Datenschutz IT-Sicherheit Audits

Ablauf eines Datenschutzaudits

Datenschutzorganisation Wichtig ist, das der Datenschutz im Unternehmen seitens der Unternehmensleitung unterstützt wird. Im Rahmen des Datenschutzaudits überprüfen wir, ob die Wahrnehmung des Datenschutzes im Unternehmen angemessen ist, ob die Strategie entsprechend kommuniziert wurde. Weiterhin überprüfen wir die datenschutzrechtlichen Vorgaben und Anforderungen im Unternehmen und ob diese im Unternehmen kommuniziert wurden. Datenschutzbeauftragter Als nächstes prüfen wir, ob ein Datenschutzbeauftragter erforderlich ist und ob dieser ordnungsgemäß bestellt wurde. Verzeichnis von Verarbeitungen Als zentrales Verzeichnis überprüfen wir das Verzeichnis der Verarbeitungen. Sind alle Prozesse aufgelistet, wird der Schutzbedarf des Datenschutzes richtig eingeschätzt, welche Personengruppen arbeiten mit den Daten, ist die Datenerhebung rechtsmäßig und welche Löschfristen sind zu beachten. TOMs und Risikoanalyse Die technischen und organisatorischen Maßnahmen müssen für das Unternehmen festgeschrieben sein und werden ebenfalls auditiert. Viele Unternehmen haben auch schon eine Risikoanalyse erstellt, um die Risiken einzuschätzen und den Umgang damit zu definieren. Daraus können Maßnahmen abgeleitet werden, damit das Unternehmen einen geeigneten Umgang mit den geschäftskritischen Prozessen hat. Im Rahmen des Audits wird bei Bedarf die Risikoanalyse auditiert. Datenschutzverpflichtungen Hier handelt es sich um ein anwaltliches Thema. Die Datenschutzverpflichtungen, die ein Unternehmen benötigt, sind vielfältig und müssen immer auf den Anwendungsfall zutreffen. Im Rahmen eines Audits prüfen wir die Datenschutzverpflichtungen auf Vollständigkeit und Rechtssicherheit. DSFA Die Datenschutzfolgeabschätzung soll Risiken, die bei der Verarbeitung personenbezogener Daten für die Betroffenen enstehen, identifizieren, bewerten und einen angemessenen Umgang beschreiben.
Informations- und Auskunftspflicht Jedes Unternehmen hat eine Informations- und Auskunftspflicht. Diese bezieht sich auf die Mitarbeiter, Bewerber, externe Mitarbeiter und Kunden. Wie geht das zu auditierende Unternehmen mit dieser Informations- und Aufsichtspflicht um? Gibt es implementierte Prozesse, die den DSGVO-konformen Umgang beschreiben? Kann das Unternehmen im Audit nachweisen, dass diese Prozesse bekannt sind und gelebt werden? Löschen von Daten, Aufbewahrungsfristen Wichtig im Unternehmen ist, dass Aufbewahrungs- und Löschfristen eingehalten werden. Fragestellung im Datenschutzaudit ist, ob es Verfahren, Prozesse oder Automatisierungen gibt, die die Einhaltung sowohl der Aufbewahrungsfristen als auch der Löschungen sicherstellt. Auftragsverarbeitung und AV-Verträge Unternehmen haben zur Erbringung ihres eigenen Service oft selbst andere Dienstleister beauftragt - dies sind Aufragsverarbeiter. Dabei ist sicherzustellen, dass das Unternehmen eine Liste aller Auftragsverarbeiter bereitstellen kann und mit diesen Auftragsverarbeitern ein AV- Vertrag geschlossen wurde. Im Rahmen des Datenschutzaudits überprüfen wir, ob die Verträge rechtssicher sind. Umgang mit Datenschutzverletzungen Zentrales Thema eines Unternehmens im Bereich Datenschutz sollte auch der Umgang mit Datenschutzverletzungen sein. Dabei legen wir im Rahmen des Datenschuztaudits besonderen Wert auf den Nachweis eines entsprechenden Prozesses.
Videoüberwachungen Im Rahmen des Datenschutzaudits überprüfen wir, welche Videoüberwachungen durchgeführt werden, ob die Rechtsgrundlagen dafür vorhanden sind und die erzeugten Bildaufnahmen in den Löschprozess eingebunden sind. Einwilligungen Ein wichtiges rechtliches Thema sind die im Unternehmen erhobenen Einwilligungen. Frage im Datenschutzaudit wird sein, ob alle Einwilligungen erhoben werden, ob diese rechtssicher sind und wie die Aufbewahrung erfolgt. Unternehmenskonzepte und Richtlinien Eine weitere wichtige Rolle im Datenschutzaudit wird die Fragestellung spielen, ob und in welcher Qualität eine technische Dokumentation vorliegt. Genügt die vorliegende Dokumentation den Anforderungen, gibt es ein Dokumentenmanagementsystem, wird dieses gepflegt? Wissen die Mitarbeiter, wie sie auf die Dokumentation zugreifen können? Aber auch eine Überprüfung der Datenschutzleitlinie wird im Rahmen des Audits stattfinden. Datenschutzschulungen Im Datenschutzaudit wird weiterhin überprüft, ob und mit welchen Inhalten Datenschutzschulungen stattfinden. Sind die Mitarbeiter für den Datenschutz sensibilisiert und kennen die Anforderungen? Implementierung des PDCA Ebenfalls wird im Rahmen eines Datenschutzaudits überprüft, ob das Unternehmen den PDCA lebt und Datenschutz im Unternehmen unter dem Aspekt der stetigen Verbesserung betrachtet. Sind Sie bereit? Dann kontaktieren Sie uns.
Tel: +49 (0)160 - 84 57 361 | E-Mail: a.spittler@anja-spittler.de

Zertifizierungen und

Qualifikationen

08/2023 Rezertifizierung Datenschutzauditorin (Dekra) 07/2021 Rezertifizierung Fachkraft für Datenschutz (Dekra) 06/2020 Datenschutzauditorin (Dekra) 07/2019 PECB Certified ISO/IEC 27001 Provisional Auditor 08/2018 Fachkraft für Datenschutz (Dekra) 02/2010 Prince2:2009 Foundation 04/2008 ITIL V2 to V3 Foundation Bridging Exam 05/2006 Linux Professional Institut (LPI) Level1 01/2006 Foundation Certificate in IT-Service Management (ITIL) V2 07/1995 Certified Novell Engineer

Datenschutz Informationssicherheit Audits

De-Smit-Straße 18 D-07545 Gera
m: +49 (160) 84 57 361 e: info@anja-spittler.de