Diesen Artikel als PDF beziehen?
Laden Sie kostenlos den Artikel herunter:
"Datenschutzaudit – Definition, Auditmethoden und Fragenkatalog"


* Pflichtfeld Anmelden

Bitte geben Sie Ihre E-Mail-Adresse ein.

Wir erheben Ihre Daten gemäß Art. 6 Abs. 1 Buchst. b) und f) DSGVO zur ordnungsgemäßen Abwicklung unserer Geschäftsvorgänge sowie zur Mitteilung von Produktinformationen. Weitere Informationen finden Sie in unserer Datenschutzerklärung: forum-verlag.com/datenschutz Wir informieren Sie regelmäßig über aktuelle, themenbezogene, kostenpflichtigen Verlagsprodukte per E-Mail, Fax, Telefon oder Post. Sie können jederzeit der Verwendung Ihrer Daten für Werbezwecke zu den ortsüblichen Basistarifen widersprechen, indem Sie den Abmeldelink nutzen, der am Ende einer jeden E-Mail enthalten ist. Oder schreiben Sie eine E-Mail an service@forum-verlag.com.

Vielen Dank für Ihr Interesse !

Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt.Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link.Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.

Um Sie gezielter beraten zu können, würden wir uns freuen, wenn Sie uns folgende Informationen zukommen lassen. Alle Angaben sind freiwillig.

Um Ihre Daten abzusenden, sollte mindestens ein Feld befüllt sein. Vielen Dank

Datenschutzaudit – Definition, Auditmethoden und Fragenkatalog

© Egor – stock.adobe.com

Datenschutz und IT

Datenschutzaudit – Definition, Auditmethoden und Fragenkatalog

13.02.20 09:00 | JS – Online-Redaktion, Forum Verlag Herkert GmbH
Im Hinblick auf die erhöhten Anforderungen an den Datenschutz durch die DSGVO sollte grundsätzlich jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen. Mithilfe des Audits werden die Prozesse im Unternehmen auf den Prüfstand gestellt, Schwachstellen identifiziert und Optimierungsmaßnahmen festgelegt. Ein Datenschutzaudit fokussiert sich dabei auf folgende Aspekte.

Datenschutzaudit – Definition mit Bezug auf ISO 19011

Ein Datenschutzaudit hilft Unternehmen in Form einer IST-Analyse festzustellen, ob alle erforderlichen Anforderungen der DSGVO rechtskonform umgesetzt sind oder ob es notwendig ist, Prozesse insbesondere hinsichtlich der Verarbeitung personenbezogener Daten zu optimieren. Da die DSGVO grundsätzlich die Einführung eines Datenschutzmanagementsystems fordert, ist es sinnvoll das Datenschutzaudit nach der ISO 19011 durchzuführen. Denn die ISO-Regelwerke werden allgemein für Managementsysteme verwendet. 

Die ISO 19011 definiert den Begriff „Audit“ als einen systematischen, unabhängigen und dokumentierten Prozess zur Erlangung von Nachweisen. Demnach basiert ein Audit auf folgenden Punkten: 

  • Ein Audit wird während eines festgelegten Zeitraums und mit begrenzten Ressourcen durchgeführt. 
  • Es werden Prüf- und Auditkriterien festgelegt. 
  • Festgelegte Auditkriterien dienen als Referenz für den Auditnachweis. 
  • Ergebnisse aus dem Audit zeigen objektiv auf, inwieweit die Anforderungen aus den Prüfkriterien eingehalten wurden.
  • Auditnachweise sollen verifizierbar sein. 

Ein Audit nach der DSGVO beschränkt sich dabei auf die Aspekte im Unternehmen, die den Datenschutz betreffen. Die Auditkriterien sind dabei eng an die Anforderungen der DSGVO angelehnt. Es geht also um die Anforderungen im Hinblick auf die Rechtmäßigkeit der Verarbeitung, die Einhaltung der Rechte der betroffenen Personen und die Pflichten des Verantwortlichen und des Auftragsverarbeiters

Alle Anforderungen der DSGVO finden Datenschutzverantwortliche übersichtlich und kommentiert aufgearbeitet im Handbuch „Datenschutz 2024“

Sichern Sie sich jetzt praxisnahe Erläuterungen zur aktuellen Rechtsprechung!

Datenschutz 2024

Datenschutz 2024
mehr erfahren
Bleiben Sie stets informiert über aktuelle Entwicklungen im Datenschutz!

Infodienst Datenschutz für Praktiker

Infodienst Datenschutz für Praktiker
mehr erfahren

Als Ausgangsbasis für das Datenschutzaudit kann z. B. das Standard-Datenschutzmodell (SDM) dienen. Mehr zum SDM lesen Datenschutzbeauftragte im Beitrag „Standard-Datenschutzmodell (SDM) Version 2.0: Definition und Anwendung“. 

Ergebnis des Datenschutzaudits 

Am Ende eines Datenschutzaudits steht ein Auditbericht, der den aktuellen Stand des Datenschutzes im Unternehmen wiedergibt. Dieser Auditbericht sollte außerdem eine Maßnahmenliste enthalten, die noch durchzuführende Maßnahmen aufführt. 

Methoden des Datenschutzaudits  

In der Regel ist ein Datenschutzaudit für das gesamte Unternehmen (es wäre auch ein Audit eines einzelnen Projekts möglich) in ein Auditprogramm eingebunden. Dieses legt u. a. Ziele einzelner Audits, Auditmethoden, erforderliche Ressourcen oder notwendige Prozesse fest. Hinsichtlich der Auditmethodik werden zwei Methoden unterschieden: 

Vor-Ort-Audit 

Für ein Vor-Ort-Audit können folgende Maßnahmen ergriffen werden: 

  • Befragung durchführen
  • Checklisten und Fragebögen ausfüllen unter Beteiligung von Mitarbeitern
  • Bewertung vor Ort
  • Standortbegehung
  • Stichprobennahme 
  • dokumentierte Informationen 

Remote-Audit 

Bei einem Remote-Audit kommen folgende Methoden infrage: 

  • Befragungen durchführen
  • Checklisten und Fragebögen ausfüllen
  • dokumentierte Informationen prüfen 
  • Beobachtung der geleisteten Arbeit durch Überwachung

Die Auswahl der Auditmethode hängt von den festgelegten Zielen, dem Umfang, den Kriterien, der Dauer und dem Standort ab.  

Datenschutzaudit – Fragenkatalog 

Das Datenschutzaudit kann als Zertifizierung eines Unternehmens betrachtet werden, denn dadurch wird die Datenschutzkonformität nachgewiesen. Beauftragt ein Unternehmen eine Zertifizierungsstelle mit der Durchführung des Datenschutzaudits, verwendet diese in der Regel einen Fragenkatalog zur Prüfung des IST-Zustands. 

Dieser Fragenkatalog konzentriert sich auf unterschiedliche datenschutzrechtliche Bereiche im Unternehmen. Zum Beispiel:  

Datenschutzorganisation

Hinsichtlich der Datenschutzorganisation werden beispielsweise folgende Bereiche betrachtet: 

Datensicherheit 

Hinsichtlich der Datensicherheit werden beispielsweise folgende Bereiche betrachtet: 

Wie schon die Auditkriterien orientiert sich der Fragenkatalog zum Datenschutzaudit eng an den wesentlichen Vorgaben und Bereichen der DSGVO.   

DSGVO Audit Tool

Für die Durchführung von Audits gibt es zahlreiche Tools, die bei der Umsetzung helfen. Diese Tools sind besonders interessant, wenn häufig Audits durchgeführt werden, beispielsweise bei Konzernstrukturen. Gerade die Reportingfunktion empfinden User als praktisch.

Produktempfehlung

Dennoch arbeiten weiterhin viele Datenschutzbeauftragte mit Checklisten, die sie flexibel auf ihre Anforderungen anpassen können. Ein Beispiel für eine Audit-Checkliste steht Abonnenten mit Online-Zugriff des „Infodiensts Datenschutz für Praktiker“ im Downloadbereich zur Verfügung.

Quellen: „Datenschutz für Praktiker“ (Ausgabe November 2019), datenschutzexperte.de

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Das könnte Sie auch interessieren

Gratis-Download
Checkliste TOM nach Standard Datenschutz Modell Checkliste TOM nach Standard Datenschutz Modell Gratis anfordern

Schlagwörter

DSGVO Datenschutz

Kommentar schreiben

Die mit einem * markierten Felder sind Pflichtfelder.