search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

DSGVO-Audit: Das Nützliche mit dem Angenehmen verbinden

DSGVO-Audit: Das Nützliche mit dem Angenehmen verbinden

Von Alexis Quentrec

Am 12. November 2024

Die DSGVO verkörpert viele Fantasien: neue, übertriebene Verpflichtungen, eine neu zu gestaltende Organisation, prohibitive Strafen usw. Aber wie sieht es bei Ihnen heute aus? Wären Sie bereits auf die DSGVO vorbereitet, ohne es zu wissen?

Eine sehr kurze Erinnerung

Ohne auf das Thema näher eingehen zu wollen, wird die Allgemeine Datenschutzverordnung (GDPR) am 28. Mai in Kraft treten.

Ihre Umsetzung in französisches Recht wird derzeit im Parlament diskutiert, aber die wichtigsten Verpflichtungen stehen fest.

Ein personenbezogenes Datum ist ein Datum, das direkt oder indirekt eine natürliche Person kennzeichnet. Name, Vorname, persönliche oder berufliche E-Mail-Adresse, physische Adresse, Telefonnummer, ... Es handelt sich auch um alle Metadaten, die mit der Nutzung verschiedener Online-Dienste oder dem elektronischen Austausch verbunden sind.

Um die Nutzung personenbezogener Daten zu regeln, enthält die DSGVO eine Reihe von Verpflichtungen in Bezug auf die Erhebung und Verarbeitung personenbezogener Daten.

Ohne sie erschöpfend zu nennen, könnte man an die ausdrückliche Zustimmung des Nutzers zu jeder Verarbeitung (und den Nachweis dieser Zustimmung), die Dauer der Datenspeicherung oder das Recht auf Änderung/Löschung/Übertragbarkeit der Daten denken.

Für Unternehmen werden weitere Verpflichtungen festgelegt, die über ihre direkte Beziehung zu Nutzern und Kunden hinausgehen:

  • Die Ernennung eines Datenschutzbeauftragten(oder Data Protection Officer für den englischsprachigen Raum),
  • die Führung eines Verzeichnisses der Datenverarbeitung,
  • die gemeinsame Verantwortung für die Verarbeitung mit den Auftragsverarbeitern
  • usw.

Schließlich ist noch zu erwähnen, dass der "privacy-by-default" -Ansatz bei der Einführung neuer Dienstleistungen heilig ist, dass Unternehmen die Daten im Verhältnis zu den Risiken für die Rechte und Freiheiten von Personen sichern müssen und dass Unternehmen die Möglichkeit haben, ihre bewährten Verfahren mithilfe von Verhaltenskodizes selbst zu organisieren.

Alles in allem viele Elemente, die sowohl technische als auch organisatorische Aspekte abdecken und ziemlich weit über den Bereich der Cybersicherheit hinausgehen, was die scheinbare Komplexität, die durch diese Verordnung hervorgerufen wird, noch verstärkt.

Gnothi seauton

Nein, das ist kein Schimpfwort, sondern Altgriechisch. Thales, Pythagoras, Heraklit oder auch Sokrates haben gemeinsam, dass ihnen der Aphorismus "Gnothi seauton" zugeschrieben wird, was so viel wie "Erkenne dich selbst" bedeutet.

Für diejenigen, die einen moderneren Bezug bevorzugen, hat der von den Wachowskis produzierte Film Matrix "Temet Nosce" populär gemacht, eine lateinische Übersetzung des vorherigen griechischen Satzes.

Dieses Sprichwort fasst zusammen, wie man den Ansatz zur Einhaltung der DSGVO betrachten sollte: Um einen Aktionsplan zu erstellen, muss man zunächst die Entfernung zum Ziel messen. Ein anfängliches Audit ermöglicht es, sich einen Überblick über die bereits vorhandenen Bemühungen und Vorgehensweisen zu verschaffen.

Dieses Audit ist notwendig, um das anschließende Change Management vorzubereiten: Über die technischen Maßnahmen hinaus betrifft die wichtigste Auswirkung der DSGVO die Rechenschaftspflicht für die Datennutzung; und das bezieht sich ausschließlich auf den menschlichen Verantwortlichen für die Datenverarbeitung.


Dieses erste Audit ist weit davon entfernt, ein Ziel zu sein; es ist sogar das Gegenteil davon. Anstatt eine Situation einzufrieren, markiert es die Startlinie für das Rennen, das die Einhaltung der DSGVO darstellt (dessen Distanz je nach dem, was das Audit zutage fördert, mehr oder weniger lang sein wird).

Das Audit darf keine Analyse bleiben, die zwischen den anderen Dokumenten auf einem unaufgeräumten Schreibtisch verloren geht. Im Gegenteil, es muss in einen Fahrplan münden, mit klar identifizierten Maßnahmen, konkreten Ergebnissen und einer umfassenderen Vision, wie diese Maßnahmen ineinandergreifen, um die Einhaltung der DSGVO zu erreichen.

Der Rückgriff auf einen Partner, der über Fachwissen zu dem betreffenden Thema verfügt, kann ein erstes Element der Antwort auf die Einhaltung der DSGVO sein: Diese Kontakt- und Fachstelle wird in der Lage sein, die Energien des Unternehmens um ein gemeinsames Anliegen und transversale Kompetenzen zu bündeln: Recht, IS, Marketing, Einkauf, ...

Lernen durch Gehen

Das Anfangsaudit ermöglicht es, eine erste Bilanz dessen, was im Gange ist, hervorzubringen, aber vor allem einen Aktionsplan zu erstellen, um die bestehenden Organisationen, Prozesse und Werkzeuge weiterzuentwickeln.

Das Ziel ist nicht, Opfer einer neuen Vorschrift zu werden, sondern von einer neuen Vorgehensweise zu profitieren, um Prozesse zu verfeinern und zu optimieren, und von neuen Wegen, um einen - anderen und differenzierenden - Wert für die Endnutzer zu generieren.


Dafür ist die Einbeziehung der unternehmensinternen Interessengruppen unerlässlich: Die Rechtsabteilung kann nicht der einzige Garant für die Einhaltung der Vorschriften sein. Die Herausforderung ist bereichsübergreifend und hängt tiefgreifend von den Arbeitsmethoden jedes Einzelnen ab.

Ja, die Arbeitsweisen werden von dieser Verordnung beeinflusst; die Entwicklung der Arbeitsmethoden wird sich global für alle durchsetzen, mit einer neuen Art und Weise, sich dem Konsum persönlicher Daten zu nähern.

Dies umfasst auch die Beziehung zu ihren Subunternehmern, die mehr denn je unverzichtbare Stakeholder sind, die in diese Arbeit einbezogen werden müssen. Mit dem System der gemeinsamen Verantwortung zwischen dem für die Verarbeitung Verantwortlichen (= Unternehmenskunde) und dem Auftragsverarbeiter ist es nicht mehr möglich, die Beziehung zugunsten der einen oder anderen Partei aus dem Gleichgewicht zu bringen.

Die Beziehung zum Auftragsverarbeiter ist umso wichtiger, als sie häufig mit der Nutzung bestimmter Schlüsselexpertisen hinsichtlich der Verarbeitung personenbezogener Daten verbunden ist: statistische Analysen durch Big Data, HR-Verarbeitung, Marketingkampagnen,....

Die Einbeziehung des Auftragsverarbeiters in die Bemühungen zur Einhaltung der DSGVO ermöglicht es daher, die Sicherheit bei der Verarbeitung personenbezogener Daten insgesamt zu erhöhen.


Indem man auf eine kontinuierliche Verbesserung anhand mehr oder weniger formeller Punkte abzielt, kann jeder zum Akteur der Einhaltung der DSGVO werden, indem er sich die beim Audit ermittelten Punkte zu eigen macht. Es gilt, Werte zu schaffen, indem man den Willen in einem gemeinsamen Projekt zusammenführt, das für alle verbindlich ist und die Gepflogenheiten umgestaltet.

Was ist mit der Ziellinie in all dem?

Eine erste Sache, die es zu klären gilt: Es gibt keine "DSGVO-Zertifizierung". Was hingegen vorgesehen ist, ist die Zertifizierung der Einhaltung von Verhaltenskodizes, die nicht von der CNIL und ihren europäischen Äquivalenten, sondern von Unternehmen und Unternehmensverbänden angeboten wird.

Da es keine "offizielle DSGVO-Zertifizierung" gibt, muss sich jedes Unternehmen seine eigene Zertifizierung aufbauen, die als "interner Code" für die Verarbeitung personenbezogener Daten dient.


Dieser "interne Kodex" muss im Vorfeld auf der Grundlage des anfänglichen Audits und der erhobenen geschäftlichen Bedürfnisse betrachtet worden sein: Er bildet das interne Bezugssystem für die Verwendung personenbezogener Daten.

Die Erstellung dieses Kodex dient mehreren Zwecken:

  • Er soll die Kohärenz bei der Verwendung personenbezogener Daten gewährleisten (gesammelte Daten, Art der Sammlung, Einholung der Zustimmung, Anforderungen an den Auftragsverarbeiter, Aufbewahrungsdauer usw.);
  • Er wird eine Referenz für die Arbeit mit den Auftragsverarbeitern darstellen ;
  • Er wird als Zielscheibe dienen, um zu überprüfen, ob die bei der ersten Prüfung ermittelten Ziele eingehalten wurden.

Denn dieser "interne Kodex" muss durch die Durchführung eines zweiten, formaleren, realitätsnäheren Audits mit der Realität konfrontiert werden. Der Umfang dieses neuen Audits geht dann über den internen Rahmen hinaus und muss alle Beteiligten betreffen, die ursprünglich identifiziert wurden.

In Anbetracht des Zwecks dieses "internen Kodex" darf er sich nicht nur auf allgemeine Grundsätze oder vage Bezeichnungen konzentrieren: Er muss die Erwartungen unmissverständlich festlegen, insbesondere in Bezug auf die Verwendung spezifischer Techniken zur Gewährleistung der Vertraulichkeit personenbezogener Daten (z. B. Verschlüsselungsalgorithmus, aber auch akzeptable Arten der Mehr-Faktor-Authentifizierung usw.).

Ziel ist es, Verbesserungspunkte zu identifizieren, denn es ist unbedingt zu bedenken, dass die Einhaltung der DSGVO nicht von heute auf morgen erreicht werden kann.

Außerdem muss man im Hinterkopf behalten, dass sich der von der DSGVO betroffene Umfang im Unternehmen ständig ändern wird (neue Verarbeitungen, Hinzufügen und Entfernen von Anwendungen usw.).

Wie läuft das Audit konkret ab?

Der Schlüssel dazu ist ein kritisches, objektives und wohlwollendes Auge, das Ihnen einen Mehrwert bietet.

Sie können intern über dieses Auge verfügen - was übrigens eine hervorragende Sache ist -, das von Ihrem Datenschutzbeauftragten / künftigen Datenschutzbeauftragten verkörpert werden kann.

Diese Situation ist jedoch nicht allgemein verbreitet und stellt eher die Ausnahme als die Regel dar.

In jedem Fall müssen Sie über das traditionelle Konzept des Audits, das auf schlechtes Verhalten hinweist, hinausgehen und zu einem umfassenderen Konzept übergehen, das Folgendes berücksichtigt

  • Ihren geschäftlichen Kontext - der angesichts der DSGVO umso wichtiger ist ;
  • Ihr fachlicher Kontext ;
  • Ihr IT-Kontext ;
  • Ihren menschlichen Kontext.


Nuageo kann Sie über GDPReady bei diesem Schritt in Richtung DSGVO unterstützen:

  • Wir bieten eine bereichsübergreifende Sicht auf Ihre Kontexte im Hinblick auf die Herausforderungen der DSGVO,
  • schlagen wir Ihnen einen Fahrplan vor,
  • Wir begleiten Sie bei der Steuerung und Umsetzung der Ziele dieser Roadmap, die über rein rechtliche oder technische Herausforderungen hinausgeht.

Die eigentliche Herausforderung besteht darin, Ihnen die Mittel an die Hand zu geben, um den für Ihr Geschäft notwendigen Mehrwert zu liefern und dabei die Herausforderungen des Datenschutzes zu respektieren.

Artikel verfasst von Alexis Quentrec, DSGVO-Spezialist bei Nuageo, einer Beratungsfirma für Cloud Computing.

Artikel übersetzt aus dem Französischen