FAQ – Frequently Asked Questions

Welche Verarbeitungsprozesse sollten einem Audit unterzogen werden?

Grundsätzlich können alle Verarbeitungsprozesse, die mit personenbezogenen Daten zu tun haben, einem Audit unterzogen werden. Wir empfehlen Audits vor allem dann, wenn Auftragsverarbeiter und/oder gemeinsam Verantwortliche in die Verarbeitung einbezogen sind. Mit einem Audit können Verantwortliche gegenüber den Behörden nachweisen, dass sie ihren Kontrollpflichten gemäß Art. 28 nachgekommen sind.

Welchen Nutzen bringt ein Datenschutzaudit?

Wir prüfen sämtliche Anforderungen, die seitens der Datenschutzkonferenz des Bundes und der Länder für eine datenschutzrechtliche Zertifizierung relevant sind. Verantwortliche oder Auftragsverarbeiter können den Nachweis erbringen, dass eine Verarbeitung in Einklang mit datenschutzrechtlichen Gesetzen und Verordnungen erfolgt. Ein Audit kann

  • eventuell vorhandene Schwachstellen und Lücken in der Pflichtdokumentation aufdecken,
  • problematische Prozesse analysieren und Handlungsalternativen aufzeigen,
  • Widersprüche zwischen Dokumentation und Praxis offenlegen,
  • bei behördlichen Kontrollen den Nachweis der Wahrnehmung von Kontrollpflichten belegen und
  • einen Zertifizierungsprozess unterstützen und kostengünstiger gestalten.

Wer übernimmt die Kosten für ein Datenschutzaudit?

Grundsätzlich trägt der Auftraggeber die Kosten für ein Datenschutzaudit. Dies gilt sowohl bei Beauftragung durch einen Verantwortlichen, als auch bei Beauftragung durch einen Auftragsverarbeiter. Der Auftraggeber erhält einen ausführlichen schriftlichen Auditbericht. Sofern es sich um einen Auftragsverarbeiter als Auftraggeber handelt, steht es diesem frei, den schriftlichen Auditbericht sämtlichen Kunden und Verantwortlichen zur Verfügung zu stellen.

Warum sollte ich als Verantwortlicher ein Datenschutzaudit durchführen?

Der wichtigste Grund liegt in den Bestimmungen des Art. 28 DSGVO. Die alleinige Absicherung über einen rechtlich einwandfreien Vertrag zur Auftragsverarbeitung ist nicht ausreichend, den Anforderungen der DSGVO zu entsprechen. Der Verantwortliche muss über die vertraglichen Grundlagen hinaus auch dauerhaft sicherstellen, dass die Prozesse seitens des Auftragsverarbeiters vertrags- und rechtskonform durchgeführt werden. Mit einem Audit führt der Verantwortliche diesen Nachweis gegenüber den Behörden.

Kann ich als Auftragsverarbeiter ein Datenschutzaudit durchführen?

Selbstverständlich. Zu beachten ist dabei, dass lediglich Prozesse, nicht aber Organisationen auditiert werden können. Als Dienstleister können Sie potentiellen Auftraggebern und Interessenten nachweisen, dass ihre auditierten Prozesse sauber dokumentiert und datenschutzrechtlich einwandfrei implementiert sind.

Welchen Vorteil bietet ein Audit durch einen externen Dienstleister?

Die Durchführung eines Audits durch einen externen Dienstleister bietet die Gewähr, dass keine Interessenkollisionen zwischen den Beteiligten, Verantwortlichen, Auftragsverarbeitern und Subauftragnehmern einerseits, und den Auditoren bestehen.

Wer wird auf Seiten des Auftraggebers in den Auditprozess einbezogen?

Das hängt natürlich vom jeweils zu auditierenden Prozess ab. In der Regel sind dies mindestens:

  • der Datenschutzbeauftragte des Auftraggebers
  • der Informationssicherheitsbeauftragte des Auftraggebers, sofern vorhanden, ansonsten
  • die Leitung der IT-Abteilung
  • Geschäftsführer oder Vorstand des Auftraggebers bzw. eine delegierte Person
  • sämtliche in den Prozess involvierten Auftragsverarbeiter samt Subauftragnehmern

Können oder sollen auch Prozesse auditiert werden, die rein intern, ohne Auftragsverarbeiter durchgeführt werden?

Grundsätzlich ja, vor allem dann, wenn Grund zur Annahme besteht, dass die Risiken für den Betroffenen höher sein könnten und gegebenenfalls eine Datenschutzfolgeabschätzung nach Art. 35 angebracht und gefordert sein könnte. Das Erfordernis einer Datenschutzfolgeabschätzung wird immer im Rahmen einer Auditierung von Prozessen mit geprüft.

Kann ein Auftragsverarbeiter die Teilnahme an einem Aditprozess verweigern?

Grundsätzlich ist die konkrete Form der Prüfung von Auftragsverarbeitern nicht festgelegt. In Art. 28 Abs. 3 lit. h ist allgemein festgehalten, dass der Auftragsverarbeiter dem Verantwortlichen sämtliche Informationen zum Nachweis der Einhaltung seiner Verpflichtungen zu erbringen hat. Sollte der Auftragsverarbeiter seinerseits den betreffenden Prozess bereits auditiert oder zertifiziert haben, macht ein zusätzliches Audit nur dann einen Sinn, wenn der vorgelegte Auditbericht bzw. die Zertifizierung Regelungslücken und Fragen aufweist.
Bestehende Zweifel muss der Verantwortliche ausräumen und ggf. auch auf Kontrollen vor Ort bestehen.

Wer ist auf Seiten der PriSeCon GmbH an der Durchführung eines Audits beteiligt?

Seitens der PriSeCon GmbH sind mindestens Dr. jur. Wolfhard Steinmetz und der Geschäftsführer Peter Dippold beteiligt. Bei Bedarf können weitere Mitarbeiterinnen und Mitarbeiter hinzu gezogen werden.


Ihnen gefällt diese Seite?
Dann freuen wir uns, wenn Sie uns weiter empfehlen.
Die Einbindung der social media Buttons erfolgt über die Shariff-Lösung der Ct. Ihre Daten werden erst an Dritte übertragen, wenn Sie aktiv auf einen der Buttons klicken.
Herzlichen Dank fürs Teilen und Weitersagen.