Hilfreiches Datenschutz-Audit
Viele Unternehmen haben in den letzten Monaten externe oder interne Datenschutzbeauftragte benannt, da sie nach der DSGVO hierzu verpflichtet sind. Dabei ist die Erwartungshaltung der Unternehmer gegenüber dem Datenschutzbeauftragten sehr unterschiedlich.
Große Unternehmen sehen die Rolle des Datenschutzbeauftragten wie in der DSGVO beschrieben primär beratend.
Kleine Unternehmen sehe den Datenschutzbeauftragten zusätzlich als Umsetzer von Maßnahmen.
Unvollständige Umsetzung
Gemeinsam haben allerdings alle, dass die zeitlichen und personellen Ressourcen für die tatsächlichen Anforderungen selten ausreichen.
- So werden externe DSBs gerne nur mit den absoluten Pflichtaufgaben betraut, um die externen Kosten gering zu halten. Beispielsweise wird der Aufwand für externe Schulungen der Mitarbeiter häufig eingespart.
- Interne DSBs üben ihre Tätigkeit oft neben ihren sonstigen Tätigkeiten aus, so dass Zeit fehlt, um notwendige Maßnahmen identifizieren oder angehen zu können
- Interne DSBs verfügen i.d.R. über einen theoretischen Kenntnisstand aus z.B. Schulungen, die für eine praktische Umsetzung nur rudimentär ausreichen. Im schlechtesten Fall gibt es neben einer Basisschulungen keine kontinuierlichen Weiterbildungsmöglichkeiten mehr.
Das Ergebnis sind i.d.R. nur unvollständig identifizierte Schwachstellen und empfohlene Maßnahmen. Ursache hierfür sind neben dem oben genannten Zeitthema auch unvollständigen Analysen der Ist-Situation sowie unvollständig umgesetzte Pflichtmaßnahmen. Im schlimmsten Fall ergibt sich eine Anfragen von Aufsichtsbehörden aufgrund einfachster Fehler.
Datenschutz-Audit für Transparenz
Um diesen Risiken entgegenzutreten empfiehlt sich daher kontinuierlich, den Datenschutzstatus festzustellen zu lassen, und zwar von einem Dritten mit umfangreichen Fachkenntnissen. Dies sollte in Form eines Audits erfolgen, in dem ein Dritter notwendige Ist-Informationen aufnimmt und mit den Anforderungen der DSGVO abgleicht.
Der resultierende Auditbericht enthält neben der Zustandserfassung insbesondere einen Maßnahmenplan, der dem Unternehmen die aktuellen Risiken vor Augen führt und Lösungen vorschlägt.
Mit einem solchen Auditbericht können Sie
- als Geschäftsführer eine Einschätzung Ihres Risikos als Verantwortliche erhalten, auch wenn Sie keinen Datenschutzbeauftragten haben,
- den internen oder externen DSB durch systematische Informationen unterstützen,
- die Umsetzung von Maßnahmen besser einschätzen,
- die Lücken und Maßnahmen identifizieren, die Ihnen bisher unbekannt waren.
Der Aufwand für solche Audits ist überschaubar, der Mehrwert groß, insbesondere auch unter dem Gesichtspunkt, dass Sie dieses zum Nachweis Ihrer ständigen Verbesserung nach Artikel 32 Abs. 1 lit d. DSGVO verwenden können.
Sprechen Sie uns an, wenn wir als unabhängiger Dritter ein Datenschutz-Audit für Ihr Unternehmen durchführen sollen.