Wenn Sie ein Datenschutz-Audit anstreben, sind prinzipiell verschiedene Audit-Formate möglich. Für gewöhnlich ist ein Audit dazu gedacht, eine bereits bestehende Bestandsaufnahme zu auditieren. Jedoch kann ein Audit ebenfalls genutzt werden, um die gesamte datenschutzrechtliche Situation eines Unternehmens erstmalig zu überprüfen. Soll Datenschutz eingeführt werden, wird zu Beginn ein Datenschutzaudit notwendig. Prinzipiell ist ein Audit vor Ort oder in digitaler Form (Remote Audit) denkbar. Daneben existieren z. B. die folgenden Formen:
Im Rahmen eines TOM-Audits werden alle technischen und organisatorischen Maßnahmen überprüft, die ein Unternehmen zur Sicherstellung des Datenschutzes eingerichtet hat. Dabei ist unter anderem Ziel, einschätzen zu können, ob die von Ihrem Unternehmen ergriffenen Maßnahmen angemessen sind. Ein solches Audit wird meistens als Vor-Ort-Audit durchgeführt. Dazu bietet es sich im Vorhinein an, alle technisch-organisatorischen Maßnahmen zu sammeln.
Review
Haben Sie unternehmensintern ein Datenschutzaudit umgesetzt, ist es womöglich von Interesse, eine Zweitmeinung einzuholen. Hierfür können unabhängige Gutachter bzw. Dienstleister mit entsprechender Fachexpertise hinzugezogen werden, die ein eigenes Audit erstellen. Auf diesem Weg wird die Effizienz Ihres Audits überprüft. Außerdem tun sich so in vielen Fällen bisher nicht identifizierte Schwachstellen und Risiken auf.
AV-Audit
Ein Datenschutzaudit wird auch dann in Betracht gezogen, wenn der Verantwortliche innerhalb des Unternehmens einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen will oder bereits beauftragt hat. Stellen Sie in einem solchen Fall sicher, dass das beauftragte Unternehmen alle erforderlichen datenschutzrechtlichen Vorgaben einhält. Es handelt sich dann um ein externes Audit und einen wichtigen Anwendungsfall, da der Verantwortliche zunächst für Datenschutzverstöße seiner Auftragsverarbeiter haftet.
Der Verantwortliche ist dazu verpflichtet, Auftragsverarbeiter sorgfältig auszuwählen, und zu überprüfen, ob ein angemessenes Datenschutzniveau für den konkreten Verarbeitungsfall eingehalten wird. Der Umfang des Audits umfasst dann die datenschutzrechtliche Überprüfung des Auftragsverarbeitungsvertrages und der technischen und organisatorischen Maßnahmen (TOM) des Auftragnehmers.
Letztere beziehen sich vor allem auf die Umsetzung angemessener IT-Sicherheitsmaßnahmen bei der Verarbeitung der personenbezogenen Daten, aber auch auf die Verwendung der erforderlichen Unternehmensrichtlinien oder Betriebsvereinbarungen. Bei laufenden Vertragsverhältnissen kann abhängig von den Umständen auch ein Vor-Ort-Audit erforderlich sein.