Datenschutz-Audits

Ist Prüfung eine Pflicht?

Die Unternehmensleitung verantwortet die Einhaltung der DSGVO – nicht nur zum Stichtag der Einführung. Ohne regelmäßige Überprüfung kann nicht sichergestellt werden, dass die einmal implementierten Datenschutz-Prozesse tatsächlich funktionieren.

Außerdem unterliegt das Thema Datenschutz kontinuierlich einem Wandel. Das Unternehmen ändert sich und die Interpretation der DSGVO entwickelt sich. Die Norm fordert deshalb ein Datenschutzmanagementsystem – also eine Organisation, die sich immer wieder selbst prüft, ob Strukturen und Prozesse noch angemessen sind und ggf. Anpassungen notwendig werden.

Wer als Auftragsverarbeiter Daten für seine Kunden verarbeitet, muss zusätzlich gezielt die vereinbarten technischen und organisatorischen Maßnahmen zum Schutz der fremden Daten regelmäßig auf ihre Wirksamkeit prüfen.

Wer soll prüfen?

Aufgabe des Datenschutzbeauftragten (DSB) ist nach Art. 39 Abs. 1 DSGVO auch die Überwachung der Einhaltung der Vorordnung. Hieraus könnte eine Prüfpflicht für den DSB abgeleitet werden. Ein andere Sicht sieht den DSB als denjenigen, der darauf achtet, dass Kontrollen stattfinden, selbst jedoch kaum im Detail Prüfungen vornimmt. Der Ansatz sollte von der Größe des Unternehmens und vom Reifegrad der Datenschutzorganisation abhängig gemacht werden.

Detaillierte Vorgaben sind der DSGVO nicht zu entnehmen. Detaillierte Vorschriften wurden von den Aufsichtsbehörden (bis jetzt) nicht erlassen. Fest steht nur, dass es ohne Überprüfung nicht geht.

Wie tief soll geprüft werden?

Diese Frage ist vor allem unter Haftungsgesichtspunkten spannend. Was passiert, wenn nach einer Prüfung ein Datenschutzvorfall Rechte von Betroffenen verletzt und mit einem geringfügig anderen Prüfungsfokus hätte wahrscheinlich verhindert werden können? Wie tief muss eine Datenschutzprüfung gehen und wie oft?

Prüfungen können nur Stichproben erfassen. Es ist unmöglich, permanent Vollprüfungen durchzuführen. Und, was genau wäre eine Vollprüfung? Muss der Sourcecode des Virenscanners als wichtige technische Schutzmaßnahme bei jedem Update auch analysiert werden? Und, muss ein Datenschutz-Audit auch die Firmware der Firewall untersuchen? An diesen Fragen merkt man schnell, dass die Erwartung einer Vollprüfung praktisch niemals erfüllt werden kann. Die DSGVO fordert deshalb den sog. risikoorientierten Ansatz, also ein an den Risiken der Verarbeitung ‘gebührend Rechnung tragendem’ Verhalten. Dies setzt freilich voraus, dass man seine Verabeitung im Griff hat und weiß, wo die Risiken (für die Betroffenen) tatsächlich liegen; es braucht also ein funktionierendes Risikomanagementsystem.

Ein paar Details zum risikoorientieren Ansatz haben wir hier zusammengestellt.

Wie wird geprüft?

In einer idealen Welt gibt es im Unternehmen ein Internes Kontrollsystem (IKS), das über alle relevanten Strukturen und Prozesse klare Ziele und Messpunkte definiert hat, woran man die Einhaltung dieser Ziele objektiv messen kann. Die mit diesem System verbunden Prüfungen (Einhaltungsüberprüfungen) können dann in den Fachabteilungen selbst durchgeführt werden (first line off defense). Aufgabe des DSB wäre hier als ‘second line of defense’, das Funktionieren des IKS zu hinterfragen. Werden die vorgesehenen Prüfungen tatsächlich durchgeführt? Wird mit Abweichungen angemessen umgegangen? Müssen ggf. Messpunkte überarbeitet werden?

Die Herausforderung in der Praxis ist jedoch: Es gibt vielfach kein umfassendes IKS, es fehlt generell an sehr vielen Stellen (noch) an an objektiv messbaren Sollzuständen. Neben den klassichen Einhaltungsprüfungen müssen also auch qualitative Prüfungen durchgeführt werden.

Qualitative Prüfungen

Fehlt es an klaren Messkriterien, kann nur eine qualitative Prüfung einen Überblick über die Güte und Einhaltung regulatorischer Vorgaben herbeiführen. Bei diesem Prüfungsansatz sind hohe Ansprüche an die Abgrenzung der Prüfungshandlungen zu stellen. Nur so kann auch für die geprüften Einheiten Klarheit darüber geschaffen werden, welche Tätigkeiten oder Vorgehensmuster im Fokus des Audits waren und als ‘geprüft’ gelten können.

Qualitative Prüfungen führen durch Bewertungen der geprüften Einzelfälle zu Ergebnissen. Auch Feststellungen von Nichtübereinstimmungen können nur unter Berücksichtigung aller relevanten Umstände des Einzelfalls erfolgen. Qualitative Prüfungen sind deshalb grundsätzlich aufwändig und im Umfang schwierig zu planen; sie haben in gewisser Weise explorativen Charakter.

Qualitative Prüfungen können als Grundlagenarbeit für die (Weiter-) Entwicklung eines IKS verwendet werden. Ein ebenfalls sinnvoller Ansatz ist die Multiplikatoren-Wirkung: Gute, auf Ebene der Fachabteilungen entwickelte Lösungen können durch eine zentrale Prüfung dort identifiziert, beschrieben und als beispielhaft (oder verbindlich) anderen Einheiten im Unternehmen zur Verfügung gestellt werden.

Gibt es Standards?

Nein. Es gibt zur Zeit weder eine formelle Qualifikation zum Datenschutz-Auditor noch irgendwelche offiziellen / verbindlichen Standards, wie ein Datenschutz-Audit durchzuführen wäre.

Irgendwann werden sich am Markt Standards durchsetzen. Irgendwann werden eventuell auch konkrete Vorgaben von den Aufsichtsbehörden definiert. Abwarten ist jedoch keine Lösung. Der Schlüssel liegt in angemessenen Maßnahmen. Umfang und Tiefgang von Prüfungen müssen so ausgestaltet sein, dass der der Vorwurf der Fahrlässigkeit nicht verfängt.

Unsere Prüfungsansätze

Wir führen Einhaltungsüberprüfungen durch – bei Ihnen oder Ihren Auftragsverarbeitern. Voraussetzung hierfür sind natürlich objektiv messbare Kriterien.

Vielfach fehlt es an eben diesen objektiv messbaren Kriterien. Insbesondere technisch organisatorische Maßnahmen bei Auftragsverarbeitungsverhältnissen sind generisch gehalten und insofern eigentlich kaum prüfbar. In diesem Fall prüfen wir – in Abstimmung mit Ihnen – qualitativ.

Gerne leiten wir aus qualitativen Prüfungen auch Handlungsempfehlungen und konkrete Messkriterien für künftige Einhaltungsüberprüfungen für Sie ab.

Dort, wo konkrete Vorgaben (noch) fehlen, hat sich auch folgender Prüfungsansatz bereits in der Praxis bewährt: Wir liefern für definierte DSGVO relevante Datenschutz-Prozesse Beschreibungen für pragmatische Umsetzungen und messen dann daran die vorgefundene Lösung. Wir liefern im Rahmen der Prüfung also selbst quasi einen messbaren Sollzustand und prüfen damit nicht gegen die vielfach abstrakten Formulierungen der DSGVO bzw. des BDSG.

Unsere Praxisempfehlungen basieren auf eigenen Umsetzungsfahrungen vor allem aber auf den Kurz- und Positionspapieren der DSK (Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder), dem European Data Protection Board (edpb) sowie den Praxishilfen unseres Verbandes (GDD e.V.).