formelle Qualifikation zum Datenschutz-Auditor noch irgendwelche offiziellen / verbindlichen Standards, wie ein Datenschutz-Audit durchzuführen wäre. Wir gehen jedoch davon aus, dass das Standard-Datenschutzmodell der Aufsichtsbehörden sich zum Standard entwickelt.

Datenschutz und Informationssicherheit verfolgen dieselben Schutzziele: Vertraulichkeit, Verfügbarkeit, Integrität. Abweichungen gibt es in der jeweiligen Rechtsgrundlage und dem Fokus (personenbezogene Daten versus generell zu schützender Informationen). Diese Abweichungen sind jedoch nach unserer Überzeugung für die Praxis im Unternehmen eher akademischer Natur. Datenschutz auf Ebene des Datenschutzbeauftragten (second line of defense) sollte mit dem ggf. vorhandenen Informationssicherheitsbeauftragten zumindest eng kooperieren arbeiten.

Beide ‘Disziplinen’ (Datenschutz und Informationssicherheit) erfordern ein Managementsystem zur Sicherstellung einer nachhaltigen Wirksamkeit. Es bietet sich also an, die Verfahren zu verschmelzen.

Folglich ist es naheliegend, ein bereits international etabliertes und praxiserprobtes Framework auch auf den Datenschutz anzuwenden: ISO 27001.

Für die ISO 27001 gibt es Zertifizierungsverfahren und normierte Prüfungsansätze. Die Normenfamilie ISO 2700x liefert sehr konkrete Schemata, anhand derer Unternehmen geprüft werden können. Diese Schemata lassen sich hervorragend um die Elemente des des Standard-Datenschutzmodells ergänzen.

Auch bei Datenschutzaudits, die den Fokus bewusst nur auf die DSGVO legen, kann das Prüfungsvorgehen (Methodik) aus der ISO 27001 Welt excellent übernommen werden. Für ‘27001 Auditoren’ gibt es bereits etablierte Qualifikationsprofile, Schulungen und international anerkannte Zertifikate.

Unsere Prüfungsansätze

Wir prüfen nach der Methodik eines ISO 27001 Lead Auditor (mit Zertifikat). Beim konkreten Vorgehen folgen wir den Empfehlungen der ISO 19011.

Wir führen Einhaltungsüberprüfungen durch – bei Ihnen oder Ihren Auftragsverarbeitern. Voraussetzung hierfür sind natürlich objektiv messbare Kriterien. Fehlt es hieran, steigen wir gerne auch in qualitative risikoorientierte Prüfungen ein; hierfür benötigen wir Ihre Vorgaben, mit welchem Fokus geprüft werden soll. Falls gewünscht, steigen wir auch noch eine Ebene darunter ein und ermitteln mit Ihnen gemeinsam, wo die größten möglichen Risiken liegen, um risikoorientiert die Einhaltung der DSGVO zu hinterfragen.

Bei unseren Prüfungen messen wir gegen unsere eigenen Praxiserfahrungen (Best Practices) und natürlich gegen die Umsetzungsempfehlungen der DSK (Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder), dem European Data Protection Board (edpb) sowie den Praxishilfen unseres Verbandes (GDD e.V.).