DSGVO – ist ein Audit nötig bzw. verpflichtend ?

Auch zum Thema: Kontrollrechte, Haftung und Inspektionsrecht von Auftragsverarbeiter und Subauftragsverarbeiter

Im folgenden Beitrag geht es um die Frage, ob ein Datenschutzaudit nach DSGVO Datenschutzgrundverordnung verpflichtend ist?    “Wieso? Warum? Weshalb?”

Wofür ein Datenschutzaudit steht.

Das Datenschutzaudit ist ein Überprüfungselement. Die Vorgaben zur Datenschutzgrundverordnung DSGVO sind einzuhalten und sind mit vielen Dokumentationen und verschiedenen Verarbeitungsvorgängen verbunden. Im Rahmen eines Datenschutzaudits werden diese Vorgänge überprüft, damit sich im Eifer der täglichen Arbeit keine Ungenauigkeiten einschleichen können. Dabei wird alles aus zwei Sichten angegangen, einmal aus der Sicht einer verantwortlichen Person und einmal aus der Sicht eines Auftraggebers.

Es besteht das sogenannte DSGVO-Zertifikat. Bei einem Datenschutzaudit wird kein Zertifikat erteilt. Die Zertifikate werden nach Art. 42 DSGVO erteilt. Das Datenschutzaudit hilft bei der Konformitätsprüfung in Vorbereitung auf das Zertifikat. Im Jahr 2009 nahm die Bundesregierung einen Gesetzentwurf in Angriff, der das Datenschutzaudit (Drucksache 16/12011 v. 18.02.2009) regeln sollte. Ziel war ein freiwilliges Datenschutzaudit mit gesetzlicher Regelung und einem Datenschutzauditsiegel. Damit sollte der Datenschutz gefördert werden, und besser in die Wirtschaft eingebunden werden kann. Dieser Gesetzentwurf kam nicht durch.

Im Rahmen der Verordnung haben die zuständigen Personen sowie der Auftragsverarbeiter verschiedene Maßnahmen verpflichtend einzuhalten und umzusetzen. Ein Beispiel nach Art. 32 Abs. 1 S.1 der DSGVO sind organisatorische und technische Maßnahmen zu treffen und eine TOM zu erstellen, um das Schutzniveau dem Risiko anzupassen. Diese Maßnahmen müssen von den zuständigen Personen gemäß Art. 24 Abs. 1 S. 1 DSGVO nicht nur umgesetzt, sondern auch nachgewiesen werden.

Jetzt stellt sich die Frage, in welchem Maße die Beteiligten für die vorgeschriebenen Nachweispflichten, ein Datenschutzaudit durchführen müssen. Wer ist eine verantwortliche Person, ist in der Verordnung zum Datenschutz in Art. 4 Nr. 7 DSGVO geregelt. Es kann jede juristische oder natürliche Person, Einrichtung, Behörde oder andere Stelle sein, die alleine oder mit anderen zusammen die Mittel und den Zweck haben, in Rahmen dessen über personenbezogene Daten entschieden werden. Es wurde bereits darauf hingewiesen, dass die Verordnung zum Datenschutz keine Regelung zu den Audits enthält.

Ist man zur Durchführung eines Datenschutzaudits verpflichtet?

Obwohl es keine direkten Hinweise zur Durchführung eines Audits gibt, gibt es Anhaltspunkte in der DSGVO. Der Art. 5 Abs. 2 sagt, dass folgende Grundsätze einzuhalten sind:

– Datenminimierung
– Integrität und Vertraulichkeit
– Rechtmäßigkeit
– Richtigkeit
– Speicherbegrenzung
– Transparenz
– Verarbeitung nach Treu und Glauben
– Zweckbindung

Die Einhaltung dieser Grundsätze muss nachgewiesen werden können. Es gibt keine Regel, in welcher Form dieser Nachweise erfolgen muss. Daher kann hier keine Verpflichtung zu einem Audit herausgelesen werden.

In der Datenschutzgrundverordnung DSGVO gibt es einige Hinweise zu den Audits. Bereits erwähnt wurde der Art. 24 Abs. 1 S. 1, wo es um die Nachweispflichten des Verantwortungsträger geht. Dass der Umfang, der Zweck und die Umstände der Datenverarbeitung berücksichtigt werden und eine Einschätzung der Risiken aufgrund der Schwere und der Wahrscheinlichkeit, dass ein Risiko eintreten kann. Hier geht es um den Schutz der Rechte und Freiheiten natürlicher Personen und wie das alles technisch und in der Organisation umgesetzt werden kann.

Der 2. Satz des Art. 24 Abs. 1 sagt, dass diese Maßnahmen, falls nötig, überprüft werden. Der 3. Absatz des Art. 24 weist auf die Möglichkeit eines Zertifikates nach Art. 42 hin. Allerdings sind die Audits perfekt, um Rahmen der Nachweispflicht als ein Punkt aufgeführt zu werden. Es ergibt sich aber aus dem Art. 24 Abs. 1 keine Verpflichtung, einen bestimmten Weg bei der Beweisführung einzuschlagen. Art. 24 Abs. 3 gibt sogar eine Wahlfreiheit bei den Instrumenten, die beim Nachweisen der Einhaltung genutzt werden. Der Absatz ist sogar extra dazu gedacht, Instrumente zur Nachweispflicht zu schaffen.

Pflicht zum Datenschutzaudit ?

Im Endeffekt besteht für das Datenschutzaudit keine Verpflichtung zur Durchführung. Dies sollte nicht die Bedeutung schmälern, die ein Audit für die Praxis hat. Wird ein Audit dokumentiert, ist es eine hervorragende Unterstützung, wenn es um die Nachweispflicht bei Einhaltung des Datenschutzes geht. Wird das Audit von einer unabhängigen Stelle durchgeführt, trägt es besonders dazu bei, dass es ein hohes Niveau beim Datenschutz gibt. Werden unabhängige Dritte eingebunden, werden Möglichkeiten zur Verbesserung viel besser gefunden. Werden Maßnahmen zur Verbesserung ergriffen, kann ein Folgeaudit überprüfen, wie gut die Umsetzung klappt und ob sie wirklich so positiv ausfallen, wie es gedacht war. Datenschutz ist kein Sprint, es ist ein Marathon. Die technologische Entwicklung ist aktuell rasant. Da ist es zwangsläufig nötig zu überprüfen, ob die aktuellen Maßnahmen dem technischen Fortschritt noch gerecht werden. Darauf wird auch im Art. 32 Abs. 1 hingewiesen. Dort steht sinngemäß, dass der zuständige Mitarbeiter seine Maßnahmen und die Risikobewertung am Stand der Technik ausrichten sollte.

Fazit zur Frage: „Ist ein Datenschutzaudit Pflicht im Datenschutz?“

Die einfache Antwort darauf ist: „Nein, es besteht keine Pflicht zum Audit, aber es ist ein sinnvoller Schritt auf dem Weg zur Datensicherheit.“ Man darf nicht vergessen, dass es Geldbußen geben kann, wenn es zu Verstößen kommt. Die Aufsichtsbehörde darf bei einem Verstoß zu hohen Geldbußen greifen. Es sind bis zu vier Prozent des weltweit erzielten Umsatz, des vergangenen Jahres, als Geldbuße möglich.

DSGVO – Kontrollrechte, Haftung und Inspektionsrecht von Auftragsverarbeiter und Subauftragsverarbeiter

DSGVO – Verantwortlicher und welche Verantwortung

Weitere Beiträge zum Auftragsverarbeitungsvertrag

DSGVO – Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang

DSGVO Arbeitnehmerüberlassung zu Leiharbeitern mit Joint Controllership