Was ist einDatenschutz-Audit(gemäß DSGVO)?
Allgemein
DATENSCHUTZ betrifft alle Unternehmensbereiche, und wir auditieren dessen Aufgaben, gemäß DSGVO, bei personenbezogenen Daten (pb Daten) in seinen spezifischen Auswirkungen auf:
- Verträge (Kunden, Lieferanten, Mitarbeiter)
- jedwede IT-Anwendung
- Marketing (im 4P Kontext d.s. Promotion, Placement, Product, Price)
Es ist wichtig, dabei immer das Spannungsfeld zwischen den betrieblichen Erfordernissen der Organisation (das berechtigte Interesse) und der durch die DSGVO (in Österreich durch das DSG) geregelten Rechte der Betroffenen im Auge zu behalten..
Der AUDITOR im DATENSCHUTZ hinterfragt gesetzte Maßnahmen:
- im Allgemeinen zum V E R F A H R E N
- und im Detail in den P R O Z E S S E N
Es ist sehr wichtig zu beachten, dass die Ergebnisse eines AUDITS immer wertend sind. Bewertungskriterien der gesetzten Maßnahmen zum DSGVO Datenschutz sind entweder:
- ERFÜLLT
- TEILWEISE ERFÜLLT
- NICHT ERFÜLLT
Die Bewertung wird in einem SOLL/IST Abweichungsbericht dokumentiert.
Ein AUDIT ist nie abschließend, sondern unterliegt dem Regelkreis des kontinuierlichen Verbesserungsprozesses (KVP).
Detail
Das DSGVO AUDIT checkt die Zweckerfüllung der Maßnahmen im Datenschutz unter Berücksichtigung der DSGVO hinsichtlich der Parameter:
- REIFEGRAD
- INHALTLICHE BELASTBARKEIT
- ANWENDBARKEIT
Parameter
Die Bewertung der genannten Parameter hinsichtlich der gesetzten DSGVO Maßnahmen zeigt, im Kontext mit der geplanten Sollsituation, die tatsächliche IST-Situation auf, und im Rahmen der sogenannten Abweichungsanalyse ergeben sich die Aufgabenstellungen im Regelkreis des KVP.
Ziele
Damit sind auch die Ziele des DSGVO AUDIT definiert.
Diese sind:
- Die Feststellung der Anforderungen betreffend der pb Daten innerhalb der Entität
- Die Feststellung, ob Maßnahmen und Verfahren definiert, dokumentiert bzw. auch eingehalten werden
- Die Feststellung, der Gewährleistung der Einhaltung von folgenden Kriterien
- Verfügbarkeit der pb Daten
- Vertraulichkeit der pb Daten
- (Daten)-Integrität der pb Daten
Auditansätze
Beispielhaft seien nachstehend einige der Auditansätze aufgezeigt
- DSGVO ART 6 Grundlagen der Verarbeitung
- DSGVO ART 25 Datenschutz durch Technikgestaltung
- DSGVO ART 28 Auftragsverarbeitungsverträge
- DSGVO ART 30 Verzeichnis der Verarbeitungstätigkeiten
- DSGVO ART 32 Technische und organisatorische Maßnahmen
- DSGVO ART 35 Datenschutzfolgeabschätzungen
Conclusio
Es ist weder die Aufgabe des Datenschutzaudits eine
DSGVO-Beratung durchzuführen, noch eine externe Ansprechstelle für Datenschutzfragen zu sein, wie es etwa der Datenschutzbeauftragte (egal ob intern oder extern) ist.
Sondern:
Das Datenschutzaudit ist vergleichbar einer Vorsorgemaßnahme wie z.B. einer Impfung, es dokumentiert die Einführung der Maßnahmen zur Einhaltung der DSGVO, bewertet diese und bildet die Grundlage für den Regelkreis KVP.
Das Datenschutzaudit bietet die Grundlage einer Bestätigung der gesetzten Maßnahmen durch ein Datenschutzgütesiegel.
Nähere Information zur Methodik eines Datenschutzaudit finden Sie in der Rubrik Methoden des Datenschutzaudit.
Was müssen Sie tun um ein Datenschutzaudit durchzuführen?
Bitte kontaktieren Sie uns - wir freuen uns auf Ihre Kontaktaufnahme und auf Ihre Aufgabenstellung.
Email: office@audit-dsgvo.eu
© 2019 Karl Singer - Kanzlei für Unternehmensberatung e.U.
Der personenzertifizierte TÜV-Nord Datenschutzauditor
Vogtgasse 18/2 • 1140 Wien / Austria • Tel: +43 676 95 17 414
Gorintschach 41 • 9184 St. Jakob im Rosental • Tel: +43 676 95 17 414