DSGVO – Datenschutzaudit – Teil 2: Wer führt durch und wie ?

Sind die ergriffenen Maßnahmen hinsichtlich der Datenschutzvorgaben überhaupt ausreichend, um die rechtlichen Vorgaben einzuhalten? Diese Unsicherheit hat durch die Möglichkeit von einem Datenschutzaudit geklärt werden.

Datenschutzaudit – wer führt dies durch?

Ein Datenschutzbeauftragter nach DSGVO hat die Aufgabe, dass die gesetzlichen Anforderungen des Datenschutzes sichergestellt werden und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme überwacht wird.

Ein Datenschutzbeauftragte nimmt hier grundsätzlich eine Bestandsaufnahme im Sinne einer Risikoanalyse vor, um hier ein Datenschutz-Managementsystems erstellen zu können.

Grundsätzlich kann somit auch der Datenschutzbeauftragte ein „Internes“ Datenschutzaudit vornehmen.

Das Datenschutzaudit kann aber auch durch andere „externe“ Stelle durchgeführt werden (welche Stellen einen Datenschutzaudit anbieten wird unten noch dargestellt).

Als Experten für den Datenschutz helfen auch wir Ihnen gerne weiter, wenn Sie Fragen bezüglich des Datenschutzes in Ihrem Unternehmen haben. Zögern Sie nicht und wenden Sie sich vertrauensvoll an uns.

 

Datenschutzaudit – Prozess und Ablauf der Prüfung

Unternehmen betrachten Datensicherheitsprüfungen häufig als nervenaufreibenden Prozess. Die Nützlichkeit der Durchführung von Audits steht aber ebenfalls zur Debatte: Reicht eine regelmäßige Risikobewertung aus, um eine Sicherheitsstrategie zu entwickeln und betriebliche Daten zu schützen? Wenn Sie allerdings Gegenstand von Compliance-Bestimmungen zur Sicherheit privater Daten sind, werden Sie ohnehin früher oder später einer offiziellen Prüfung unterzogen. Wann ein Datenschutzaudit ratsam und sinnvoll ist, sollte in jedem Fall der jeweilige Datenschutzbeauftragte entscheiden.

In der Realität sind Selbstprüfungen sehr nützlich, da sie eine Reihe spezifischer Ziele erfüllen. Mit einem Selbstaudit können Sie:

  • eine Sicherheitsbasis festlegen

  • Die Ergebnisse mehrerer Selbstprüfungen im Laufe der Jahre dienen als zuverlässige Basis für die Bewertung Ihrer Sicherheitsleistung.

  • Unterstützung bei der Durchsetzung von Sicherheitsbestimmungen

 

Der Prüfungsprozess kann für gewöhnlich in folgende Bereiche unterteilt werden:

  1. Prüfungsinitiierung und -abwicklung
    Der Umfang der Prüfung richtet sich nach den Erfordernissen der Organisation und es wird eine Entscheidung in Bezug auf Systemelemente wie Aktivitäten, Abteilungen und Standorte usw. getroffen, die innerhalb eines Zeitrahmens geprüft werden sollen. Dies erfolgt in der Regel in Zusammenarbeit mit dem leitenden Prüfer. Die Häufigkeit der Prüfung wird unter Berücksichtigung spezifizierter oder behördlicher Anforderungen und anderer relevanter Faktoren festgelegt. Sowohl interne als auch externe Audits sind Teil des sogenannten Auditplans. Normalerweise ist die Häufigkeit der internen Audits viel höher als die der externen Audits, da sie dem Management nicht nur Informationen über die normale Funktionsweise des Systems, sondern auch Inputs für die Entscheidungsfindung liefern.

 

  1. Prüfungsvorbereitung und –durchführung

Mit Hilfe von Audits kann sichergestellt werden, dass alle im Unternehmen getroffenen Cybersicherheitsmaßnahmen durchgesetzt und strikt befolgt werden. Bestimmen Sie den tatsächlichen Zustand Ihrer Sicherheit und formulieren Sie die Strategie für die Zukunft. Das Audit zeigt Ihnen, dass die Dinge wirklich viel detaillierter sind, als es in der Risikobewertung den Anschein hat. Es werden dabei nicht nur fehlende Inhalte hervorgehoben, sondern auch vorhandene Prozesse berücksichtigt und gezeigt, warum und wie diese verbessert werden sollten. Alles in allem ist die Selbstprüfung ein nützliches Instrument, wenn Sie Ihre Cybersicherheit bewerten oder sicherstellen möchten, dass Sie für eine Compliance-Prüfung ausreichend vorbereitet sind. Es ist dies auch eine gute Möglichkeit, um Selbstprüfungen unter echten Bedingungen durchzuführen, idealerweise mehrmals im Jahr.
Der Auditor definiert das Ausmaß und die Häufigkeit der Prüfung. Der Umfang der Prüfung richtet sich nach den Bedürfnissen der Organisation und es wird eine Entscheidung in Bezug auf Systemelemente wie Tätigkeiten, Abteilungen und Standorte usw. getroffen, die innerhalb eines Zeitrahmens geprüft werden sollen. Dies geschieht in der Regel zusammen mit dem leitenden Auditor. Die Häufigkeit der Prüfungen wird unter Berücksichtigung bestimmter regulatorischer Anforderungen und anderer relevanter Faktoren bestimmt. Sowohl interne als auch externe Audits sollten integrierter Teil des Prüfungsplans sein. In der Regel ist die Häufigkeit der internen Audits viel größer als die externe Prüfung, da sie dem Management nicht nur einen Beitrag über das normale Funktionieren des Systems, sondern auch über die Inputs für die Entscheidungsfindung liefert. Als Grundlage für die Planung der Prüfung ist das Handbuch und das Prüfungsverfahren des Systems zu überprüfen und wenn es Unzulänglichkeiten geben sollte, so sollten diese zuerst gelöst werden. Danach soll zusammen mit dem Prüfer ein Prüfungsplan durchgeführt werden. Dieser ist zunächst zu genehmigen und nach der Genehmigung den Abschlussprüfern sowie den Prüfern mitzuteilen.

 

  1. Dieser Prüfungsplan sollte folgendes umfassen:

  • Ziel und Umfang der Prüfung sowie die zu prüfenden Tätigkeiten.

  • Referenzdokumente wie Systemstandards und Systemhandbücher usw.

  • Datum, Uhrzeit und Ort der Prüfung sind eindeutig festzulegen

  • Die voraussichtliche Zeit und Dauer jeder Prüfungstätigkeit ist zu bestimmen.

  • Die Prüfung hat die Anforderungen an die Vertraulichkeit ausreichen zu erfüllen

  • Die Sprache der Prüfung ist zu entscheiden
    Alle für die Prüfung erforderlichen Unterlagen sind den Abschlussprüfern uneingeschränkt zur Verfügung zu stellen.
     Die Prüfer sollten auch eine Checkliste erstellen, die sie bei der Durchführung der Prüfung unterstützen kann. Manchmal ist allerdings eine weitere Prüfung erforderlich, um die Korrekturmaßnahmen zu überprüfen, die anlässlich eines Nichtkonformitätsberichtes (NCR) ergriffen wurden.

 

Die Rolle des Datenschutzbeauftragten beim Audit

Die hauptsächliche Aufgabe des Datenschutzbeauftragten besteht darin, sicherzustellen, dass eine Organisation die personenbezogenen Daten ihrer Mitarbeiter, Kunden, Anbieter oder anderer Personen in Übereinstimmung mit den geltenden Datenschutzbestimmungen verarbeitet.

 

Das Ziel des Datenschutzaudits

Jedes professionelle Rechenzentrum verfügt über angemessene physische und digitale Sicherheitskontrollen, um einen unbefugten Zugriff auf das Rechenzentrum möglichst zu verhindern. Es sind des Weiteren verhältnismäßige Umweltkontrollen durchzuführen, um sicherzustellen, dass die Geräte vor Feuer und Überschwemmungen geschützt sind und betriebssicher arbeiten. Der nächste Schritt besteht nun darin, ausreichende Beweise zu sammeln, um die Anforderungen des Datenschutzes bestmöglich zu erfüllen.

In erster Linie besteht das Ziel eines Datenschutzaudits jedoch darin, etwa vorkommende Verstöße gegen das Datenschutzgesetz oder Schwächen des Datenschutzkonzepts und der technischen Prüfeinrichtungen offenzulegen und in weiterer Folge wirksam zu unterbinden. Das primäre Ziel jedes Datenschutzaudits ist daher in der kontinuierlichen Steigerung des Niveaus des Datenschutzes im Betrieb zu sehen. Dies ist nach derzeitiger gesetzlicher Lage jedoch absolut nicht verpflichtend. Keine Stelle, welche auf lange Sicht mit der Verarbeitung betrieblicher Daten betraut ist, hat die Aufgabe, darüber Rechenschaft abzulegen. Daher besteht derzeit keine Notwendigkeit, eigenverantwortlich das Niveau des Datenschutzes im Unternehmen zu überprüfen und bereits ergriffene Maßnahmen zu verstärken. Das Niveau des Datenschutzes bzw. diesbezüglicher Maßnahmen kann auch auf andere Weise absolut ausreichend sichergestellt werden.

Lecturer in Adult Education - Legal Training & Seminars

Certified Data Protection Officer

© 2020 Lehre&Dozentur Gernhuber. Erstellt mit Wix.com.

FOLGEN SIE UNS:

  • w-facebook