Datenschutz-Auditor
DSGVO
01] [02] [03] [04] [05] [06] [07] [08] [09] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98]
[Erwägungsgründe
Bundesdatenschutzgesetz
Nachfolgend eine Zusammenfassung der Aufgaben eines Datenschutz-Auditors. Der Auditor prüft und entwickelt normalerweise nach der Prüfung eine Strategie, die Hilft die Risiken, die im Datenschutz liegen zu minimieren.
Wozu dient ein Datenschutz-Auditing?
Die Datenschutz-Grundverordnung (DSGVO) regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Hierbei führt sie für die Verarbeitung von personenbezogenen Daten einen risikobasierten Ansatz ein. Dies bedeutet: Je risikoreicher und schadensgeneigter eine Verarbeitung von Daten für Betroffene sein kann, umso höhere Anforderungen stellt die DSGVO an die Anwendung. Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, kann der Verantwortliche zur Risikominimierung ein Datenschutz-Audit durchführen lassen, um Folgen (Folgenabschätzung) zu ermitteln, welche Folgen/Konsequenzen die Verarbeitung für den Schutz der Unternehmensdaten hätte. Über das Instrumentarium des Audits werden Risiken beschrieben, bewertet und reduziert.
Lässt sich ein hohes oder sehr hohes Risiko nicht durch angemessene technische und/oder organisatorische Maßnahmen reduzieren, ist für den Einsatz der Anwendung vorab eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde einzuholen.
Ein Audit sollte bei neu hinzugekommenen Risiken, bei bereits behandelten, aber sich geänderten oder wesentlich erschwerten Risiken erneut durchgeführt werden. Über Prüfroutinen kann sichergestellt werden, dass das Audit aktuell ist.
Behandlung bereits vorhandener Datenverarbeitungen
Für diese gibt es keinen Bestandsschutz, das heißt eine DSFA ist durchzuführen, wenn die Voraussetzungen hierfür vorliegen oder neue Risiken zu einer entsprechenden Wertung führen. Gestützt auf Erwägungsgrund 171 der DS-GVO sehen die Leitlinien zu DSFA der Art.-29-Datenschutzgruppe (Stand: 4. Oktober 2017) vor, dass eine DSFA nicht durchzuführen ist, wenn eine Datenschutzaufsicht oder ein Datenschutzbeauftragter eine Datenverarbeitung im Wege einer sogenannten „Vorabkontrolle“ vorab geprüft hat. Derartige Prüfentscheidungen bleiben in Kraft, bis diese geändert, ersetzt oder aufgehoben sind.
Vorgehensweise zur Durchführung eines Datenschutzaudits
Die Vorgehensweise bzw. Mindestinhalt eines Datenschutzaudits wird wie folgt festgelegt
Aufnahme der systematischen Beschreibung der Verarbeitungsvorgänge und Zwecke
Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
Im Folgenden sind die einzelnen Schritte aufgelistet
Ist-Analyse des Datenschutzes
Analyse des Ist-Zustandes der Datenschutzstrukturen und -prozesse im Unternehmen. Aktuelle Abläufe überprüfen und mögliche Schwachstellen gezielt aufdecken.Soll-Planung des Datenschutzmanagements
Datenschutzmanagement unter Berücksichtigung rechtlicher, prozessualer, organisatorischer und technischer Aspekte planen. Dabei werden aktuelle gesetzliche Vorgaben, wie das Bundesdatenschutzgesetz (BDSG) bzw. die Datenschutz-Grundverordnung (DSGVO), und angrenzende Gesetze zugrunde gelegt. Zudem werden die Prozesse eines effektiven Datenschutzmanagements, wie beispielsweise zur Vorabkontrolle oder Prüfung der Auftragsdatenverarbeitung, unter Berücksichtigung des Ressourceneinsatzes und der Wirtschaftlichkeit geplant.Implementierung und Dokumentation des Datenschutzmanagementsystems
In Zusammenarbeit mit dem Datenschutzbeauftragten wird das Datenschutzmanagementsystem implementiert und nachvollziehbar dokumentiert.
Risikobewertung
Strafrahmen bei Nichtbeachtung der EU-Datenschutz Verordnung:
Die Höchststrafe für Vergehen bei administrativen Tätigkeiten beläuft sich auf 10 Millionen Euro (oder 2% Prozent des globalen Umsatzes). Bei grundsätzlichen ethischen Vergehen können bis zu 20 Millionen Euro (oder 4% des globalen Umsatzes) Strafe verhängt werden. Die höhere Summe bestimmt das Strafmaß.
Geplante Abhilfemaßnahmen zur Bewältigung der Risiken
Verbleibt ein (sehr) hohes Restrisiko, bedeutet dies Folgendes:
Der Verantwortliche sollte ein Audit durchführen.
Der Auditor prüft die nachfolgenden Maßnahmen.
Im Rahmen der DSGVO müssen folgende Maßnahmen zum Zwecke des Datenschutzes passieren, um gesetzeskonform agieren zu können:
Interne Dokumentation sämtlicher Prozesse mit Datenverarbeitung personenbezogener Daten
Sicherzustellen ist, dass alle Prozesse aus den Bereichen Leadmanagement, Buchhaltung, Kundensupport, Marketing, Videoüberwachung genau dokumentiert werden. Konkret heißt dies: Erstellung einer Verzeichnisliste der angewendeten Verarbeitungstätigkeiten.Erstellung von Risiko-Folgeabschätzungen
Dokumentation der potenziellen Risiken und Gefahren, die durch Datenverlust auftreten können. Erstellung eines Aufgabenkatalogs und Protokollierung der technischen und organisatorischen Maßnahmen (TOMs) DSGVO-konform.Wahrung der Rechte betroffener Personen
Kernziel der DSGVO ist der Schutz der Privatsphäre natürlicher Personen. Diese umfassen sowohl das Recht auf Richtigstellung, das Recht auf Vergessenwerden, als auch die Erfüllung der Informationspflicht. Das Unternehmen muss stets in der Lage sein auf Kundenanfrage sämtliche Verarbeitungsschritte, welche personenbezogene Daten betreffen dem Betroffenen offenzulegen.Bestellung eines Datenschutzbeauftragten
Je nach Geschäftstätigkeit werden unterschiedliche Kategorien von Daten erfasst, verarbeitet und gespeichert. Ob die Bestellung eines Datenschutzbeauftragten Pflicht ist, hängt von diesen Daten ab. Praktisch jedes Unternehmen, das personenbezogene Daten verarbeitet, braucht einen internen oder externen Spezialisten, der das erfoderliche Prozedere beherrscht.Sensibilisierung Ihres beruflichen Umfelds
Die DSGVO hat Auswirkungen auf die gesamte Tätigkeit aller Mitarbeiter. Im Rahmen eines Workshops müssen Mitarbeiter über die neuen Verantwortungen, Rechte und Pflichten ausführlich aufgeklärt und sensibilisiert werden. Nur so kann eine lückenlose Umsetzung der DSGVO gewährleistet werden.
Insbesondere bei hohen Risiken gilt:
Vor dem Einsatz einer derartigen Risiko-Datenverarbeitung ist die zuständige Datenschutzaufsichtsbehörde zu konsultieren und
deren Entscheidung (Einsatz nur nach Ergreifung weiterer Schutzmaßnahmen, Verbot der geplanten Verarbeitung) zu beachten.
Rolle des Datenschutzbeauftragten im Audit
Hat eine verantwortliche Stelle freiwillig oder aufgrund gesetzlicher Vorgabe einen betrieblichen Datenschutzbeauftragten bestellt, so arbeitet der Auditor eng mit diesem zusammen.:
Der Auditor holt den Rat des Datenschutzbeauftragten ein.
Zu den Aufgaben eines Datenschutzbeauftragten gehören die Beratung im Zusammenhang mit der Durchführung eines Audits und die Mitarbeit bei dessen Durchführung.
Prozessschritte eines Audits
Audit-Team erstellen
Beurteilungsumfang festlegen (Beschreibung des Verarbeitungsvorgangs, inklusive der Datenflüsse und Zwecke der Verarbeitung in Abgrenzung zu anderen (Geschäfts-)Prozessen
Betroffene und Akteure identifizieren (Verantwortlicher, Datenschutzbeauftragten, Betriebsrat und gegebenenfalls Betroffene einbinden)
Prüfung der Notwendigkeit/Verhältnismäßigkeit bezogen auf den Verarbeitungszweck
Rechtsgrundlagen für die Verarbeitung prüfen und dokumentieren
Risikoquellen identifizieren (Beweggründe, Ziele, Eintrittswahrscheinlichkeit)
Risikobewertung unter Berücksichtigung möglicher physischer, materieller oder immaterieller Schäden, deren Schwere sowie Eintrittswahrscheinlichkeit
Auswahl/Vorschlag geeigneter Abhilfemaßnahmen, unter anderem durch technische und organisatorische Maßnahmen (TOMs)
verbleibende Restrisiken eruieren und dokumentieren
Audit-Bericht erstellen
In Zusammenarbeit mit dem Verantwortlichen/Datenschutzbeauftragten
Abhilfemaßnahmen vorschlagen
Abhilfemaßnahmen auf Wirksamkeit testen
Freigabe der Verarbeitungsvorgänge
Änderungen und die Überprüfung der Maßnahmen dokumentieren
Audit bei Aktualisierungsbedarf fortschreiben.
Risikobewertung
Ein Audit ist dann sinnvoll, wenn eine Risikoanalyse ergibt, dass eine Datenverarbeitung ein hohes oder sehr hohes Risiko für den Verantwortlichen, der die personenbezogenen Daten verarbeitet, zur Folge hat.
Das Schadensrisiko für das Unternehmen, das diese Daten verarbeitet, ist anhand objektiver Kriterien (DSGVO: Art, Umfang, Umstände und Zwecke der Verarbeitung) zu bestimmen.
Das Datenschutzrisiko für die Betroffenen, deren Daten verarbeitet werden, ist anhand objektiver Kriterien (DSVGO: Art, Umfang, Umstände und Zwecke einer Verarbeitung) zu bestimmen.
Auch zu berücksichtigen sind Risiko-Quellen (nach der Eintrittswahrscheinlichkeit, also der Angreifer und einen durch diesen zu verursachenden Schaden)
Einschätzung möglicher Schwere der Schäden jeweils in einer Skalierung normal, hoch, sehr hoch.
Für mehrere ähnliche Verarbeitungsvorgänge (umfasst alle Daten, Systeme [Hard- und Software] und Prozesse) reicht eine Abschätzung, sofern diese ein ähnlich hohes Risiko haben.
Vorstufe zum Audit und zur Einschätzung des Risikos ist eine Schutzbedarfsfeststellung der zu verarbeitenden personenbezogenen Daten anhand der Datenarten (Kundendaten, Mitarbeiterdaten, Steuerdaten, Gesundheitsdaten etc.).
Beispiele für einen normalen (gering/niedrigen) Schutzbedarf:
Öffentliche Register, Anschrift, Kontaktdaten (gering)
Daten über Geschäfts- und Vertragsbeziehungen, Kontostände, Prüfungsergebnisse, Kreditauskünfte (mittel)
Beeinträchtigungen in diesem Bereich wären für Betroffene als tolerabel einzustufen. Ein möglicher Datenmissbrauch hätte nur geringfügige Auswirkungen (wirtschaftlich / gesellschaftspolitisch) für Betroffene.
Beispiele für einen hohen Schutzbedarf:
Steuerdaten
strafbare Handlungen
Daten, die einem Berufs-, Geschäfts-, Fernmelde- oder Mandantengeheimnis unterliegen
Personaldaten wie insbesondere Beurteilungen, berufliche Laufbahn, Angaben über Behinderung. Hohe Folgeschäden sind bei Veröffentlichung/Verfälschung dieser Daten zu befürchten. Hier wären sensible Daten beeinträchtigt. Ein möglicher Datenmissbrauch hätte erhebliche Auswirkungen (wirtschaftlich/gesellschaftspolitisch, gegebenenfalls Beeinträchtigung der persönlichen Unversehrtheit) für Betroffene.
Beeinträchtigungen von Daten mit sehr hohem Risiko wären für Betroffene als nicht tolerabel einzustufen. Zum Beispiel: Veröffentlichung von Adressen von polizeilichen V-Leuten, Adressen von Zeugen in bestimmten Strafverfahren. Ein möglicher oder absehbarer Datenmissbrauch bedeutet für die Betroffenen (Verantwortlicher und Kunden) möglicherweise wirtschaftlichen/gesellschaftspolitischen Ruin oder beeinträchtigt die persönliche Unversehrtheit oder das Ansehen gravierend. Hier dient das Audit als Vorbeugemaßnahme.
Verfahren zum Audit
Hierfür gibt es keine einheitliche, gesetzlich vorgeschriebene Methode. Daher sollte ein Audit nach einem gängigen Verfahren erfolgen wie beispielsweise nach dem Standard-Datenschutzmodell oder dem Muster einer Datenschutzaufsicht.
Praxis-Tipps
EU-weit anerkannte Vorgehensmodelle zum Audit und zur Risikobestimmung einsetzen.
Das verwendete Vorgehensmodell muss das Verfahren gut dokumentieren (wichtiges Kriterium für einen massenhaften Einsatz).
Maßnahmenkataloge (technisch-organisatorische Maßnahmen zur Verfügbarkeit, Vertraulichkeit, Integrität und Belastbarkeit) zur Behandlung von Risiken sollten gut dokumentiert und erprobt sein.
Es gibt einheitliche Kriterien für eine Risikobestimmung. Die Art. 29-Datenschutzgruppe hat in den Leitlinien zur DSFA Kriterien festgelegt, anhand deren geprüft werden sollte, ob eine DSFA durchgeführt werden muss. Dies soll umso wahrscheinlicher sein, wenn mindestens zwei und mehr der nachfolgenden und als besonders riskant eingestuften Kriterien erfüllt sind:
Scoring und Evaluierung, inklusive Profilbildung und Vorhersagen
Automatisierte Entscheidungen mit rechtlicher oder im Gewicht vergleichbarer Wirkung
Systematische Beobachtung (zum Beispiel von Arbeitsplätzen)
Sensible Daten
Datenverarbeitung in großem Umfang
Datensätze, die abgeglichen oder kombiniert werden
Daten von besonders schutzbedürftigen Personen (Beispiel: Arbeitnehmer, Kinder)
Innovative Nutzung oder Verwendung von technologischen und organisatorischen Lösungen (z. B. eine Kombination aus Fingerabdruckscan und Gesichtserkennung)
Betroffene können ein Recht oder eine Dienstleistung ohne vorgeschaltete Datenverarbeitung nicht in Anspruch nehmen (Beispiel: Eine Bank verlangt die Durchleuchtung von Daten eines potenziellen Kreditkunden vor einer Entscheidung über einen Vertragsabschluss)
Schaden
Ein Mensch kann durch eine Datenverarbeitung physische, materielle und immaterielle Schäden erleiden. Bezogen auf die geplante Anwendung ist zu klären, welche Schäden aus der Datenverarbeitung für Betroffene resultieren können.
Beispielhaft nennt die DSGVO hier
Diskriminierung
Identitätsdiebstahl
Rufschädigung
Finanzieller Verlust
Hinderung der Kontrolle über eigene Daten
Profilbildung mit Standortdaten
Risikominimierung
Wer personenbezogene Daten verarbeiten will, ist verpflichtet, im Verhältnis zum Risiko nach dem Stand der Technik angemessene (nicht: neueste und teuerste) Maßnahmen zum Schutz der Daten zu ergreifen, diese regelmäßig, bei Bedarf sogar unverzüglich zu überprüfen und erforderlichenfalls upzudaten. In der Regel handelt es sich um eine Kombination aus
organisatorischen Maßnahmen (zum Beispiel Datenschutzschulung von Mitarbeitern, interne Regelungen zum Datenschutz, Notfallkonzept) und
technischen Maßnahmen (zum Beispiel Einsatz von Firewall und Virenscanner und deren zeitgemäßer Update, Verschlüsselung von Daten).
Nachweise erbringen (Dokumentation!)
Die Durchführung eines Audits ist aktuell keine gesetzliche Pflicht. Aber bei Verstößen gegen den Datenschutz ist ein Audit und dessen Ergebnisse für die verantwortlichen Stellen als Nachweis sinnvoll. Der Nachweis wird zum Bestandteil der Rechenschaftspflicht. Diese verpflichtet verantwortliche Stellen, alle Vorgaben der DSGVO einzuhalten, wirksam umzusetzen, zu überprüfen und bei Bedarf nachzubessern.
Zu dokumentieren sind:
die Durchführung und das Ergebnis einer Risikobewertung (normales, hohes, sehr hohes Risiko) und
eine daraus abzuleitende Datenschutzfolgeabschätzung
Ein Audit ist auch wichtig, wenn geeignete technische und/oder organisatorische Maßnahmen dazu führen, dass für die Daten Betroffener ein (sehr) hohes Risiko in ein normales Risiko reduziert werden. Auch bei Daten mit einem hohen Schutzbedarf (zum Beispiel biometrische Daten, Personalaktendaten) ist ein Audit sinnvoll. Die Risiko-Eintrittswahrscheinlichkeit ist an diesen Schnittstellen hoch.
Datenschutzaufsichtsbehörden müssen eine sogenannte Blacklist veröffentlichen. Diese enthält Datenverarbeitungen, die aus Sicht der Datenschutzaufsicht generell ein hohes Risiko haben und daher stets (ohne weitere sonstige Prüfung) vor deren Einsatz eine Vorabkonsultation der Aufsicht erfordern. Datenschutzaufsichtsbehörden können (optional) eine Liste von Verarbeitungstätigkeiten (sogenannte Whitelist veröffentlichen, die aus ihrer Sicht nie hochrisikobehaftet sind und damit keiner DSFA bedürfen. Offen ist, ob die Datenschutzaufsichtsbehörden von dieser gesetzlichen Möglichkeit Gebrauch machen werden.
Zusammenfassung in vier Schritten zu erhöhtem Datenschutz
Der Datenschutz-Auditor unterstützt gemäß DSGVO
Aufgrund seiner Erfahrung analysiert und bewertet der Auditor die Datensicherheit im Unternehmen. Gemeinsam mit dem Verantwortlichen, dem Datenschutzbeauftragten und weiteren Beteiligten unterstützt er durch Dokumentation bei der Entwicklung geeigneter Maßnahmen für die Optimierung des betrieblichen Datenschutzes und der Unternehmenssicherheit.
Dabei erfolgt der Audit in vier Schritten vor.
Überprüfung mittels Datenschutz-Check-up
In einem Datenschutz-Check-up überprüft der Auditor den aktuellen Stand des Datenschutzes im Unternehmen. Er analysiert den Ist-Zustand der betrieblichen Datensicherheit und deckt mögliche Schwachstellen gezielt auf. Diese Prüfung erfolgt auf der Grundlage aktueller Anforderungen wie der DSGVO und des BDSG.Priorisierung der Maßnahmen
Der Auditor setzt die notwendigen Maßnahmen nach ihrer Dringlichkeit in einer Prioritätenliste fest. Hier wird dokumentiert, in welcher Reihenfolge die anschließende Prüfung und später auch Umsetzung erfolgen sollte.Umsetzung der Maßnahmen
Eine Liste mit offenen Punkte wird nach Priorisierung abgearbeitet. Durch die Umsetzung der festgehaltenen Maßnahmen wird ein für das Unternehmen angemessenes und sicheres Niveau erreicht.Kontinuierliche Optimierung
Der erreichte Status des Datenschutzes wird kontinuierlich auditiert und verbessert. So kann auch zukünftig für den optimalen Schutz der personenbezogenen Daten gesorgt werden.
Das erforderliche Datenschutz Management System (DMS) und seine Funktionalitäten und Anforderungen
Verzeichnis-Management
- Protokollierung sämtlicher Prozesse aus allen Bereichen eines Unternehmens, z.B. Leadmanagement, Buchhaltung, Kundensupport usw. und automatische Erstellung des gesetzlich verlangten Verzeichnisses der Verarbeitungstätigkeiten.
Technische & organisatorische Maßnahmen
- Alle gängigen technischen und organisatorischen Maßnahmen werden beschrieben.
Erstellung von umfangreichen Exports
- Exportfunktion um das komplette Datenschutzprojekt, die Datenschutzerklärung oder den Maßnahmenkatalog auf Knopfdruck auszudrucken.
Erstellung von Checklisten
- Nutzung vorgefertigter Checklisten und Leitfäden zur Erfüllung der geforderten DSGVO-Anforderungen.
Datenschutzprojekte
- Muster-Datenschutzprojekte
Maßnahmenverwaltung
- Maßnahmenplan zur Erstellung und Verwaltung für Aufgaben und Maßnahmenkataloge für laufende Kontrollen oder Audits.
Data Breach Notification
- Dokumentation von Datenpannen. Vorlagen für die Benachrichtigung der Aufsichtsbehörde.
Verwaltung von Betroffenenanfragen
- Dokumentation der Betroffenenanfragen. Vorlagen für die Beantwortung.
Auftragsverarbeiter und Empfänger
- Verwaltung der Auftragsverarbeiter und Empfänger.
Archivierung
- Archivierung und Versionsverwaltung der Datenschutz-Dokumentation. Dies ermöglicht die sichere und umfassende Abspeicherung aller Dokumente zum Nachweis des DSGVO-konformes Handelns.
Rechtevergabe
- Interne Rechtevergabe für verschiedene Abteilungen zur Festlegung, wer in welchem Umfang Zugriff auf das Datenschutzmanagementsystem hat.