26. August 2020
Der europäische Gesetzgeber setzt zur Gewährleistung eines hohen Datenschutzniveaus innerhalb der EU auf eine starke Eigenverantwortung datenverarbeitender Unternehmen. Gesetzlich trifft sie eine Rechenschaftspflicht. Das bedeutet, Unternehmen müssen nicht nur die Einhaltung der DSGVO sicherstellen, sondern ihre Rechtskonformität bei Aufforderung durch die Aufsichtsbehörden auch nachweisen können. Sowohl anlassbezogene als auch anlasslose Prüfungen durch die Aufsichtsbehörden sind denkbar.
Gelingt Unternehmen der Konformitäts-Nachweis nicht, drohen hohe Bußgelder. Rekordverdächtige Bußgeldsummen zeigen, dass die Aufsichtsbehörden diese Drohung auch wahrmachen. Mit einer einmaligen Anpassung der internen Prozesse an die gesetzlichen Vorgaben ist es aber nicht getan. Unternehmen müssen den geschaffenen Datenschutzstandard ständig aufrechterhalten. Das gilt umso mehr, als es sich bei der DSGVO nicht um einen bereits etablierten Rechtsrahmen handelt, sondern die Regelungen erheblich durch die Stellungnahmen der Aufsichtsbehörden sowie die Gerichte konkretisiert werden. Folglich hat sich die spezifische Auslegung als auch Priorisierung einzelner Verpflichtungen aus der DSGVO seit Inkrafttreten der Verordnung verändert – mit entsprechenden Handlungspflichten für die Unternehmen.
Unternehmen sollten daher sicherstellen, dass die geschaffenen Datenschutzstandards im Unternehmen auch tatsächlich gelebt und insbesondere auch bei neuen Projekten umgesetzt werden. Mehr als zwei Jahre nach Inkrafttreten der DSGVO ist es Zeit, die eigene Umsetzungsleistung kritisch zu überprüfen. Dazu bietet sich die Durchführung eines DSGVO-Audits an.
Sollte die DSGVO intern noch nicht umgesetzt worden sein, bietet sich eine schrittweise Implementierung der zahlreichen Datenschutz-Vorgaben an. Dabei kann Ihnen unser Leitfaden zur Implementierung der EU-Datenschutz-Grundverordnung als Hilfestellung dienen.
Eine explizite gesetzliche Pflicht zur Durchführung von Audits kennt die DSGVO nicht. Lediglich im Hinblick auf technische und organisatorische Datenschutzmaßnahmen verpflichtet die DSGVO datenverarbeitende Unternehmen ausdrücklich zur Durchführung regelmäßiger Kontrollverfahren (z.B. Penetrationstests) in Abhängigkeit vom Datenverarbeitungsrisiko (Art. 32 Abs. 1 lit. d DSGVO).
Umfassende Audits zur Rechtskonformität können Unternehmen jedoch den Nachweis der Einhaltung der DSGVO erleichtern. Dadurch können sie ihrer gesetzlichen Rechenschaftspflicht gerecht werden.
Daneben sind Audits ein „Realitätscheck“. Viele Unternehmen waren bei der Umsetzung der Vorgaben der DSGVO unter Zeitdruck. Vielfach wurden daher zunächst Prozesse erarbeitet und Leitlinien erstellt. Die tatsächliche Umsetzung derselben in der alltäglichen Arbeit des Unternehmens war zumeist von untergeordneter Rolle. Häufig werden die geschaffenen Standards nicht gelebt oder intern nicht konsequent umgesetzt. Werden bspw. die internen IT-Systeme nicht entsprechend der Standards angepasst oder eingeführte Daten-Löschpflichten nicht umgesetzt, findet Rechtskonformität nur „auf dem Papier statt“. Unternehmen riskieren, dass diese Defizite in der DSGVO-Umsetzung anlässlich von Datenschutzverletzungen, Auskunftsansprüchen Betroffener oder im Rahmen behördlicher Verfahren zu Tage treten. Dies sollten Unternehmen zur Vermeidung entsprechender Bußgeldrisiken in jedem Fall vermeiden. Mit einem Audit lässt sich überprüfen, ob die geschaffenen Maßnahmen erfolgreich waren und tatsächlich zu einem höheren Datenschutzniveau geführt haben. Audits sind damit ein wichtiges Mittel zur Selbstkontrolle. Diesem Aspekt sollte daher im Rahmen eines Audits besondere Beachtung zukommen.
Es ist grundsätzlich möglich, einen DSGVO-Audit intern oder extern durchzuführen. Entscheidend für die Wahl des richtigen Verfahrens ist, welches Ziel mit der Überprüfung verfolgt wird.
Der grundlegende Ablauf eines DSGVO-Audits lässt sich wie folgt beschreiben:
Als ersten Schritt sollten Unternehmen ihr Audit-Ziel festlegen. Soll eine vollumfängliche Überprüfung des DSGVO-Konformität stattfinden oder soll diese auf einzelne, kritische Unternehmensbereiche mit besonders hohem Datenschutzrisiko beschränkt werden? Soll anstelle einer umfänglichen Prüfung lediglich ein TOM-Audit zur Überprüfung der getroffenen Datenschutzmaßnahmen durchgeführt werden?
Ist das Auditziel festgelegt, kann der Ablauf des Audits geplant werden. Ausgehend vom Auditziel lässt sich festlegen, ob es mit einem internen oder externen Audit bestmöglich erreicht werden kann. In Vorbereitung des Audits sollte zunächst ein Ablaufplan erstellt werden, der neben dem zeitlichen Rahmen auch die internen Verantwortlichkeiten für den DSGVO-Audit festlegt (z.B. wer ist Ansprechpartner für die externen Prüfer, wer ist intern für die Sammlung der Prüfdokumente zuständig).
Das Kernstück der Auditplanung bildet die Erstellung des Fragenkatalogs, anhand dessen der Audit durchgeführt wird. Dabei sollten v.a. Besonderheiten im Unternehmen nicht unberücksichtigt bleiben (z.B. Verarbeitung besonderer Datenkategorien im Unternehmen, Verarbeitung von Daten über Kinder). Für DSGVO-Audits werden regelmäßig Fragen zu den folgenden Datenschutzaspekten im Katalog abgebildet:
Die Fragen sind grundsätzlich schriftlich und/oder durch Vorlage entsprechender Dokumente zu beantworten.
Bei der Planung sollten Unternehmen jedoch auch dafür sorgen, dass sie im Rahmen des Audits herausfinden können, ob die internen Datenschutzstandards tatsächlich gelebt werden. Dafür bieten sich zum einen (stichprobenartige) Mitarbeiterbefragungen an. Ein umfassenderes Bild kann jedoch eine faktische Untersuchung im Unternehmen liefern. Im Rahmen des Audits sollte z.B. überprüft werden, ob Mitarbeiter mit den internen Datenschutzvorgaben vertraut sind, ob die Datenschutzvorgaben vollständig umgesetzt werden und ob sie insb. bei neuen Projekten berücksichtigt werden. Im Rahmen einer faktischen Untersuchung könnten zu diesem Zweck etwa testweise Anfragen zur Ausübung von Betroffenenrechten gestellt werden oder ähnliche Datenschutzszenarien erprobt werden.
Die Durchführung des Audits erfolgt durch die Überprüfung der beantworteten Fragen und vorgelegten Dokumente anhand der Vorgaben der DSGVO. Zur Überprüfung der internen Umsetzung der DSGVO-Pflichten findet darüber hinaus ggf. eine faktische Untersuchung im Unternehmen statt. Der Ist-Zustand der internen Datenschutzprozesse steht dabei auf dem Prüfstand.
Die Ergebnisse des DSGVO-Audits werden in einem Prüfbericht zusammengefasst. Dieser dient zum einen der internen Dokumentation des durchgeführten Audits (Auditziel, Prüfgegenstand, Vorgehensweise, Übersicht der geprüften Dokumente, Prüfergebnis) und ermöglicht Unternehmen andererseits die Erfüllung ihrer Rechenschaftspflicht ggü. Aufsichtsbehörden.
Wurde im Rahmen der Überprüfung eine Abweichung zwischen Ist- und Soll-Zustand im Hinblick auf die DSGVO-Konformität festgestellt, enthält der Prüfbericht Empfehlungen zu möglichen Maßnahmen, um diese Lücken zu beheben. So könnten ggf. Maßnahmen auf rechtlicher Ebene (z.B. Überarbeitung der Einwilligungserklärungen) oder auf technisch-organisatorischer Ebene erforderlich sein. Die Umsetzung der Empfehlungen obliegt dann dem geprüften Unternehmen, um DSGVO-Compliance zu erreichen.
Ein externer DSGVO-Audit ließe sich auch mit dem Ziel durchführen, eine Zertifizierung gem. Art. 42 DSGVO zu erlangen. Nach dem Willen des Gesetzgebers können entsprechende Zertifikate rechtssicher zur Erfüllung der Rechenschaftspflicht gegenüber Aufsichtsbehörden vorgelegt werden oder ggf. Datentransfers in Drittländer absichern. Darüber hinaus könnten sie einen Vorteil gegenüber Wettbewerbern bieten, indem sie Unternehmen am Markt als besonders datenschutzkonform ausweisen.
Die Ausgestaltung entsprechender Zertifizierungsverfahren obliegt in erster Linie den Mitgliedstaaten und Datenschutzaufsichtsbehörden. Die Durchführung der Zertifizierungsverfahren samt Vergabe von Zertifikaten soll akkreditierten Zertifizierungsstellen obliegen. In der EU gibt es jedoch bisher keine akkreditierten Zertifizierungsstellen und daher auch keine entsprechenden Zertifikate.
Perspektivisch könnten derartige Verfahren allerdings den Nachweis der DSGVO-Compliance in Folge von Audits wesentlich erleichtern und würden daher einen zusätzlichen Compliance-Mehrwert bieten. Der genaue Ablauf derartiger Verfahren bleibt abzuwarten.
Paul Voigt and Alexander Schmalenberger look at Germany's progress on NIS2 implementation.
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Alexander Schmalenberger, LL.B.
Michael Tan, Julian Sun, Paul Voigt and Wiebke Reuter look at what China's new SCCs mean for businesses looking to export personal data from China to the EU.
von mehreren Autoren