Ihr Anwalt für Datenschutzrecht und zertifizierter Datenschutzbeauftragter
Sie wollen sichergehen, dass Ihr Unternehmen alle datenschutzrechtlichen Vorschriften einhält? Dann sind Sie hier richtig! Peter Weiler ist Fachanwalt für gewerblichen Rechtsschutz und zertifizierter (TÜV) Datenschutzbeauftragter. Zusammen mit Carl Christian Müller, der Fachanwalt für Urheber-und Medienrecht, sowie ebenfalls zertifizierter (TÜV) Datenschutzbeauftragter ist, sorgt er dafür, dass alle datenschutzrechtlichen Vorschriften in Ihrem Unternehmen eingehalten werden. Im Folgenden erklären wir Ihnen was ein Datenschutzaudit beinhaltet, wer ein solches durchführen kann und warum ein Datenschutzaudit unerlässlich für Ihr Unternehmen ist.
Erstgespräch unverbindlich und garantiert kostenfrei.
24h erreichbar
bundesweit
kostenfreie Einschätzung
Ihr Ansprechpartner
Rechtsanwalt Peter Weiler
Fachanwalt für gewerblichen Rechtsschutz
+49 30 / 206 436 810
info@mueller.legal
Was ist ein Datenschutzaudit?
Ein Datenschutzaudit ist eine datenschutzrechtliche Risikoanalyse bei der der IST-Stand Ihres Unternehmens in Bezug auf die Einhaltung datenschutzrechtlicher Vorgaben ermittelt und Lücken im Datenschutzkonzept aufgedeckt werden. Anhand des Status Quo kann der Auditor dann Handlungsempfehlungen geben, wie die einzelnen Abteilungen Ihres Unternehmens datenschutzkonform gestaltet werden können.
Wie läuft ein Datenschutzaudit ab?
Der Auditor ermittelt den Ist-Zustand mithilfe von automatisierten Tools, die hunderte von Datenprozessen erkennen und dokumentieren und arbeitet dann auf die Erstellung eines gesetzlich vorgeschriebenen Soll-Zustands hin.
1. Ist-Zustand ermitteln
Zunächst werden der für den Datenschutz Verantwortliche im Unternehmen und die vorhandenen Datenarten im Unternehmen identifiziert. Der Auditor scannt dann die verschiedenen Abteilungen Ihres Unternehmens auf Datenschutzlücken und arbeitet gemeinsamt mit dem Verantwortlichen einen Fragenkatalog ab, um herauszufinden, welche personenbezogenen Daten verarbeitet werden und wie viele Personen mit der Verarbeitung beauftragt sind. In diesem ersten Schritt kristallisiert sich heraus welche Vorgänge im Unternehmen hohe Risiken für DSGVO-Verstöße aufweisen.
Werden beispielsweise in der Personalabteilung die Bewerbungsunterlagen nach dem Bewerbungsprozess nicht wie vorgeschrieben gelöscht, sondern ohne Einwilligung (z.B. für später zu besetzende Stellen) gespeichert, liegt ein Regelverstoß vor, den der Auditor aufdeckt.
3. Handlungsempfehlung durchsetzen
Anhand des Ergebnis der Ist-Analyse erarbeitet der Auditor Maßnahmen um einen bestimmten Soll-Zustand zu erreichen. In dem oben genannten Beispiel weist der Auditor die Personalabteilung an, die Daten zu löschen oder die nötige Einwilligung zur Speicherung der Bewerbungsdaten einzuholen. Zur Einhaltung der rechtlichen Vorgaben können auch technische Verbesserungen, wie die Überarbeitung des Datenschutzmanagementsystems, nötig sein. Oft fehlt dem Unternehmen ein aktuelles Rollen- und Rechtekonzept oder der Prozess für die Bewältigung einer Datenschutzpanne muss überarbeitet werden. Ein ausgebildeter Datenschutzauditor weiß wie Lücken geschlossen und Konzepte verbessert werden können.
2. Handlungsempfehlung aussprechen
Werden Datenschutzlecks erkannt, erarbeitet der Auditor zusammen mit dem Verantwortlichen ein Konzept zur Behebung dieser Fehler. Haben Sie bereits eigene Schutzmaßnahmen ergriffen, kann der Auditor einschätzen, ob diese im Einzelfall angemessen sind. Bei besonders sensiblen Daten sind andere Maßnahmen anzuraten als bei anderen persönlichen Daten. Der Auditor kann eine Kosten-Nutzen-Analyse für einzelne Maßnahmen erstellen, sodass Sie sowohl rechtlich als auch wirtschaftlich gut aufgestellt sind. Häufig wird das bestehende IT-Sicherheitskonzept oder ein unsicherer externer Zugriff auf einzelne oder alle Systeme im Netzwerk (z. B. für Home-Office, E-Mail-Abruf oder Fernwartung) bemängelt.
4. Erstellung der Datenschutzdokumentation
Nachdem die Handlungsempfehlungen umgesetzt wurden, müssen alle Prozesse bei denen personenbezogene Daten verarbeitet werden, dokumentiert werden. Nach Durchführung dieses Schritts kann Ihnen die Datenschutzbehörde keinen Vorwurf der Fahrlässigkeit bei möglichen DSGVO-Vestößen machen. Unternehmen kommen mit der Dokumentation zudem ihrer Rechenschaftspflicht nach und erhöhen das Vertrauen in die Sicherheit der Datenverarbeitung. Beispielsweise wird ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO erstellt. Überdies wird dokumentiert wie Ihr Unternehmen auf eine Datenschutz-Folgenabschätzung vorbereitet ist und welches Datenschutzmanagementsystem installiert ist, um sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt.
Welchen Unternehmen ist ein Audit anzuraten?
Während große Unternehmen, die eine Vielzahl an sensiblen Daten verarbeiten, Ihr Datenschutzaudit meist automatisch durch Ihren ernannten Datenschutzbeauftragten durchführen lassen ist es für kleine und mittlere Unternehmen oft schwierig den Ist-Zustand Ihres Unternehmens zu ermitteln und Datenschutzlücken zu schließen. Insbesondere diesen Unternehmen ohne eigenen Datenschutzbeauftragten ist zu einem Datenschutzaudit zu raten.
Wieviel kostet ein Datenschutzaudit und was ist enthalten?
Die Kosten richten sich nach der Größe Ihres Unternehmens und der Menge an verarbeiteten personenbezogenen Daten. Die Kosten können da zwischen 1.000 und 3.000 Euro bei einem kleinen oder mittelständischen Unternehmen liegen. Darin enthalten sind beispielsweise eine Erstaufnahme des Datenbestandes aller Abteilungen, die Beratung dieser Abteilungen, sowie die Erstellung von Handlungsempfehlungen und der gesetzlichen Datenschutzdokumentation. Zusätzlich werden die Mitarbeiter geschult, eine rechtskonforme Datenschutzerklärung wird erstellt und Sie werden mit Datenschutzverträgen ausgestattet.
Wer kann ein Datenschutzaudit durchführen?
In der Regel werden Datenschutzaudits von zertifizierten Datenschutzbeauftragten durchgeführt. Durch die notwendigen Weiterbildungen zum Datenschutzbeauftragten wird Fachwissen garantiert. Da es sich bei den Datenschutzregelungen um zwingend zu befolgende Gesetze handelt, ist es von Vorteil, das Datenschutzaudit von einem Datenschutzbeauftragten durchführen zu lassen der gleichzeitig auch Anwalt ist. Ein Fachanwalt für gewerblichen Rechtsschutz ist dann aufgrund der im Fachanwaltslehrgang erworbenen vertieften datenschutzrechtlichen Kenntnisse die beste Wahl.
Brauche ich ein Datenschutzaudit auch wenn meine Firma einen IT-Spezialisten beschäftigt?
Startups oder kleinere Unternehmen wissen oft nicht, dass überhaupt Datenschutzlücken in einzelnen Abteilungen vorhanden sind und erst recht nicht wie man diese effektiv, schnell und kostengünstig schließen kann. Selbst wenn Sie einen IT-Spezialisten im Unternehmen beschäftigen, kann es sinnvoll sein einen externen Datenschutzauditor mit der objektiven Beurteilung der Lage zu beauftragen, da selbst ein IT-Experte in Ihrem Unternehmen nicht alle organisatorischen, technischen und rechtlichen Lücken aufdecken kann. Dafür brauchen Sie jemand der als Datenschutzbeauftragter (und im besten Fall auch Rechtsanwalt) geschult ist.
Was passiert, wenn ich gegen Datenschutzrecht verstoße?
Ohne Datenschutzaudit ist das Risiko von Datenschutzverstößen hoch. Bei einem Verstoß können bis zu 20 Mio. Euro oder bis zu 4 % Ihres weltweiten Jahresumsatzes als Bußgeld drohen. Diese Verstöße werden regelmäßig geahndet und die Bußgelder verhängt. Am 01.10.2020 wurde z.B. bekannt, dass der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von über 35 Millionen EUR gegen die Hennes &Mauritz (H&M) Online Shop A.B. & Co. KG wegen Verstößen gegen die DSGVO erlassen hat. Gehen Sie kein Risiko ein, sondern lassen Sie ein Datenschutzaudit durchführen. Sie können auch direkt einen Datenschutzbeauftragten ernennen, der sich dauerhaft um die Einhaltung datenschutzrechtlicher Vorschriften in Ihrem Unternehmen kümmert.
Wie kann ich ein Datenschutzaudit buchen?
Anbieter gibt es viele, aber aufgrund der Komplexität der datenschutzrechtlichen Vorschriften, sollten Sie bei der Auswahl auf Fachwissen - sowohl im technischen als auch im juristischen Bereich - achten. Zwar können Sie auch intern einen Ihrer Mitarbeiter zum Datenschutzbeauftragten ausbilden lassen, riskieren so aber mögliche Interessenkonflikte und müssen die Kosten für die Ausbildung selbst tragen. Die Bestellung eines externen Datenschutzbeauftragten hat den Vorteil, dass dieser seine Ausbildung schon absolviert hat und sofort eingesetzt werden kann.
Wie können wir Ihnen weiterhelfen?
Carl Christian Müller und Peter Weiler sind vom TÜV zertifizierte Datenschutzbeauftragte und Rechtsanwälte. Überdies haben beide erfolgreich einen Fachanwaltslehrgang absolviert, durch den Sie wichtige zusätzliche Fachkompetenzen erlangen konnten. Durch die Lehrgänge im gewerblichen Rechtsschutz sowie im Urheber- und Medienrecht haben beide Anwälte wertvolle Zusatzqualifikationen im Bereich der neuen Medien erlangt, die Sie für Ihr Unternehmen nutzen können. Als Datenschutzbeauftragte und Fachanwälte stellen Sie das Komplettpaket für Ihren Datenschutz bereit.
Sie brauchen noch weitere Informationen?
Wenn Sie noch weitere Informationen wünschen, buchen Sie einfach die kostenlose Erstberatung. Unsere Anwälte beantworten Ihre Anfrage innerhalb von 48h und können mit Ihnen zusammen entscheiden, welches Vorgehen das Richtige für Ihr Unternehmen ist.