Datenschutz-Auditierung

Als Verantwortlicher unterliegen Unternehmen einer Rechenschaftspflicht. Diese ist in Art. 5 Abs 2 DSGVO normiert: “Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).” Dabei sind in Absatz 1 die wesentlichen Anforderungen der DSGVO zusammengefasst.

Im Endeffekt resultieren aus der Rechenschaftspflicht diverse Dokumentationspflichten. Ohne hinreichende Nachweise der Einhaltung der DSGVO ist eine Rechenschaftspflicht praktisch nicht erfüllbar. Die Missachtung der Rechenschaftspflicht kann als bußgeldbewährter Datenschutzverstoß gewertet werden.

Normalerweise obliegt dem Datenschutzbeauftragten die Pflicht, die Datenverarbeitungen regelmäßig auf ihre Rechtskonformität zu prüfen. Die entsprechenden Prüfberichte oder auch Jahresberichte stellen einen wichtigen Teil der Datenschutzdokumentation dar, da sie zum einen die Rechtskonformität der Datenverarbeitungen im besten Fall bestätigen. Aber selbst wenn nicht, so zeigen sie die Bereitschaft des Unternehmens, den Datenschutz einzuhalten und etwaige Abweichungen festzustellen und zu beheben.

In manchen Fällen kann es trotzdem sinnvoll sein, eine externe Partei mit einer Datenschutz-Auditierung unabhängig vom eigenen Datenschutzbeauftragten zu betrauen. Hier sind ein paar typische Beispiele:

1. Das Prüfthema ist besonders komplex und benötigt entsprechende Expertise, die im Unternehmen aktuell nicht vorliegt,
2. die personellen Ressourcen für eine aufwendigere Prüfung stehen nicht zur Verfügung,
3. die Geschäftsleitung hat ein besonderes Erkenntnisinteresse, das vom Datenschutzbeauftragten nicht geteilt wird (der DSB arbeitet weisungsfrei. Insofern kann er nicht von der Geschäftsleitung gezielt beauftragt werden)
4. Andere betriebliche Gremien benötigen aus Neutralitätsgründen eine externe unabhängige Stellungnahme,
5. die Prüfung eines Subunternehmens benötigt eine externe neutrale Stelle