Datenschutz IT-Sicherheit Audits
Ablauf eines Datenschutzaudits
Datenschutzorganisation
Wichtig ist, das der Datenschutz im
Unternehmen seitens der
Unternehmensleitung unterstützt wird. Im
Rahmen des Datenschutzaudits überprüfen
wir, ob die Wahrnehmung des Datenschutzes
im Unternehmen angemessen ist, ob die
Strategie entsprechend kommuniziert wurde.
Weiterhin überprüfen wir die
datenschutzrechtlichen Vorgaben und
Anforderungen im Unternehmen und ob
diese im Unternehmen kommuniziert
wurden.
Datenschutzbeauftragter
Als nächstes prüfen wir, ob ein
Datenschutzbeauftragter erforderlich ist und
ob dieser ordnungsgemäß bestellt wurde.
Verzeichnis von
Verarbeitungen
Als zentrales Verzeichnis überprüfen wir das
Verzeichnis der Verarbeitungen. Sind alle
Prozesse aufgelistet, wird der Schutzbedarf
des Datenschutzes richtig eingeschätzt,
welche Personengruppen arbeiten mit den
Daten, ist die Datenerhebung rechtsmäßig
und welche Löschfristen sind zu beachten.
TOMs und Risikoanalyse
Die technischen und organisatorischen
Maßnahmen müssen für das Unternehmen
festgeschrieben sein und werden ebenfalls
auditiert. Viele Unternehmen haben auch
schon eine Risikoanalyse erstellt, um die
Risiken einzuschätzen und den Umgang
damit zu definieren. Daraus können
Maßnahmen abgeleitet werden, damit das
Unternehmen einen geeigneten Umgang mit
den geschäftskritischen Prozessen hat.
Im Rahmen des Audits wird bei Bedarf die
Risikoanalyse auditiert.
Datenschutzverpflichtungen
Hier handelt es sich um ein anwaltliches
Thema. Die Datenschutzverpflichtungen, die
ein Unternehmen benötigt, sind vielfältig und
müssen immer auf den Anwendungsfall
zutreffen. Im Rahmen eines Audits prüfen wir
die Datenschutzverpflichtungen auf
Vollständigkeit und Rechtssicherheit.
DSFA
Die Datenschutzfolgeabschätzung soll
Risiken, die bei der Verarbeitung
personenbezogener Daten für die
Betroffenen enstehen, identifizieren,
bewerten und einen angemessenen Umgang
beschreiben.
Informations- und
Auskunftspflicht
Jedes Unternehmen hat eine Informations-
und Auskunftspflicht. Diese bezieht sich auf
die Mitarbeiter, Bewerber, externe Mitarbeiter
und Kunden. Wie geht das zu auditierende
Unternehmen mit dieser Informations- und
Aufsichtspflicht um? Gibt es implementierte
Prozesse, die den DSGVO-konformen
Umgang beschreiben? Kann das
Unternehmen im Audit nachweisen, dass
diese Prozesse bekannt sind und gelebt
werden?
Löschen von Daten,
Aufbewahrungsfristen
Wichtig im Unternehmen ist, dass
Aufbewahrungs- und Löschfristen
eingehalten werden. Fragestellung im
Datenschutzaudit ist, ob es Verfahren,
Prozesse oder Automatisierungen gibt, die
die Einhaltung sowohl der
Aufbewahrungsfristen als auch der
Löschungen sicherstellt.
Auftragsverarbeitung und
AV-Verträge
Unternehmen haben zur Erbringung ihres
eigenen Service oft selbst andere
Dienstleister beauftragt - dies sind
Aufragsverarbeiter. Dabei ist sicherzustellen,
dass das Unternehmen eine Liste aller
Auftragsverarbeiter bereitstellen kann und
mit diesen Auftragsverarbeitern ein AV-
Vertrag geschlossen wurde. Im Rahmen des
Datenschutzaudits überprüfen wir, ob die
Verträge rechtssicher sind.
Umgang mit
Datenschutzverletzungen
Zentrales Thema eines Unternehmens im
Bereich Datenschutz sollte auch der
Umgang mit Datenschutzverletzungen sein.
Dabei legen wir im Rahmen des
Datenschuztaudits besonderen Wert auf den
Nachweis eines entsprechenden Prozesses.
Videoüberwachungen
Im Rahmen des Datenschutzaudits
überprüfen wir, welche Videoüberwachungen
durchgeführt werden, ob die
Rechtsgrundlagen dafür vorhanden sind und
die erzeugten Bildaufnahmen in den
Löschprozess eingebunden sind.
Einwilligungen
Ein wichtiges rechtliches Thema sind die im
Unternehmen erhobenen Einwilligungen.
Frage im Datenschutzaudit wird sein, ob alle
Einwilligungen erhoben werden, ob diese
rechtssicher sind und wie die Aufbewahrung
erfolgt.
Unternehmenskonzepte und
Richtlinien
Eine weitere wichtige Rolle im
Datenschutzaudit wird die Fragestellung
spielen, ob und in welcher Qualität eine
technische Dokumentation vorliegt. Genügt
die vorliegende Dokumentation den
Anforderungen, gibt es ein
Dokumentenmanagementsystem, wird
dieses gepflegt? Wissen die Mitarbeiter, wie
sie auf die Dokumentation zugreifen können?
Aber auch eine Überprüfung der
Datenschutzleitlinie wird im Rahmen des
Audits stattfinden.
Datenschutzschulungen
Im Datenschutzaudit wird weiterhin überprüft,
ob und mit welchen Inhalten
Datenschutzschulungen stattfinden. Sind die
Mitarbeiter für den Datenschutz sensibilisiert
und kennen die Anforderungen?
Implementierung des PDCA
Ebenfalls wird im Rahmen eines
Datenschutzaudits überprüft, ob das
Unternehmen den PDCA lebt und
Datenschutz im Unternehmen unter dem
Aspekt der stetigen Verbesserung betrachtet.
Sind Sie bereit?
Dann kontaktieren Sie uns.
Tel: +49 (0)160 - 84 57 361 | E-Mail: a.spittler@anja-spittler.de