Tipps zur Erstellung eines Auditberichts

Datenschutz

Ein Hinweis vorab: Für Datenschutz-Coaching-Mitglieder gibt es am Ende des Beitrages auch ein Muster eines Auditberichts zum Download.

Es gibt verschiedene Situationen, in denen du als Datenschutzbeauftragter einen Auditbericht schreiben musst. Ich kenne die Situation nicht als Datenschutzbeauftragter (bzw. nicht mehr), sondern wenn mich Mandanten bitten, einen Auftragsverarbeiter unter die Lupe zu nehmen, um prüfen zu lassen, ob dieser den Anforderungen der DSGVO und den jeweiligen individuellen Vorgaben der Mandanten entspricht. Und manchmal wird dann auch die Erstellung eines Auditberichts beauftragt.

Neben der Prüfung von Auftragsverarbeitern werden Auditberichte aber auch von Datenschutzbeauftragten selbst für das Unternehmen oder die Organisation geschrieben, für die du als Datenschutzbeauftragter benannt bist.

Unabhängig von der Konstellation haben Auditberichte aber immer eine bestimmte Struktur. Diese ist allerdings nicht formal vorgegeben. Sie entspringt vielmehr einem gesundem Menschenverstand.

Wer schon einmal eine gute Ausbildung im Bereich der Strafverfolgung (z.B. bei Staatsanwaltschaft, Polizei oder Gericht) genossen hat, kennt vielleicht den Ausspruch, dass eine gute Akte sich „wie ein Buch“ lesen muss. Und genau das Gleiche gilt auch für Auditberichte:

Ein guter Auditbericht muss sich lesen wie ein Buch.

So einfach ist das. Gemeint ist damit, dass eine fremde (auch sachlich nicht „kundige“ Person) beim Lesen des Berichts in der Lage sein muss, sich ein Bild über die Untersuchung, also das Audit zu machen und die Bewertungen nachvollziehen kann.

Damit dieses Ziel erreicht wird, sollte ein Auditbericht folgende Bestandteile haben:

  1. Management Summary (eine Zusammenfassung der wesentlichen Ergebnisse, um eine schnellen Überblick gewinnen zu können)
  2. Auditmethoden (welche Methoden wurden angewendet. Gab es z.B. eine Dokumentensichtung und/ oder eine Vor-Ort-Kontrolle, ggf. Interviews etc.)
  3. Beschreibung des Ist-Zustandes
  4. Abgleich mit dem Soll-Zustand (der Soll-Zustand leitet sich von den rechtlichen Vorgaben und den ggf. individuellen Anforderungen des Auftraggebers des Audits ab)
  5. Beschreibung der Abweichungen des Ist- vom Soll-Zustand
  6. Bewertung der Abweichungen (und deren „Erheblichkeit)
  7. Ggf. ein Maßnahmenplan mit Empfehlungen, ob und wie die Abweichungen behoben werden können.
  8. Gesamtbewertung

Etwas weitergehende Informationen kannst du diesem Video entnehmen:
https://player.vimeo.com/video/332475091?title=0&byline=0&portrait=0

Wenn du jetzt vor der Aufgabe stehst, einen Auditbericht zu schreiben, dann fragst du dich vielleicht immer noch, wie das geht. Die Antwort lautet: Fange einfach an!
Das klappt dann schon.

Ich empfehle hier immer den Mut zum „shitty first draft“, also dem ersten dreckigen Entwurf. Setzte dich in einen Raum, in dem du möglich ungestört bist, mache nach Möglichkeit Musik an (wenn dich das nicht stört), stelle das Telefon aus und dann „Go!“. Apropos Musik: Gut funktioniert bei mir die Musik des Albums Monument Valley (z.B. hier bei Apple Music oder Spotify). Das ist sozusagen eine meiner Schreib-Musikalben. Beruhigend und hilft dabei, den Fokus auf das Schreiben zu behalten.

Für Datenschutz-Coaching-Mitglieder gibt es hier dann allerdings auch mal ein Beispiel-Muster für einen Auditbericht, der sich auf eine Prüfung einer Agentur bezieht, die vom Auftraggeber für den Betrieb einer Software-as-a-Service-Lösung beauftragt werden soll.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.