Datenschutzaudit

Für Unternehmen gibt es im Bereich Datenschutz zwei verschiedene Prüftätigkeiten. Zum einen die gesetzlichen Kontrolltätigkeiten des Datenschutzbeauftragten und zum anderen das freiwillige Audit des Datenschutzmanagementsystems.

Datenschutzaudit

Zu einem erfolgreichen Datenschutzmanagementsystem gehört die Anwendung des PDCA-Zyklus. Zur Umsetzung des PDCA-Zyklus ist eine regelmäßige Überprüfung in Form eines Audits, durch das die Einhaltung der Rechtsvorschriften zum Datenschutz und zur Datensicherheit im Hinblick auf den Zertifizierungsgegenstand durch den Datenschutzbeauftragten geprüft wird, erforderlich. Ziel der langfristigen Anwendung des PDCA-Zyklus ist die Schaffung einer gesunden Basis für das unternehmensinterne Datenschutzmanagement.

Prüfungsgegenstände können sein

  • Sicherstellung Ihrer Rechenschaftspflicht
  • Überwachungsaudits Datenschutzmanagement
  • Audits im Bereich des Betriebsrats (vertraulich)
  • Audits bei Ihren Dienstleistern zur Absicherung der Auswahlentscheidung
  • Audits zur Bestätigung Ihrer Aktivitäten im Bereich Datenschutz
  • Prüfung der Website auf Datenschutzaspekte

Der Prüfer/Datenschutzbeauftragte wird die Prüfung anhand eines von ihm genutzten/erstellten Kriterienkataloges vornehmen. Im Zusammenwirken mit dem Unternehmen wird einen Auditplan erstellt, der die Grundlagen für die Festlegungen hinsichtlich der Durchführung und zeitlichen Planung der Audittätigkeiten beinhaltet. Der Prüfer/Datenschutzbeauftragte wird in dem Zusammenhang die vom Unternehmen zur Verfügung gestellte Dokumentation zum Prüfungsgegenstand sichten, datenschutzrechtlich prüfen und bewerten.

Sofern bei der Prüfung durch den Datenschutzbeauftragten festgestellt wird, dass die Rechtsvorschriften zu Datenschutz und Datensicherheit bei Unternehmen im Zusammenhang mit dem Prüfgegenstand eingehalten werden, wird der Datenschutzbeauftragte auf Wunsch des Unternehmens eine entsprechende Bescheinigung für diesen ausstellen.

Kontrollprozess

Gemäß Art. 39 DSGVO obliegt dem Datenschutzbeauftragten die Aufgabe, die Einhaltung der Datenschutzvorschriften zu überwachen und die Strategien des Verantwortlichen, d.h. des Unternehmens, für den Schutz personenbezogener Daten zu überprüfen.

Um dieser Prüfpflicht nachzukommen, führt Ihr Datenschutzbeauftragter, regelmäßig Kontrollen und Prüfungen durch. Aufgrund der bestehenden Weisungsfreiheit des Datenschutzbeauftragten können diese Kontrollen und Prüfungen sowohl anlassbezogen als auch anlasslos erfolgen. Hierbei wird beispielsweise kontrolliert, ob die Abläufe den gesetzlichen Anforderungen gerecht werden.

Risikoorientierte Aufgabenerfüllung durch den DSB Der Datenschutzbeauftragte nimmt seine Aufgaben nach Art. 39 Abs. 2 DSGVO risikoorientiert wahr. Die gesetzliche Kontrolltätigkeit und deren Häufigkeit der Prüfung ergibt also sich aus dem Risiko der jeweiligen Verarbeitungstätigkeit für die betroffenen Personen. Daher ist die Heranziehung der Risikoanalysen für die einzelnen Verarbeitungstätigkeiten notwendig. Aus ihnen kann abgeleitet werden, in welcher Häufigkeit die einzelnen Verarbeitungstätigkeiten einer Kontrolle unterzogen werden sollten.

magnifiercrossmenu