search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

Auf dem Weg zur Einhaltung der Vorschriften mit dieser 6-stufigen DSGVO-Prüfungsmethode

Auf dem Weg zur Einhaltung der Vorschriften mit dieser 6-stufigen DSGVO-Prüfungsmethode

Von Jennifer Montérémal

Am 27. Oktober 2024

Seit 2016 unterliegt die große Mehrheit der Unternehmen und Organisationen in der EU der Allgemeinen Datenschutzverordnung, besser bekannt unter dem Kurznamen DSGVO.

Diese Verpflichtung hat es den betroffenen Einrichtungen ermöglicht, die Art und Weise, wie sie personenbezogene Daten von Einzelpersonen sammeln und verarbeiten, in Frage zu stellen, obwohl das Internet die Verbreitung dieser Daten komplexer gemacht und vervielfacht hat.

Vor allem aber mussten die Fachleute neue Prozesse in ihren Alltag integrieren, um die Einhaltung der Vorschriften zu gewährleisten, angefangen mit dem DSGVO-Audit.

Woraus besteht es und wie wird es durchgeführt? Auf welche Hilfe (Mensch oder Software) können Sie sich verlassen?

Um Klarheit zu schaffen, sehen Sie sich unser Beispiel für ein DSGVO-Audit an 🔎.

Was ist ein RGPD-Audit?

Definition des DSGVO-Audits

Zur Erinnerung: Die DSGVO (für General Data Protection Regulation) ist in Kraft getreten, um die Erhebung, Verarbeitung und Verwaltung personenbezogener Daten europaweit zu regeln.

Sie betrifft :

  • Jede Einrichtung (Unternehmen, Regierungsbehörde, gemeinnützige Organisation usw.), die sich in der EU befindet,
  • jede Einrichtung, die außerhalb der EU angesiedelt ist, aber Informationen von Einzelpersonen verarbeitet, die in der EU ansässig sind,
  • Auftragsverarbeiter und Dienstleister, die im Auftrag anderer Organisationen mit Daten umgehen.

Die DSGVO schreibt die Einrichtung verschiedener Prozesse vor (Einholung der ausdrücklichen Zustimmung, Durchsetzung des Rechts auf Information usw.). Die Einhaltung der Vorschriften bedeutet jedoch zwangsläufig, dass zu einem bestimmten Zeitpunkt überprüft werden muss, wie es um die Einhaltung der Verpflichtungen durch die Einrichtung bestellt ist.

👉 An dieser Stelle kommt das DSGVO-Audit ins Spiel.

Man unterscheidet jedoch zwei Arten von Audits:

  • Das Erstaudit, das zu Beginn des Einsatzes der Maßnahmen zur Einhaltung der Vorschriften durchgeführt wird,
  • das Folgeaudit, das in regelmäßigen Abständen durchgeführt wird, da die Einhaltung der DSGVO ein kontinuierlicher Prozess ist.

🤓 Erfahren Sie mehr zu diesem Thema in unserem Artikel über die 6 wichtigsten Schritte und 3 Werkzeuge zur Umsetzung der DSGVO-Konformität.

Die verschiedenen Arten von Diagnosen

Um Lücken zu identifizieren und die notwendigen Korrekturmaßnahmen zur Einhaltung der Vorschriften anzuleiten, werden verschiedene Diagnosen durchgeführt, sowohl beim Erstaudit als auch bei Folgeaudits.

👉 Die wichtigsten sind :

  • die Diagnose des Informationssystems und der verschiedenen Werkzeuge (z. B. Software), die in der Organisation vorhanden sind,
  • die Diagnose des Prozesses der Erhebung personenbezogener Daten und der Verwaltung von Einwilligungen,
  • die Diagnose der Verarbeitung dieser Daten (wie werden sie verwendet und zu welchen Zwecken?),
  • die Sicherheitsdiagnose, die insbesondere darauf abzielt, die Daten vor Verstößen und anderen unberechtigten Zugriffen zu schützen.

Warum sollte man ein DSGVO-Audit durchführen?

Es gibt viele Gründe, ein DSGVO-Audit durchzuführen, denn es dient unter anderem dazu :

  • Eine Bestandsaufnahme Ihrer aktuellen Situation zu erstellen. So können Sie feststellen, welche Lücken zwischen dem Ist und dem Soll bestehen und welche Aufgaben zu erledigen sind, um die DSGVO einzu halten;
  • die Daten des Unternehmens zu erfassen und zu verstehen, wie sie verarbeitet werden, um sie besser verwalten zu können;
  • die potenziellen Risiken zu erkennen und somit die richtigen Korrekturen vorzunehmen.

Das DSGVO-Audit führt schließlich zur Erstellung eines Aktionsplans, der wiederum in eine Roadmap umgewandelt wird.

💡 Zu beachten: Auch wenn das Interesse an diesem Audit sehr stark im rechtlichen Bereich liegt (Vorsicht vor Sanktionen bei Verstößen!), sollten wir nicht vergessen, dass die Kontrolle der Daten und Ihre Transparenz dazu beitragen, den Ruf der Organisation zu pflegen. Dies gilt insbesondere in einer Zeit, in der die Bürgerinnen und Bürger genauer hinschauen, was mit ihren persönlichen Daten geschieht!

Wie führt man ein ordnungsgemäßes DSGVO-Audit durch? Die sechs wichtigsten Schritte

Schritt 1: Auditieren Sie die Erhebung personenbezogener Daten.

Beginnen wir mit einem der wichtigsten Aspekte, die durch die DSGVO geregelt werden: der Art und Weise, wie personenbezogene Daten gesammelt werden.

In diesem Schritt müssen Sie :

  • eine Liste aller Quellen und aller verwendeten Erhebungsmethoden erstellen, z. B. Webformulare, Cookies usw.,
  • prüfen, ob diese Erhebung legitim ist, d. h. ob sie in den gesetzlichen Rahmen fällt, wie er in Artikel 6 der DSGVO vereinbart wurde:
    • durch Einwilligung,
    • durch eine vertragliche Maßnahme,
    • durch die Erfüllung einer rechtlichen Verpflichtung,
    • wenn die Verarbeitung für die Wahrung von Interessen erforderlich ist,
    • wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
    • wenn die Verarbeitung für die Zwecke der berechtigten Interessen erforderlich ist, die von dem für die Verarbeitung Verantwortlichen oder von einem Dritten verfolgt werden.

☝️ Unternehmen sind jedoch vor allem von der Frage der Einwilligung betroffen, die nach Ansicht der CNIL :

  • frei, d. h. nicht erzwungen oder beeinflusst, sein,
  • spezifisch, einem bestimmten Zweck gewidmet sein,
  • informiert sein, was bedeutet, dass der Internetnutzer umfassend informiert werden muss,
  • eindeutig sein, d. h. keinen Raum für Zweideutigkeiten lassen.

Schritt 2: Das Informationssystem prüfen

Hier sollten Sie alle Werkzeuge und Geräte in Ihrem Informationssystem überprüfen, die auf die eine oder andere Weise Daten verwenden. Dazu gehört z. B. Ihre Software.

Stellen Sie dann fest, wie sich diese Daten innerhalb dieses IS verhalten, genauer gesagt :

  • welcher Art sie ist,
  • wo sie gespeichert wird,
  • wie sie innerhalb und außerhalb des Unternehmens zirkulieren.

In dieser Phase empfiehlt es sich, Ihr Informationssystem zu kartografieren, um die Informationen über die innerhalb der Struktur ausgetauschten Daten und die damit verbundenen Datenflüsse zu dokumentieren.

💡 Tipp: Erleichtern Sie sich die Arbeit mit einem einheitlichen Datenspeicher, in dem alle Daten über Ihre Kunden, Produkte oder andere Einheiten zentral gespeichert werden.

Schritt 3: Prüfen Sie die Datenverarbeitung.

Jetzt ist es an der Zeit, die Art und Weise zu verstehen, wie die Daten verarbeitet werden. Dies beinhaltet zwei Fragen:

  • Wie werden die Daten konkret verwendet?
  • Und zu welchen Zwecken?

Die Tatsache, dass die DSGVO die Führung eines Verzeichnisses der Datenverarbeitung vorschreibt, erleichtert diese Analyse. Dieses muss gemäß Artikel 30 insbesondere die folgenden Informationen festhalten:

  • Die Zwecke der Verarbeitung,
  • Eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien der personenbezogenen Daten,
  • Kategorien von Empfängern, an die diese Daten weitergegeben wurden oder werden,
  • Gegebenenfalls die Übermittlung dieser Daten an ein Drittland oder an eine internationale Organisation,
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
  • eine allgemeine Beschreibung der getroffenen technischen und organisatorischen Sicherheitsmaßnahmen.

💡 Wissenswert: Das Verarbeitungsaudit ist auch eine perfekte Gelegenheit, um die vom Unternehmen nicht genutzten Daten zu identifizieren und so im Einklang mit der DSGVO-Philosophie "ein bisschen aufzuräumen".

Schritt 4: Die Sicherheit auditieren

Vergleichbar mit einem technischen Audit geht es in diesem Schritt darum, sicherzustellen, dass die im Unternehmen gespeicherten Daten umfassend geschützt sind.

Dabei werden Ihnen mehrere Punkte auffallen. Zum Beispiel :

  • die grundlegenden Sicherheitsmaßnahmen (Antivirus, Firewall, Intrusion Detection usw.), die für alle Vermögenswerte eingesetzt werden, seien es Geräte, Software, das Netzwerk usw,
  • eine angemessene Verwaltung der Zugriffsrechte und Berechtigungen, die sicherstellt, dass nur berechtigte Personen auf diese oder jene Informationen zugreifen,
  • die ordnungsgemäße Verwaltung von Passwörtern, insbesondere durch die Einführung einer dedizierten Richtlinie,
  • die Verschlüsselung der Daten,
  • die Einrichtung regelmäßiger Datensicherungen, die für die Aufrechterhaltung des Geschäftsbetriebs im Falle eines Datenverlusts unerlässlich sind,
  • Sensibilisierung und sogar Schulung der Mitarbeiter hinsichtlich des Schutzes persönlicher Informationen und der IT-Sicherheit im Allgemeinen.

💡 Wissenswert: Dieser Teil der Diagnose wird in der Regel von Penetrationstests sowie einer eingehenden Analyse der für den Fall von Datenlecks vorgesehenen Verfahren begleitet.

Schritt 5: Verfassen Sie den DSGVO-Auditbericht und setzen Sie den Aktionsplan um.

Am Ende Ihres Audits sollten Sie einen Bericht verfassen, in dem die konformen und nicht konformen Punkte festgehalten werden. Auf diese Weise identifizieren Sie Abweichungen zwischen dem, was die Vorschriften von Ihnen erwarten, und der Realität.

Natürlich ist es wichtig, dass Sie einen Aktionsplan aufstellen (und diesen befolgen!), damit Sie schnell in die Gänge kommen.

👉 Dieser Aktionsplan umfasst die folgenden Informationen:

  • die Art der Baustellen, die Sie in Angriff nehmen müssen, um die bei der Prüfung festgestellten Mängel zu beheben,
  • die Priorisierung dieser Baustellen nach der Schwere der Verstöße und ihrer potenziellen Auswirkungen in Bezug auf die DSGVO,
  • die für dieses Projekt zu mobilisierenden Humanressourcen mit genauen Angaben zu den Rollen und Verantwortlichkeiten jedes Einzelnen,
  • den Fahrplan mit den verschiedenen Schritten, Fristen, Meilensteinen usw.

Schritt 6: Regelmäßige DSGVO-Audits durchführen

Wenn dies Ihr erstes DSGVO-Audit ist und Sie dachten, dass es dabei bleiben würde, dann haben Sie schlechte Nachrichten: Es handelt sich um einen fortlaufenden Prozess!

Denn um langfristig gesetzeskonform zu bleiben, müssen Sie regelmäßig Diagnosen durchführen. Die Häufigkeit hängt natürlich von vielen Faktoren ab, wie z. B. der Größe Ihrer Organisation, ihrer Komplexität oder auch den Entwicklungen auf Ihrem Markt, aber diese Arbeit mindestens einmal pro Jahr durchzuführen, scheint ein guter Anfang zu sein.

💡 Wichtig zu wissen: Stellen Sie in der Zwischenzeit sicher, dass alle bewährten Verfahren, die Sie eingeführt haben (z. B. zur Einholung von Einwilligungen), in Ihrem Unternehmen beibehalten werden. Daher ist es wichtig, die zuständigen Teams in diesen Fragen umfassend zu schulen.

Verarbeitung des DSGVO-Audits: intern oder extern?

Da das DSGVO-Audit technische und rechtliche Kompetenzen erfordert, entscheiden sich einige Unternehmen dafür, externe Fachleute wie Datenschutzbeauftragte( DPO ) oder Rechtsexperten zu beauftragen.

Eine solche Delegierung der DSGVO-Prüfungen verursacht jedoch zusätzliche Kosten, und viele Organisationen entscheiden sich dafür, die gesamte Arbeit intern durchzuführen. Diese Arbeit wird durch das Aufkommen von Software erleichtert, die auf diesen Bereich spezialisiert ist und nicht nur an große Gruppen gerichtet ist.

👉 Witik zum Beispiel übernimmt alle Prozesse, die mit der Einhaltung der DSGVO durch kleine und mittlere Unternehmen verbunden sind. Sie unterstützt daher Fachleute bei der Durchführung ihrer Audits mithilfe von anpassbaren und umfassenden Programmen (Bewertung der verschiedenen Systeme und Medien, Ihrer Subunternehmer usw.). Die Software verwaltet auch den Aktionsplan zur Einhaltung der Vorschriften sowie die Schulung der Teams.

Was lernen wir aus dem DSGVO-Audit?

Sie haben gerade ein Beispiel für eine Methodik gelesen, mit der Sie Ihr DSGVO-Compliance-Audit ordnungsgemäß durchführen und sicherstellen können, dass Sie keine Diagnose vergessen: Diagnose der Erhebung personenbezogener Daten, Diagnose des Informationssystems, Diagnose der Datenverarbeitung und Diagnose der Sicherheit.

Auch wenn das Verfahren nicht allzu kompliziert erscheint, erfordert es dennoch Gründlichkeit- und eine Menge Bandbreite! Aus diesem Grund empfehlen wir Ihnen, diese Vorgänge so weit wie möglich zu automatisieren, was zwangsläufig den Einsatz spezieller Software erfordert.

Dank dieser Technologien sparen Sie Zeit bei Ihren DSGVO-Prozessen. Zeit, die Sie beispielsweise für die Schulung Ihrer Mitarbeiter verwenden können, die die Grundlage für Ihre Compliance bilden.

Artikel übersetzt aus dem Französischen