Was die gesetzliche Grundlage ist und was sich mit der DSGVO ändert

Seit 2001 sieht § 9a BDSG die Möglichkeit vor, zur Verbesserung des Datenschutzes und der Datensicherheit das Datenschutzkonzept und die technischen Einrichtungen durch unabhängige und zugelassene Gutachter überprüfen und bewerten zu lassen. Genauere Anforderungen wie zum Beispiel die Auswahl der Gutachter sollte ein eigenes Gesetz regeln. Allerdings kam es bis heute aufgrund von massiver Kritik an diesem Gesetz nicht zu dessen Verabschiedung. Das heißt, dass bis heute die formalen Abläufe eines Datenschutzaudits nicht geklärt sind.

Dennoch werden von verschiedenen Stellen Datenschutzaudits angeboten. Prüfmaßstab sind die gesetzlichen Anforderungen zum Datenschutz und die Angemessenheit der technischen und organisatorischen Maßnahmen. In dem folgenden Auszug aus unserem Ratgeber erklären wir die Regelungen und welche Änderungen die DSGVO mit sich bringt.

Datenschutzaudit – was sagt die DSGVO?

Die DSGVO verleiht genehmigten Zertifizierungsverfahren gem. Art. 42 ein aktuelles Gewicht und schafft an verschiedenen Stellen die Möglichkeit, mit der Einhaltung eines zertifizierten Genehmigungsverfahrens nach Art. 42 DSGVO die Erfüllung der Anforderungen der DSGVO nachzuweisen.

Welche Datenschutzaudits gibt es?

Nähert man sich unabhängig von den noch ungelösten und lebhaft diskutierten Fragen einem Datenschutzaudit, stellt sich zunächst die Frage nach dem Gegenstand des Audits.

• Produktaudit: Gegenstand kann ein Produkt (zum Beispiel ein Datenverarbeitungsprogramm beziehungsweise Datenverarbeitungssystem) sein.
• Prozess- oder Verfahrensaudit: Auditiert wird ein einzelner operativer Prozess, zum Beispiel ein Personal- oder Kundenprozess, ein Dienstleistungsprozess (zum Beispiel bei einer Datenverarbeitung im Auftrag).
• Systemaudit: Im dritten Fall handelt es sich um ein Systemaudit, das sich bei einem in das Managementsystem integrierten Datenschutzmanagement auch auf die Einrichtung und die Funktionsfähigkeit des Datenschutzmanagements bezieht.

Art. 32 Abs. 1 DSGVO verlangt nicht ein Höchstmaß an technischen und organisatorischen Maßnahmen, sondern, nach dem Stand der Technik, dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessene Maßnahmen zum Datenschutz.

Mit dem Audit kann damit ein doppelter Zweck verfolgt werden, nämlich einerseits Schwachstellen, Verbesserungspotenziale und Handlungsbedarf aufzuzeigen, wo die Ziele noch nicht erreicht sind, und andererseits die Konformität der Verfahren mit den definierten Anforderungen nach außen zu bescheinigen. Da sich aufgrund des technischen Wandels die Anforderungen im Zeitablauf ändern oder neue Schwachstellen entstehen können, sind regelmäßige Überwachungsaudits sinnvoll, um die Angemessenheit der getroffenen Maßnahmen laufend zu überprüfen und Handlungsbedarf rechtzeitig zu erkennen.

Auch im rechtlichen Bereich ändern sich die Anforderungen immer wieder, sei es durch Gesetzesänderungen oder durch die höchstrichterliche Rechtsprechung, sodass auch hier, obwohl die Gesetzeskonformität als Standard zu jeder Zeit gefordert ist, Überwachungsaudits angebracht sein können.