Grundsätzlich können alle Verarbeitungsprozesse, die mit personenbezogenen Daten zu tun haben, einem Audit unterzogen werden. Wir empfehlen Audits vor allem dann, wenn Auftragsverarbeiter und/oder gemeinsam Verantwortliche in die Verarbeitung einbezogen sind. Mit einem Audit können Verantwortliche gegenüber den Behörden nachweisen, dass sie ihren Kontrollpflichten gemäß Art. 28 nachgekommen sind.

Wir prüfen sämtliche Anforderungen, die seitens der Datenschutzkonferenz des Bundes und der Länder für eine datenschutzrechtliche Zertifizierung relevant sind. Verantwortliche oder Auftragsverarbeiter können den Nachweis erbringen, dass eine Verarbeitung in Einklang mit datenschutzrechtlichen Gesetzen und Verordnungen erfolgt. Ein Audit kann

• eventuell vorhandene Schwachstellen und Lücken in der Pflichtdokumentation aufdecken,
• problematische Prozesse analysieren und Handlungsalternativen aufzeigen,
• Widersprüche zwischen Dokumentation und Praxis offenlegen,
• bei behördlichen Kontrollen den Nachweis der Wahrnehmung von Kontrollpflichten belegen und
• einen Zertifizierungsprozess unterstützen und kostengünstiger gestalten.

Grundsätzlich trägt der Auftraggeber die Kosten für ein Datenschutzaudit. Dies gilt sowohl bei Beauftragung durch einen Verantwortlichen, als auch bei Beauftragung durch einen Auftragsverarbeiter. Der Auftraggeber erhält einen ausführlichen schriftlichen Auditbericht. Sofern es sich um einen Auftragsverarbeiter als Auftraggeber handelt, steht es diesem frei, den schriftlichen Auditbericht sämtlichen Kunden und Verantwortlichen zur Verfügung zu stellen.

Der wichtigste Grund liegt in den Bestimmungen des Art. 28 DSGVO. Die alleinige Absicherung über einen rechtlich einwandfreien Vertrag zur Auftragsverarbeitung ist nicht ausreichend, den Anforderungen der DSGVO zu entsprechen. Der Verantwortliche muss über die vertraglichen Grundlagen hinaus auch dauerhaft sicherstellen, dass die Prozesse seitens des Auftragsverarbeiters vertrags- und rechtskonform durchgeführt werden. Mit einem Audit führt der Verantwortliche diesen Nachweis gegenüber den Behörden.

Selbstverständlich. Zu beachten ist dabei, dass lediglich Prozesse, nicht aber Organisationen auditiert werden können. Als Dienstleister können Sie potentiellen Auftraggebern und Interessenten nachweisen, dass ihre auditierten Prozesse sauber dokumentiert und datenschutzrechtlich einwandfrei implementiert sind.

Die Durchführung eines Audits durch einen externen Dienstleister bietet die Gewähr, dass keine Interessenkollisionen zwischen den Beteiligten, Verantwortlichen, Auftragsverarbeitern und Subauftragnehmern einerseits, und den Auditoren bestehen.

Das hängt natürlich vom jeweils zu auditierenden Prozess ab. In der Regel sind dies mindestens:

• der Datenschutzbeauftragte des Auftraggebers
• der Informationssicherheitsbeauftragte des Auftraggebers, sofern vorhanden, ansonsten
• die Leitung der IT-Abteilung
• Geschäftsführer oder Vorstand des Auftraggebers bzw. eine delegierte Person
• sämtliche in den Prozess involvierten Auftragsverarbeiter samt Subauftragnehmern

Grundsätzlich ja, vor allem dann, wenn Grund zur Annahme besteht, dass die Risiken für den Betroffenen höher sein könnten und gegebenenfalls eine Datenschutzfolgeabschätzung nach Art. 35 angebracht und gefordert sein könnte. Das Erfordernis einer Datenschutzfolgeabschätzung wird immer im Rahmen einer Auditierung von Prozessen mit geprüft.

Grundsätzlich ist die konkrete Form der Prüfung von Auftragsverarbeitern nicht festgelegt. In Art. 28 Abs. 3 lit. h ist allgemein festgehalten, dass der Auftragsverarbeiter dem Verantwortlichen sämtliche Informationen zum Nachweis der Einhaltung seiner Verpflichtungen zu erbringen hat. Sollte der Auftragsverarbeiter seinerseits den betreffenden Prozess bereits auditiert oder zertifiziert haben, macht ein zusätzliches Audit nur dann einen Sinn, wenn der vorgelegte Auditbericht bzw. die Zertifizierung Regelungslücken und Fragen aufweist.
Bestehende Zweifel muss der Verantwortliche ausräumen und ggf. auch auf Kontrollen vor Ort bestehen.

Seitens der PriSeCon GmbH sind mindestens Dr. jur. Wolfhard Steinmetz und der Geschäftsführer Peter Dippold beteiligt. Bei Bedarf können weitere Mitarbeiterinnen und Mitarbeiter hinzu gezogen werden.