Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


26.5.2023

Fünf Jahre DSGVO – Zeit für ein Datenschutz-Audit?!

Seit fünf Jahren gelten die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO). Das kann ein guter Zeitpunkt für ein Datenschutz-Audit in Unternehmen und sonstigen Stellen sein, die Verantwortliche im Sinne des Datenschutzrechts sind. Keine Frage, es muss nicht der „Geburtstag der DSGVO“ sein, es kann auch viele andere Anlässe für ein Datenschutz-Audit geben: Datenschutzvorfälle im Unternehmen, Verlautbarungen von Aufsichtsbehörden oder Gerichtsentscheidungen.

In jedem Fall sieht Art. 24 Abs. 1 Satz 2 DSGVO vor, dass die gemäß DSGVO umzusetzenden technischen und organisatorischen Maßnahmen (TOM) überprüft und aktualisiert werden müssen. Zu diesen Maßnahmen zählen insbesondere die TOM nach Art. 32 DSGVO, um die Sicherheit der Verarbeitung zu gewährleisten, aber auch Maßnahmen für einen „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ nach Art. 25 DSGVO.

Es obliegt dem Verantwortlichen, festzustellen, ob eine Anpassung oder Ergänzung bestehender Maßnahmen angezeigt ist. Ob das der Fall ist und wie ein Datenschutz-Audit konkret aufzusetzen und durchzuführen ist, hängt von mehreren Faktoren ab, z.B. Umfang und Art der Verarbeitung personenbezogener Daten, aber auch Art, Umfang, Ergebnis und Zeitpunkt von bereits erfolgten Maßnahmen zur Umsetzung der DSGVO-Vorgaben. Sollte insoweit Unsicherheit bestehen, kann ein Fragenkatalog als „Quick-Check“ eine Entscheidungshilfe und ein erster Schritt zur Bestimmung von Art und Umfang des Datenschutz-Audits sein.

Falls ein Audit zu dem Ergebnis führt, dass die getroffenen TOM nicht mehr i.S.d. Art. 24 Abs. 1 Satz 1 DSGVO geeignet sind, müssen die Maßnahmen aktualisiert werden. Diese Aktualisierung kann zu einer Änderung bzw. Anpassung bestehender oder zur Einführung neuer bzw. zusätzlicher Maßnahmen führen, um sicherzustellen und den Nachweis erbringen zu können, dass die Verarbeitung gemäß den DSGVO-Vorgaben erfolgt.

Sollten Sie Fragen zu der Notwendigkeit, dem Inhalt, dem Umfang und der Durchführung von Datenschutz-Audits haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht