00:00:00: Ist die Überwachung durch den Datenschutzbeauftragten gleichzusetzen mit deinem Datenschutzaudit?
00:00:07: Was ist ein externes und was ein internes Datenschutzaudit? Wo sind die Unterschiede zwischen Audit-Verfahren
00:00:15: und wer sollte bei einem internen Audit eigentlich durch den Datenschutzbeauftragten eingebunden werden?
00:00:23: Datenschutz Praxis der Podcast fragt nach bei Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.
00:00:35: Mein Name ist Severin Putz und ich begrüße Sie zu unserer neuen Folge von Datenschutzpraxis der Podcast.
00:00:43: Wir setzen damit die Reihe an Datenschutztalks aus dem letzten Jahr fort.
00:00:47: Und werden regelmäßig mit spannenden Gesprächspartnern über aktuelle Themen aus Datenschutz und Datensicherheit diskutieren.
00:00:55: Als ausgewiesener Fachexperte und Moderator ist wieder Oliver Schonschek mit dabei.
00:01:00: Er ist freier Analyst und Fachjournalist und der Datenschutzpraxis schon lange eng verbunden, hallo Oliver! Hallo Severin.
00:01:09: Heute möchten wir uns mit dem Thema Datenschutz Audit beschäftigen und wir freuen uns als Interviewpartnerinnen Frau Marit Hansen Landesbeauftragte für Datenschutz in Schleswig-Holstein begrüßen zu dürfen Herzlich willkommen, Frau Hansen!
00:01:24: Ich freue mich auch, dass ich in diesem Podcast dabei sein darf.
00:01:27: Dann würde ich vorschlagen, wir starten gleich in unser Interview! Oliver, leg los! Ja sehr gerne! Hallo Frau Hansen.
00:01:35: Das ULD, das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, hat sich ja viele Jahre ausgiebig mit dem Thema Datenschutzaudit befasst
00:01:44: und Datenschutzaudits bei öffentlichen Stellen im Schleswig-Holstein durchgeführt.
00:01:49: Und bis 25.Mai 2018, wir wissen ja alle, warum, dieses Datum, gab es dieses Datenschutzaudit durch das ULD.
00:01:58: Wenn wir jetzt auf den Bund, schauen im alten Bundesdatenschutzgesetz gab es einen Paragraphen 9a "Datenschutzaudit". Im neuen BDSG findet man den Ausdruck jedoch nicht.
00:02:09: Wenn wir in die Datenschutzgrundverordnung blicken, findet man in Artikel 32 die Forderung nach einem Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der
00:02:21: technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Ein sehr langer Satz ;-)
00:02:28: Aber die Frage ist: Ist mit diesem Verfahren zur regelmäßigen Überprüfung, ist damit dieses Audit gemeint oder ist das Thema "Datenschutzaudit" Geschichte?
00:02:38: Im Gegenteil, das Thema Datenschutz-Audit bedeutet genau, dass ein Verfahren existieren soll um Überprüfungen
00:02:47: intern
00:02:48: durch die jeweiligen Auditoren, das kann auch die Datenschutzbeauftragten vor Ort sein, durchzuführen. Und wir haben ja noch eine zusätzliche Regelung in der Datenschutzgrundverordnung, die Zertifizierung, das ist eben nicht notwendigerweise
00:03:04: die regelmäßige Überprüfung, die dadurch stattfindet, das ist etwas, was wahrscheinlich nur ein Bruchteil der Behörden und Unternehmen überhaupt in Anspruch nehmen will, aber die Idee einer eigenen Überprüfung, die müssen alle durchführen.
00:03:17: Nun gibt es allerdings auch bestimmte Normen, die regeln, wie ein Datenschutzaudit durchgeführt werden soll oder ein Audit an sich, das kommt auch z.b. aus der ISO-Welt das ist jetzt nicht zwangsweise gefordert
00:03:29: in der Schutz Grundverordnung also wenn dass man ein anderes Verfahren hat
00:03:33: aus trotzdem diese regelmäßige Überprüfbarkeit gewährleistet, dann ist das genauso gut, aber in der Sache wird man gar nicht auseinander liegen.
00:03:42: Und wenn man sich jetzt nicht an den Normen orientiert und vielleicht ein anderes Verfahren entwickelt, um selbst ein internes, nenn ich es mal internes Datenschutzaudit, durchzuführen:
00:03:54: Wie wie kann man denn sowas entwickeln? Gibt's da Muster, kann da die Aufsichtsbehörde noch Tipps geben oder würden Sie sagen, es ist vielleicht doch am besten man orientiert sich an verfügbaren Normen?
00:04:07: Na, wenn man eine ISO Norm liest, ist es meistens nicht so richtig attraktiv und für ganz kleine Unternehmen oder Behörden mag das auch Overkill sein ... dass da zu viel drin steht, also sag ich
00:04:18: eine Prüfplanung professionell zu machen, das erfordert eigentlich dass man ein gutes Team hat. Das finde ich natürlich als Aufsichtsbehörde sehr schön, wenn ein ganzes Team möglichst aus verschiedenen Disziplinen sich mit dem Thema
00:04:30: Audit und Überprüfung der der Maßnahmen zum Beispiel beschäftigt, aber für die ganz Kleinen ist das nicht immer ganz realistisch. Aber man findet auch ganz viel trotzdem zum Thema Selbstcheck und genau die
00:04:41: Datenschutzbeauftragten, die ja in den Unternehmen verpflichtend sind, demnächst ab
00:04:47: 20 statt 10 Personen, die sich ständig mit Datenverarbeitung beschäftigen oder in den Behörden, wo das auch bei kleineren Behörden-Einheiten notwendig istr das ist deren
00:04:57: Auftrag ohnehin sich immer einen Überblick zu verschaffen und zu zu checken: Ist denn alles gerade in Ordnung? das bedeutet nicht dass immer jeden Tag.
00:05:06: Sämtliche IT-Prozesse in den Blick genommen werden können, das wird auch gar nicht gefordert, aber wenn man einen blinden Fleck entwickelt und bestimmte Dinge, nie sich anschaut, dann ist as bestimmt auch nicht in Ordnung.
00:05:15: Sie haben gerade auch auf das sehr aktuelle Thema ja Bezug genommen, "Datenschutzbeauftragte", dass kleine Unternehmen dann
00:05:24: keinen mehr benennen müssen, wär für die dann eher der Fall - wobei ich persönlich sagen muss, dass mir diese Vorstellung gar nicht so gut gefällt -
00:05:35: aber ein externes Datenschutzaudit, wär das dann für die sinnvoll, wenn wenn man sagt: Ja, ich hab jetzt keinen Datenschutzbeauftragten benannt,
00:05:44: aber das soll ja gemacht werden, so ein Verfahren muss es geben.
00:05:48: Wär es dann sinnvoll ein externes [Datenschutzaudit] zu bestellen und wo wär dann da der Unterschied zu einer Zertifizierung, die auch extern erfolgen muss.
00:06:00: Ja, die Zertifizierung nehme ich mal vorweg, die soll gewährleisten, dass damit nachgewiesen wird, dass die sämtlichen Regelung der Datenschutzgrundverordnung bei allen Verarbeitungsvorgängen von den Verantwortlichen eingehalten
00:06:13: werden, das ist gar nicht so einfach, also eine Vollprüfung. Beim Datenschutzaudit nimmt man sich meistens bestimmte Teile
00:06:19: heraus, also Sektoren, beispielsweise diese Personal-Verarbeitung, oder man möchte irgendwo in die Tiefe gehen, der IT Sicherheit,
00:06:29: das ist glaube ich auch klar, wie denn das Sicherheitskonzept funktioniert, damit man gegenüber Angriffen von intern und extern
00:06:36: gut aufgestellt ist und sowas kann man dann sich einzeln herauspicken, auch wenn man sich vorbereiten möchte auf einen data breach, wenn eine Panne zu melden ist, dass man das mal durchspielt
00:06:46: oder wenn man so etwas erlebt hat und festgestellt hat, man war leider in der Vergangenheit nicht so gut, also man möchte auch von einem Datenschutzaudit lernen die Zertifizierung ist eher: "man fühlt sich
00:06:56: perfekt aufgestellt" und möchte dann von externen jemanden bekommen und der sagt "Ja, 1+ mit Sternchen, das ist in Ordnung oder zumindest
00:07:04: ja, ihr haltet alles, ein ihr seid überm Strich, in Ordnung, das ist beim Audit mehr der Prozess, also das Datenschutzmanagement,
00:07:12: das im Fokus steht. Und jetzt nochmal zur Frage: Möchte man das überhaupt und möchte man das mit externer Unterstützung? Ganz häufig ist das so, dass man doch, wenn man nur intern schaut, auch diejenigen, die einen Datenschutzbeauftragten haben,
00:07:24: ein wenig betriebsblind ist oder bestimmte Prozesse meint zu verstehen, und dann, wenn jemand extern eine geschickte Frage stellt, dass auf einmal es sich anders darstellt. Deswegen finde ich es sehr gut, wenn man die Mittel hat,
00:07:38: dass man auch mal sich extern bestimmten Prüfungen unterzieht.
00:07:41: Das muss auch nicht immer sein, aber damit ist es oft neutraler oder objektiver. Und auch der Prophet im eigenen Haus,
00:07:49: der dann sagt, wir haben ja festgestellt, wir haben hier bestimmte Mängel, es kann gut sein, dass die eigenen Mitarbeiter das nicht so gut empfinden, wenn das ein Kollege ihnen sagt - der Datenschutzbeauftragte intern beispielsweise. Sondern
00:08:03: finden es besser, wenn jemand sagt "ich komme von außerhalb, ich habe
00:08:06: vergleichbare Firmen oder Behörden gesehen und Sie stehen jetzt in bei "gut +", aber das kann doch noch besser werden, oder diese tolle Möglichkeit das Problem zu lösen, die findet man in der Praxis vor, das wär doch auch was für Sie.
00:08:19: Manchmal ist man als Prophet im eigenen Unternehmen nicht so viel wert, und deswegen der externen Mensch von außen kann meistens noch ein Zusatzwert bringen.
00:08:28: Den muss ich natürlich auch anheuern, also bedeutet, man muss es vertraglich festlegen, dass da die Leistung erbracht wird und das kostet dann auch entsprechend Geld.
00:08:37: Okay, also wir haben jetzt schon gelernt, dass ein Datenschutzaudit, auch wenn man den Begriff so z.b. Datenschutzgrundverordnung ja gar nicht findet, dass das sehr wohl wichtig ist, weil eben ein entsprechendes Verfahren zur regelmäßigen Evaluierung gefordert ist.
00:08:52: Ich entnehme Ihren wichtigen Hinweisen, dass man auch interne Audits oder überhaupt Audits machen könnte zur Vorbereitung auch auf eine geplante Zertifizierung und das das durchaus Sinn machen kann, eben von extern
00:09:07: Hilfe einzuholen, gerade wenn man vielleicht intern auch noch nicht so aufgestellt ist, aber auch um mal den Blick von außen zu bekommen. Und wär vielleicht ein Audit auch etwas, wo man sich
00:09:21: auf dem Fall auch ein bisschen vorbereiten kann, weil Sie wissen ja, also wir sehen eigentlich die Aufsichtsbehörden als wichtigen
00:09:29: Berater und Unterstützer, aber es gibt eben auch, das steckt in dem Begriff "Aufsichtsbehörde", die Funktion der Kontrolle, und
00:09:37: manche Unternehmen haben ja da so die Sorge: Was mache ich wenn die Aussicht ins Haus kommt?
00:09:42: Wären solche Audits auch so ein bisschen etwas um sich auf diese Situation vorzubereiten?
00:09:49: Vielleicht nicht immer nur eine Prüfsituation, das kann auch dazu beitragen, aber insgesamt dass
00:09:54: die Fragen, die man sich natürlich auch selbst stellen kann, wenn man die Grundverordnung liest, jetzt noch mal so gestellt werden,
00:10:01: wie man sie möglicherweise besser versteht. Denn ganz häufig ist doch die Grundverordnung an ganz vielen Stellen zu abstrakt, als dass man wirklich weiß, man jetzt machen muss. Also muss ich immer meinen Webauftritt verschlüsseln oder nur bei Formulareingaben oder bei Passwörtern? Oder wie oder was kann ich noch besser machen? Ich möchte nicht nicht nur jetzt, gerade für den Moment noch
00:10:23: einigermaßen okay aufgestellt sein, sondern für die Zukunft. Oder welche Prozesse fehlen mir noch? Die habe ich noch gar nicht gemerkt, weil der Fall nicht eingetreten ist. Sagen wir, jemand möchte jetzt eine Berichtigung erwirken von außerhalb, sicher, wir haben ein Prozess um die Anfrage aufzunehmen, aber wann hat er denn das Recht eine Berichtigung
00:10:41: zu haben und wie kann ich das dann durchsetzen? Geht das überhaupt? Alles, solche Dinge,
00:10:45: da hilft es auch, wenn man mal Sparringspartner hat. Das kann der interne Datenschutzbeauftragte sein. Aber gerade in solchen Prüfsituationen wird einem das noch mal sehr deutlich, wenn man blank ist, wenn man das noch nicht hat oder wenn man
00:10:58: erst halb dort ist. Und in einem Datenschutzaudit, in dieser Situation ist das ja freundlich,
00:11:04: freundschaftlich, also das bedeutet "kooperativ". Wenn dann schon der Fall nämlich eingetreten ist und die Aufsichtsbehörde diese Fragen stellt, dann ist meistens irgendwo schon eine
00:11:13: Beschwerde gewesen oder bestimmte Defizite sind zutage getreten.
00:11:17: Und ob man dann freundlich, freundschaftlich dort agiert, das ist nicht die Aufgabe einer Aufsichtsbehörde, ist also
00:11:24: sowohl für die Situation als auch für "Welche Antworten gebe ich denn, weil ich nämlich gut vorbereitet bin", für diesen Fall
00:11:31: besonders gut, wenn mans mal sich überlegt hat. Also ein Audit, auch im Sinne von "ich bin präpariert, ich kann immer antworten auf die Fragen, die kommen.
00:11:39: Und das bedeutet auch im täglichen "doing", dass das nicht alles Einzelfälle sind, die man neu lösen muss, sondern klare Zuständigkeiten
00:11:47: z.b. auch Besprechungstermine, um das Ganze fortzuschreiben, dass das mit eine Rolle spielt. Man kann, glaube ich, viel von Best-Practices lernen und die Auditoren, die das schon ein paar Mal gemacht haben, ob intern
00:11:58: oder von extern kommend, die haben dann schon mehr Überblick und das bringt ne ganze Menge.
00:12:03: Wenn wir jetzt so überlegen, wenn einer sich überlegt, "starten wir mit so einem Audit":
00:12:11: Wäre da das Verfahrensverzeichnis oder eben Verzeichnis von Verarbeitungstätigkeiten, wäre das nicht ein guter Startpunkt, dass man ... weil irgendwo muss man ja sich dann die Themen auswählen, dass man sagt, diese Verfahren
00:12:23: pick ich mir raus und,
00:12:26: wäre das nicht auch ein Grund zu sagen: Vielen erscheint das lästig, diese Dokumentation, aber das ist eben doch eine super Struktur, denke ich mir, wenn ich Audits plane.
00:12:37: Genau, auf der einen Seite würde man verfahrensspezifisch anfangen, das heißt dann Artikel 30, das sind die Verfahrensverzeichnisse, abfragen und dann auch sehen:
00:12:45: Ist das überhaupt schon da? Also sind das jetzt vielleicht nur zwei dokumentierte Verfahren oder sind es 1000? Dann müsste man auch überlegen: Sind das wirklich 1000 Verfahren oder ist das vielleicht zu detailiert gelöst? Aber zwei sind jedenfalls zu wenig also
00:13:00: da man ja schon mit den
00:13:01: internen Prozessen, die noch gar nicht mit Geschäftsmodellen, mit Kunden oder so zu tun haben, wahrscheinlich schon eine Basis. Wir kommen sehr häufig in Bereiche, da sind etwa so 30 Verfahren, die eine Rolle spielen.
00:13:14: Multinationale Konzerne, die haben dann möglicherweise sehr viel mehr.
00:13:17: So, das wär ein guter Ansatzpunkt. Was meistens nicht an dieser Stelle steht, im Verarbeitungsverzeichnis, das sind die infrastrukturellen Schutzkonzepte. Und das wird auch im 32 gefordert, dass dort
00:13:28: ein Sicherheitskonzept da ist oder auch interne Strategien und Leitlinien. Das ist z.b. in den Erwägungsgründen etwas, was bei dem Artikel 25
00:13:38: da gehts um die Gestaltung der Datenverarbeitungsprozesse, eine Rolle spielt.
00:13:44: Und diese Dinge sind noch nicht im Artikel 30 drin und im Artikel 30 fehlts auch noch an der Rechtsgrundlage, die steht da auch gar nicht drin, aber wenn dann ganz tolle,
00:13:54: sichere Prozesse aufgesetzt hat, leider fehlt die Rechtsgrundlage. Man darf das alles gar nicht machen. Man sieht das erst sehr spät im Prozess, erst also auch im Prüfprozess beim Datenschutzaudit, dann wäre das sehr schade.
00:14:06: Deswegen meine Anregung: natürlich Artikel 30,
00:14:09: aber zusammen mit der Rechtsgrundlage abfordern, abfragen, auch gleich zu dem Verfahren, damit da ein Bewusstsein entsteht und das Infrastrukturelle nicht vernachlässigen, also auch die Sicherheitskonzepte und internen Strategien und Leitlinien.
00:14:24: Wenn ein Unternehmen jetzt regelmäßig eben seine eigenen internen oder mit externer Hilfe Audits macht oder vielleicht sogar eine Datenschutz-Zertifizierung hat
00:14:34: kann man dann sich erhoffen, dass wenn die Aufsicht dann doch mal vorbeikommt, dass das positiven Ausschlag hat bei der Prüfung
00:14:44: das man sagt "ja das haben Sie alles schon gemacht".
00:14:48: Oder manche glauben vielleicht sogar, dass eine Datenschutz Zertifizierung dafür sorgen könnte, dass man überhaupt nicht mehr überprüft wird durch die Aufsicht. Kann Sie dazu auch noch was sagen?
00:14:59: Sehr gerne! Ich habe eben gerade spontan eine kleine Suchmaschinen-Suche im Internet gemacht und da findet man sehr weit vorne: "Das Datenschutzaudit innerhalb von 48 Stunden - inklusive Haftungsbefreiung - alles online
00:15:12: so dieses Audit, ich hab nicht weiter geklickt, dieses Audit wird nicht ausreichen, um einen perfekt dastehen zu lassen, der vorher nicht schon perfekt war.
00:15:22: Was bedeutet, das kann nicht sein: in 48 Stunden nur durch eine Online-Prüfung
00:15:28: irgendwie zu einem perfekten Stadium zukommen. Man kann vielleicht trotzdem was lernen, kann vielleicht trotzdem ein paar Kriterien oder best practices daraus gewinnen. Aber eine Haftungsbefreiung,
00:15:40: dass also irgendjemand nachher sich frei zeichnen kann: "Wieso, wir haben doch dieses dieses "klickibunti-Ding" hier gebucht!" Das ist es nicht! Das haben Sie aber auch so nicht gefragt.
00:15:49: Das bedeutet nämlich, wenn wir professionelle Audits haben, und das sind,
00:15:53: man merkt auch denke ich mit denen Beraterinnen und Beratern, ob Ahnung haben oder nicht, dann ist da eine ganze Menge was entweder bestätigt wird, was man schon gut hat oder wo man merkt, dass müssen wir noch verbessern, das müssen wir vielleicht besser dokumentieren oder das kann man auch noch geschickter lösen. Solche Sachen. Und das bedeutet
00:16:11: man hat dann alle Dokumente, die nachher zu den Anforderungen der Rechenschaftspflicht - das ist ja im Artikel 5 3 gefordert - die einem das dann liefern.
00:16:22: Die Aufsichtsbehörde, die dann fragt - das ist nicht so, dass man erst fragt: "Habt ihr schon ein Audit oder eine Zertifizierung? Dann kommen wir gar nicht." Also das geht gar nicht, das eine Aufsichtsbehörde das so machen könnte.
00:16:31: Wenn sie dann käme oder fragen würde, dann wär man präpariert und hätte man die ganzen Dokumente. Wenn es jemand Professionelles ist, der einen überprüft hat
00:16:41: dann wird das auch in einer Struktur sein, die sehr schnell für alle Experten und Expertinnen bei der Firma oder Behörde oder auch bei der Aussicht zu erfassen sind, und man feststellt, ist in Ordnung. Oder wo man vielleicht feststellt: Das ist jetzt hier der der "Krauter" der
00:16:56: nur das schnelle Geschäft gemacht hat und leider nicht viel geliefert hat.
00:17:01: Davon gibt es vielleicht auch immer noch welche, die den Datenschutz-Hype nutzen und unseriös sind. Ich denke aber, dass bei jeder Auftragserteilung - auch sonst, wenn es um ganz andere Dinge geht - Zulieferung.
00:17:13: Empfang von irgendwas. Oder Auftragserteilung - schon ein wenig Gefühl hat:
00:17:18: "Ist das jemand, der das seriös macht oder nicht?" Also ruhig ein bisschen Marktübersicht zuerst, bevor man ein Datenschutzaudit externe sich besorgt
00:17:27: um auch zu sehen: "Ist das jetzt
00:17:29: viel zu billig, so dass gar nicht überhaupt irgend ein Dokument angeschaut werden kann mit einer vernünftigen Bepreisung, oder ist es zu viel zu teuer und bedeutet aber,
00:17:38: dass vielleicht die falschen Sachen, die einen gar nicht interessieren, also wo die Konzernfragen besonders in den Vordergrund gestellt werden, wenn man doch ein kleines KMU ist.
00:17:46: Also ja das sind ganz wichtige Hinweise und besten Dank auch für dieses Beispiel dass man da durchaus bei Internetrecherche auch vielleicht auf gewisse irreführende Aussagen stoßen kann.
00:17:57: Wo es dann böses Erwachen geben könnte, wenn dann wirklich mal der Fall eintritt, ob man haften muss oder nicht.
00:18:04: Was ich mir manchmal so denke, wenn man Datenschutz-Audit, Datenschutz-Zertifizierung... es gibt ganz viele verschiedene Audits,
00:18:12: denen sich ein Unternehmen stellt oder stellen muss - denken wir an Lieferantenaudits oder Audits überhaupt mit Qualitätsmanagement, es gibt Audits in der IT-Sicherheitswelt -
00:18:22: Wäre es dann nicht schön, wenn man versuchen würde, vorhandene Strukturen, sagen wir mal, ein Unternehmen macht Qualitätsmanagement oder Risikomanagements, wenn man da den Datenschutz mit
00:18:33: nicht einfach als Anhängsel, sondern in diesen Prozessen, in diesen Struktur mit einbringen könnte. Also dass der DSB beispielsweise sagt:
00:18:41: Die haben hier nen QMB, einen Qualitätsmanagementbeauftragten, der macht das schon einige Jahre, weil da die Forderung bestand, dass man ein Zertifikat haben muss oder
00:18:50: Audit machen muss, da könnte man sich doch irgendwie zusammentun.
00:18:55: In der Tat gibt es ganz viele von denen, die die anderen Dinge anbieten - ob das Finanz Qualitätssicherung oder sonst wie Audit sind - die sich jetzt auch das Feld "Datenschutz" zu eigen machen, die teilweise auch in die Zertifizierung wollen, also als
00:19:09: Zertifizierungsstelle agieren wollen, die aber auch sonst die Ausbildung von Datenschutzbeauftragten machen, auch ein Punkt, der da ganz interessant als Geschäftsmodell funktionieren könnte.
00:19:20: Aber insbesondere diese Strukturen: Ich bin doch sowieso schon an der IT dran, um die Finanzdinge zu prüfen und Qualitätssicherung zu prüfen. Die das auch noch erweitern, das halte ich erstmal für sinnvoll,
00:19:30: dass man das auch in einem Abwasch
00:19:32: machen kann. Derjenige ist vielleicht auch schon in einem Vertrauensverhältnis mit dem Unternehmen verbunden, so dass das einfacher geht es auch zu tun. Es ist aber nicht
00:19:41: ganz...
00:19:42: Es ist ein "No-Brainer" ,in dem Sinne, manchmal, wer bestimmte Dinge im Blick hatte und das dann doch nur so als kleinen Appendix versteht: "Man macht auch noch
00:19:51: Datenschutz. Habt Ihr Artikel 30 Verzeichnis? Ja? Check! Fertig, ohne zu gucken, das wäre dann falsch verstanden! Und es gibt auch Fälle,
00:19:59: in denen das eine, das man besonders doll durchgesetzt hat, ein Problem für die andere Seite geben kann. Ich mache ein Beispiel:
00:20:07: Im IT-Sicherheitsbereich, wenn man die Integrität sehr, sehr stark machen möchte, dann führt das oft dazu, dass die Daten auf einer Art eingefroren werden, für die
00:20:17: Fachleute z.b. mit bestimmten Hash-Werten, die bei blockchain in Abhängigkeit der vorherigen Einträge, dass man die so gut sichert, dass nachher jemand der sagt, "ich habe aber einen Löschanspruch gegen diesen Eintrag."
00:20:28: Das muss berichtigt werden. Dass das technisch nachher gar nicht mehr durchsetzbar ist, ohne dass man
00:20:34: alles, sein ganzes System, wieder neu aufsetzt, also dass das würde bedeuten die IT-Sicherheitsanforderung hätte in diesem Fall ein "Sehr gut" ergeben.
00:20:45: Aber die Datenschutzanforderungen würde sagen: Ihr seid nicht aufgestellt um diesen Prozess umzusetzen. Und das bedeutet auch wiederum, wenn man sich beraten lässt in einem Audit und derjenige hat solche Erfahrung aus verschiedenen Feldern
00:20:58: der kann gleich schon
00:20:59: checken, gleich schon sehen, dass es da möglicherweise zu bestimmten Sprung kommen kann, bei bestimmten gelösten Beschwerde, bestimmten Lösungstechniken und das zum Ausgleich bringen, also auch in der seine Berater.
00:21:10: der nur die eine Welt kennt, der könnte einen möglicherweise so beraten, dass seine Welt perfekt erfüllt wird,
00:21:16: aber beim anderen Defizite auftauchen. Und genauso auch: Wer die Daten-Sparsamkeit ganz nach oben stellt, aber nachher nicht protokolliert hat, wie die Angriffe stattgefunden haben, und das gar nicht nachvollziehen kann, das wär falsch verstandener Datenschutz. Also wiederum:
00:21:31: Ein bisschen, wer in diesem Bereich aktiv ist, ruhig die anderen Bereiche
00:21:35: ich nenn sie nicht "Randbereiche", sondern so verschiedene Optimierungsideen aus den anderen Bereichen Qualitätssicherung, IT-Sicherheit und so weiter. Wer das alles
00:21:45: mit in Blick nimmt, der kommt nachher zu den Lösung, die auch insgesamt
00:21:49: praktikabel sind und nicht nur in einem Einzel-Focus nachher erfolgreich war. Und deswegen: Gut, wer das sich anguckt, aber nicht
00:21:57: gleich automatisch denken: Der kann, das eine, der kann bestimmt auch das andere. Der soll das dann auch anbieten und dann möchte man auch mal reingucken: Ist das dann auch richtig.
00:22:06: Okay also ja ganz wichtigerPunkt. Also vielleicht könnte man so kurz zusammenfassen: Synergien bei den verschiedenen Audits nutzen, aber auf Widersprüche achten, weil es eben unterschiedliche
00:22:17: Schutzziele auch gibt, in Datenschutz und IT-Sicherheit, aber eben die Synergien sollte man schon nutzen, weil die Aufwände sind ja normal auch gerade für kleinere Unternehmen.
00:22:27: doch halbwegs hoch, und wenn schon was da ist, kann man das ja nutzen. Vielleicht eine letzte Frage von meiner Seite und zwar: Wenn man sich jetzt vorstellt, man macht vielleicht
00:22:37: Audits mit einer gewissen Regelmäßigkeit, dass man sich vornimmt: Das machen wir jetzt einmal im Jahr, so ein internes Audit. Gibt das sowas wie ein anlassbezogenes Audit, also dass man bei bestimmten Situation sagt, jetzt sollten wir aber hier mal nachgucken und wenn ja:
00:22:50: Haben sie da Beispiele, Anlässe, wann so ein Audit Sinn macht?
00:22:55: Es gibt einmal die Rechtsänderung. Ganz toll, ist ja wenn man ein Datenschutzmanagement hat, also Leute, die sich damit beschäftigen, auch mit IT-Sicherheitsleuten, mit den Qualitätssicherungspersonen sich zusammensetzen kann, Revisoren beispielsweise, wenn sich irgendwo was ändert in den rechtlichen Anforderungen, dass man das
00:23:12: schnell merkt und so schnell auch prüft, sind wir dann betroffen oder nicht.
00:23:16: Aber ein ganz prominentes Beispiel war ja vor noch nicht langer Zeit "safe harbour". Alle hatten sich drauf verlassen, dass der Export der Daten nach Amerika funktioniert, hat doch keiner so richtig angemeckert.
00:23:27: Ja, wenn man genauer hin hörte, wusste man, es war dann doch angemeckert worden, und auf einmal war das nicht mehr gültig! Und das bedeutet: In dem Moment muss man sofort wissen,
00:23:36: habe ich
00:23:37: jetzt solche Exportfunktion überhaupt drinnen, also hab nicht in dem Fall etwas auf "safe harbour" basieren lassen oder hatte ich dann andere Dinge. Sind die dann jetzt noch geltend oder nicht? Das wäre ein externer Anlass aus dem rechtlichen Bereich.
00:23:49: Es gibt Anlässe, die jetzt hier gerade glaube ich sehr viele erleben, Trojaner-Wellen, Ransomeware-Wellen
00:23:56: die einen wahrscheinlich auch schon treffen... vielleicht hat man sie dann gut abgewehrt, aber
00:24:01: Bewerbungs-E-Mails, die dann reinkommen, und in den Hauptstellen für die elektronische Post erstmal ausgemacht werden. Schon geht es um etwas, was man wusste: Makros in Word Dateien das kann gefährlich sein. Aber
00:24:18: dass nicht alle Virenscanner automatisch schon an den wichtigen Tagen nachgezogen hatten, das macht man sich auch gar nicht bewusst.
00:24:24: So schon ist das wieder etwas "Phishing" genauso, wo in bestimmten Wellen es Anlässe gibt: Jetzt sollte man schnell mal schauen, sind meine Mitarbeiterin und Mitarbeiter sensibilisiert, habe ich hier Möglichkeiten das noch besser
00:24:37: abzufrühstücken, dass das z.b. gar nicht technisch geht, dass sich das durchführen lässt.
00:24:43: Und so gibt es eine ganze Menge, genauso auch wenn man merkt, auf einmal kommen ganz viele Anfragen. Weil Kunden mit irgendwas ganz anderem unzufrieden sind, wollen die auch noch beim Datenschutz ganz viel wissen, dass man sich noch selbst überprüft und das wäre ja kein Voll-Audit.
00:24:58: Sondern dass wär wieder etwas, wo man speziell schaut, habe ich ein gutes Management z.b. für die Beschwerden insgesamt und auch eben für die Datenschutz-
00:25:07: Beschwerden, die bestimmte Nachfragen haben. Habe ich schon standardisierte Formate? Sind auch die Dinge die ich in dem einen Bereich habe,
00:25:13: sind die denn überhaupt mit der Realität übereinstimmend? Man informiert über die Datenverarbeitung beispielsweise... und stimmt das auch für die anderen? Also kann ich z.b. auch noch mehr standardisieren über die Abteilung hinweg?
00:25:25: Das haben die großen Unternehmen häufig gelernt beim Aufräumen zum 25.52018.
00:25:31: Das war zwar alles irgendwie vorhanden, aber noch nicht vereinheitlicht. Und man konnte es viel besser machen. Auch das könnte ein Audit bringen oder natürlich auch wenn sich in der Unternehmensstruktur etwas ändert
00:25:42: Die Zuständigkeiten, sind denn noch alle Dinge so, wie man sie eigentlich braucht? Das kann für einen einzelnen Datenschutzbeauftragten schnell unübersichtlich werden.
00:25:50: Und es kann auch sein, dass ihm immer erzählt wird, ist alles in Ordnung, aber wenn man dann genauer hinschaut oder auch von Experten fragen stellt, dann merkt man, dass es nicht so ist. Also ich sehe ganz viel Anlässe.
00:25:59: Aber auch in einem regelmäßigen Ein-Jahresaudit z.b. würde man auf solche Ideen kommen oder würden diese vielleicht abgefragt werden.
00:26:08: Ja Frau Hansen, ganz herzlichen Dank für diese tollen Beispiele. Da hat man gleich vor Augen, wie man das Thema Datenschutzaudit angehen kann, dass da wirklich viele Anlässe gibt.
00:26:19: Und ich fand das wirklich sehr interessant und wertvoll, Ihre Hinweise für unsere Zuhörerinnen und Zuhörer! Schönen Dank von meiner Seite.
00:26:28: Gern geschehen, und wir stehen auch gerne für Nachfragen zur Verfügung, leider nur in Schleswig-Holstein. Das bedeutet, deswegen kann man sich auch bei ganz vielen anderen natürlich Aufsichtsbehörden oder auch so im Internet sehr gut informieren
00:26:43: und ich glaube zum Beispiel auch über das Bundesamt für Sicherheit in der Informationstechnik gibt es zum Glück schon ganz viel, das einem die Arbeit nicht so erschwert.
00:26:52: Zu einem Punkt hätte ich noch mal eine Nachfrage. Sie haben zu externen Datenschutzbeauftragten
00:27:00: denke ich auch da den Schlenker gemacht, wo sie gesagt haben, ja es gibt ja so Angebote, da kann man im Internet schönen Fragen Liste ausdrucken und dann hat man die ab und dann hat der
00:27:13: ist sozusagen der externe Datenschutzbeauftragte hat sein Audit durchgeführt.
00:27:19: Denken Sie, ein Datenschutzaudit sollte auf alle Fälle auch einen Live Aspekt haben, vor Ort Charakter haben, oder braucht es das vielleicht nicht?
00:27:31: Man kann solche selbst Checks natürlich machen, und man kann auch sich durch bestimmte Abfragen Selbsteinschätzung, bei ich klick dann irgendwie an oder im Interview wird das dann niedergelegt. Das kann ich zwar tun, aber ganz viel wird man da nicht finden!
00:27:44: Und auch ganz viel wird nicht sichtbar sein. Das bedeutet: bestimmte Arten
00:27:48: des Audits, die können so funktionieren. Manchmal wird man aber soweit gehen auch, Mitarbeiter dazu zu befragen, wie bei den der Eindruck ist, ob das jetzt klappt oder nicht. Das ist natürlich viel aufwendiger. Wir kennen das auch im Bereich der Gesundheitsvorsorge. Dass auch dort so ein paar
00:28:04: ganz allgemeine "jeder klickt mal sich irgendwas durch oder so" - "Selbsteinschätzung" ... die sind ziemlich billig.
00:28:10: Man kann auch davon was lernen, man kann auch selbst das nehmen als Datenschutzbeauftragter intern, und das verwenden.
00:28:16: Aber wenn es intensiver sein soll und auch dichter an der Realität dann
00:28:21: regen wir doch stark an, dass auch ein Blick direkt vorgenommen wird, aber auch da: manchmal ist es so, dass denjenigen nur das gezeigt wird, was den gezeigt werden soll. Die müssten dann natürlich auch noch was fragen.
00:28:33: Aber ich glaube, je nachdem wie jemand sich absichern will, bis zum ... z.b. zum Einsatz der Tiger-Teams ... das gehört auch zum Audit.
00:28:40: Man bestellt sich Angreifer, die unter Beweis stellen sollen, dass man sicher ist oder eben nicht sicher ist und lässt sich mal
00:28:49: kontrolliert angreifen, ohne dass man Angst haben muss, dass was kaputt geht. Das ist natürlich sehr viel mehr Aufwand, kann aber auch sehr viel mehr bringen, und dann fühlt man sich besser, wenn man da bestanden hat oder merkt was man besser machen kann und das dann umsetzt, als wenn man nur weiß, ich habe da ein paar Klicks in einem Online-Fragebogen
00:29:05: gemacht und eine Woche später hatte ich dann den großen Angreifer im Haus.
00:29:09: Das hört sich für mich sehr plausibel an, muss ich sagen. Ich so mit meinem Hintergrund QM, und den Audits, die dort ja schon auch gang und gäbe sind.
00:29:20: Vielen lieben Dank Frau Hansen, vielen lieben Dank, Oliver. Es hat mir viel Spaß gemacht, Ihnen zuzuhören, Ihnen beiden auch und
00:29:30: bis zum nächsten mal wieder, wenn wir wieder eine "Datenschutzpraxis-Podcast-Folge" abdrehen.