Bernd Liedke

Pachinger/Beham (Hrsg.), Datenschutz-Audit


Michael Pachinger / Georg Beham (Hrsg.), Datenschutz-Audit. Recht – Organisation – Prozess – IT. Der Praxisleitfaden zur Datenschutz-Grundverordnung, Wien (LexisNexis) 2016, ISBN 978-3-7007-6322-2, € 39,-

ZD-Aktuell 2017, 04260    Die ab 25.5.2018 geltende Datenschutzgrundverordnung (DS-GVO) hat den charmanten Nebeneffekt, dass ein einheitliches europäisches Datenschutzrecht auch zu einer Intensivierung interessanter Publikationen aus den Federn europäischer Datenschutzkolleginnen und -kollegen führen wird und damit zu einer Expansion fachlicher Meinungen und Methoden. Gerade vor diesem Hintergrund empfiehlt es sich, hin und wieder auch einmal über den heimischen Tellerrand zu blicken und sich anzuschauen, wie bei den europäischen Nachbarn die Umsetzung der DS-GVO angegangen wird.

In diesem Kontext ist das aus Österreich stammende Werk „Datenschutz-Audit“ von Pachinger, Beham, Jost und Kleebauer zu sehen. Auf 200 Seiten beschreiben sie die praktische Umsetzung eines Datenschutz-Audits im Lichte der DS-GVO.

Ihr Werk beginnt mit einer kurzen Einführung in die DS-GVO und in das österreichische Datenschutzgesetz (DSG 2000), Letzteres freilich mit dem Hinweis auf seine temporäre Anwendbarkeit.

Zum Einstieg in das Thema Audit werden dann kurz, prägnant und verständlich die Grundlagen (Begriffe, Grundsätze, Planung, Ablauf, Bericht und Nachbearbeitung) erläutert und mit Beispielen und Checklisten angereichert. Dabei suchen die Autoren immer wieder die Nähe zu gängigen ISO-Standards, wie namentlich zur ISO 19011, dem Leitfaden zur Auditierung von Managementsystemen. Ziel eines Datenschutz-Audits sei es, die Einhaltung der gesetzlichen Bestimmungen im Bereich des Datenschutzes zu überprüfen, Schwächen zu identifizieren und Maßnahmen zu planen und einzuführen, um diese zu beseitigen. Dem ist nichts hinzuzufügen.

Herzstück des Praxisleitfadens sind Ausführungen zu vier Kontrollbereichen als „Basis für das Datenschutz-Audit“. Der erste Kontrollbereich Recht geht dabei auf die rechtlichen Anforderungen der DS-GVO ein, der zweite Bereich Prozess auf wiederkehrende Kontrollen und Maßnahmen zur Einhaltung und Überprüfung der DS-GVO. Die letzteren beiden Kontrollbereiche Organisation und IT behandeln jeweils die entsprechenden technischen und organisatorischen Maßnahmen.

Aus der DS-GVO und ihren Erwägungsgründen extrahieren die Autoren nun verschiedenste Verpflichtungen, die von den Verantwortlichen erfüllt werden müssen. Aus diesen Verpflichtungen leiten sie dann Kontrollen i.S.e. „Code of practice“ ab, mit denen die Umsetzung der Anforderungen aus der DS-GVO nachgewiesen werden kann. Die Verpflichtungen und die mit ihnen korrespondierenden Kontrollen werden sodann zwölf Kontrollgruppen („Anwendungsbereich DS-GVO“, „Betroffenenrechte“, „Aufbewahrung von Daten“, „Datenschutz-Folgenabschätzung“, „Datenschutzkonzept und -management“, „Datensicherheitsmaßnahmen“, „Datensparsamkeit“, „Datenübermittlung“, „Datenvorfall“, „Informationspflichten“, „Rechtmäßigkeit“ und „Verantwortlichkeiten“) zugeordnet, die sich wiederum auf die vier genannten Kontrollbereiche verteilen lassen. Innerhalb eines Kontrollbereichs können darüber hinaus einzelne Kontrollgruppen noch mit Kontrolluntergruppen versehen werden. Diese sollen dem Leser eine bessere Gruppierung und einen Zusammenhang zwischen den Kontrollen ermöglichen und vor allem zur weiteren Gliederung der Kontrollen dienen.

Auf die vier Kontrollbereiche gehen Pachinger, Beham, Jost und Kleebauer ab S. 33 ff. im Einzelnen ein und setzen die Vorgehensweise um, die sie zuvor beschrieben haben. Dabei halten sie sich strikt an den Aufbau: Kontrolle, Referenz zur DS-GVO, Kontrollart (einmalig, regelmäßig oder anlassbezogen), Querverweis zu anderen Kontrollbereichen, Ziel und Auditnachweise und füllen diesen pro Kontrollbereich jeweils mit Leben. So kommen die Autoren insgesamt auf 263 Kontrollen (79 im Kontrollbereich Recht, 80 im Bereich Prozess, 39 für die Organisation und 65 für den Kontrollbereich IT), die i.R.e. Datenschutz-Audits zur DS-GVO durchgeprüft werden können.

Mit ihrem Werk „Datenschutz-Audit“ ist den Autoren eine übersichtliche, nachvollziehbare und praxisnahe Darstellung zur Auditierung im Kontext der kommenden DS-GVO gelungen. Mittels der vier gewählten Kontrollbereiche, die in jedem Unternehmen anzutreffen sein dürften, erreichen sie zudem eine ganzheitliche Betrachtung und geben dem Werk so eine übersichtliche Struktur, die durch einen strikten Aufbau flankiert wird. Die z.T. anzutreffenden Ausführungen und Verweise auf das DSG 2000 lassen den Mehrwert dieses Werks dabei unberührt. Sie sind markant gekennzeichnet und in sich so abgeschlossen, dass sie sich für Leser außerhalb Österreichs ohne weiteres und bedenkenlos ignorieren lassen. Das Werk bietet sich deshalb auch für alle Datenschutzbeauftragte an, die ihre zukünftige Überwachungsaufgabe (vgl. Art. 39 Abs. 1 lit. b DS-GVO) mit weiteren methodischen Ansätzen unterlegen möchten.

 

Bernd Liedke, LL.M., ist Rechtsanwalt/Syndikusrechtsanwalt in Münster.