Ein Datenschutzaudit ist eine freiwillige Kontrollmaßnahme des Unternehmens, angelehnt an die gesetzliche Vorschrift des § 9a Bundesdatenschutzgesetz a.F.. Dort hieß es:
“Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen.”
Aus der gesetzlichen Vorstellung, dass das Ergebnis eines Datenschutzaudit veröffentlicht wird, können Sie ableiten, welche Vorteile ein solches Audit für das Unternehmen bewirkt: Ihr Unternehmen versichert sich, dass es datenschutzkonform arbeitet. Dies sollten Sie gegenüber den anderen Unternehmen, Geschäftspartnern und Aufsichtsbehörden kommunizieren.
Zunächst wendet sich das Unternehmen mit der Bitte eines Datenschutzaudit an einen Auditor.
Diese hat eine zuvor erarbeitete Checkliste. Diese wird dann eingeführt und bearbeitet.
Bestehende Mängeldokumentieren wir. Dann erläutern wir die Behebung der Mängel konkret. Schließlich legen wir in Abstimmung mit Ihnen einen Zeitrahmen zur Behebung fest. Im Rahmen des Zeitrahmens erfolgt eine Überprüfung der Maßnahmen zur Behebung der Datenschutzprobleme.
Nach beendeter Prüfung erfolgt die Abgabe der Datenschutzerklärung.
Schließlich erfolgt die Aufnahme des Datenschutzaudits im Verzeichnis.
Besonderes Augenmerk des Datenschutzaudits liegt auf folgenden Punkten:
Zu beachten ist dabei, dass wir diese Punkte nicht stur abarbeiten. Ein qualitativ hochwertiges Datenschutzaudit sollte die genannten Punkte nur als Richtschnur aufgreifen und nicht über jedes Unternehmen “überstülpen”.
Anders als die Preise für den externen Datenschutzbeauftragten lassen sich die Preise für Datenschutzaudit einigermaßen sicher vorhersagen. Es ist sinnvoll, die Preise anhand von Tagessätzen zu berechnen. Als Tagessatz veranschlagen wir einen Preis von 1200,00 Euro netto. Etwas schwieriger ist die Beurteilung, wie viele Tagessätze notwendig sind. Dies hängt im Wesentlichen vom Zustand des Datenschutzes im Unternehmen, dem Umfang der Verarbeitung und der Größe des Unternehmens ab. Der Vergangenheit hat sich aber einen Zeitraum von 7 Tagen als realistisch herausgestellt.
Wie in allen anderen Gebieten des Datenschutzrechts haben auch im Bereich von Datenschutzaudits Dumpingpreise Einzug erhalten. Wie in anderen Bereichen des Datenschutzrechts ist auch hier Vorsicht geboten. Achten sie genau darauf, wie das Audit ablaufen soll. Der Aufwand und damit die Preise für das Datenschutzaudit werden häufig gesenkt, indem einfache Checklisten online versendet werden, die vom Unternehmen ausgeführt werden müssen. Damit wird das Risiko von Fehleinschätzungen allerdings auf ihr Unternehmen verlagert. Daher ist von dieser Vorgehensweise abzuraten, dass sie keine sichere Datenschutz-compliance bewirkt.
Der Datenschutzauditor sollte unbedingt die notwendige Qualifikation für das Audit vorweisen. Beachten Sie bitte, dass das Datenschutzaudit und insbesondere die Ist- Analyse die Grundlage der folgenden datenschutzrechtlichen Schritte ist. Bleiben beim Datenschutzaudit Aspekte verborgen oder werden übersehen, zieht sich dieser Mangel wie eine rote Schnur durch die folgende datenschutzrechtliche Arbeit im Unternehmen durch.
Bezüglich der Qualifikationen sollten Sie auf juristische Kenntnisse und technisches Verständnis achten. Ferner ist im Bereich von Datenschutzaudits ein verstärktes Augenmerk auf betriebswirtschaftliche Kenntnisse zu richten. Ein erfolgreiches Audit erfordert ein reiches Verständnis der Organisation eines Unternehmens. Der Auditor sollte schnell verstehen, wie ein Unternehmen aufgebaut ist und wo Probleme entstehen könnten. Neben betriebswirtschaftlichen Zusatzausbildungen sind hier praktike Erfahrungen in der Beratung von Unternehmen hilfreich.
Das Datenschutzaudit von Dr. Taheri Datenschutz lässt sich gut mit unseren anderen Leistungen kombinieren. Grund hierfür ist dass das Datenschutzaudit eine Analyse des datenschutzrechtlichen Zustandes Ihres Unternehmens bewirkt. Auf dieser Grundlage entscheiden wir, ob weitere Leistungen für die Datenschutzberatung einmalig oder langfristig notwendig sind. Außerdem beurteilen wir, ob Sie einen externer Datenschutzbeauftragten bestellen sollten. Das Datenschutzaudit muss aber nicht unbedingt zu Folgemaßnahmen führen. Es kann auch sein, dass das Datenschutzaudit zu dem Schluss führt, dass ein externer Datenschutzbeauftragter nicht notwendig ist. Das kann etwa der Fall sein weil personenbezogene Daten nicht verarbeitet werden. In diesem Fall ist zu entscheiden, ob gelegentlich Datenschutzberatungen oder Datenschutzkontrollen durchgeführt werden sollten, um auf Veränderungen im Unternehmen zu reagieren. Unser Datenschutzaudit führt alsi unter Umständen dazu, dass Kosten, etwas für den Datenschutzbeauftragten, gespart werden. Gerade für Unternehmen, die unsicher sind, ob ein Datenschutzbeauftragter notwendig ist, eignet sich dies zunächst.
Das Datenschutzaudit kann nur erfolgreich gelingen, wenn die Mitarbeiter und Organe des Unternehmens dieses aktiv unterstützen. Dies beginnt zunächst mit der Unternehmensführung, welche in der Regel das Audit beauftragt.
Weitere Ansprechpartner sind häufig die Mitarbeiter der IT, Human Resources, des Marketing und des Vertriebs. Häufig ergeben sich weitere Ansprechpartner aber aus Gesprächen mit den genannten Abteilungen oder spontan bei der Besichtigung des Unternehmens. Es ist daher sehr wichtig, dass die Durchführung des Datenschutzaudits gegenüber allen Beteiligten kommuniziert wird. Diese sollten zudem die Bedeutung und den Sinn des Audits verstehen.
Bedeutsam ist aber nicht nur das Verhalten der Mitarbeiter. Auch der Auditor sollte sich der besonderen Lage bewusst sein. Viele Mitarbeiter reagieren nervös oder vorsichtig. Dabei blickt der Auditor nicht auf die Fehler der einzelnen Person, sondern auf strukturelle Mängel. Dies ist den Mitarbeitern zu verdeutlichen. Außerdem sollte für eine vertrauensvolle Gesprächsatmosphäre gesorgt werden. Dafür eignen sich offene Fragen. Diese lassen dem Mitarbeiter Raum für Klarstellungen und eigene Ansichten. Dies führt wiederum zu ehrlicheren Antworten.
Es ist folglich von großem Vorteil, wenn der Auditor Erfahrungen in der Beratung von Unternehmen und dem Audit vorweisen kann. Auf diese Weise lassen sich problematische Dynamiken beim Datenschutzaudit vorhersehen und vermeiden. Die Mitarbeiter erfahren somit, dass es ” gar nicht so schlimm war wie gedacht”.