Aufbau einer Datenschutz-Organisation | Schritt 6

6. November 2017

Datenschutz einführen – Schritt für Schritt
(Folge 6: Kontrollieren)

Ihr Ziel ist die Einführung eines unternehmensweiten, prozessbasierten Datenschutzmanagements – Sie sind sich jedoch unsicher, wie Sie vorgehen können? In dieser Artikel-Serie erläutern wir, worauf Sie bei der Einführung achten sollten und welche technische Unterstützung sinnvoll ist.
Grafik-Datenschutz-einfueherung-Folge6

Schritt 6
Funktioniert die Datenschutz-Organisation? Audits helfen, diese Frage zu beantworten.

Ein solides Datenschutz-Managementsystem (DSMS) beugt Datenschutzverstößen und den daraus resultierenden Konsequenzen – wie Strafzahlungen – vor. Aus welchen Komponenten ein DSMS besteht und wie Sie beim Aufbau vorgehen, haben wir in den vorangegangenen Artikeln dieser Serie beschrieben. Die einmalige Installation eines DSMS wird jedoch nicht ausreichen, um das Unternehmen dauerhaft zu schützen. Umfassender Schutz ist nur gewährleistet, wenn die Wirksamkeit des Systems fortlaufend überprüft wird. Turnusmäßig angesetzte Audits eigenen sich, um die eingerichtete Datenschutz-Organisation zu kontrollieren und ein schwankendes Datenschutz-Niveau zu vermeiden. Wie bei den vorangegangenen Schritten gibt es unterschiedliche Möglichkeiten, die Aufgabe umzusetzen. Wichtig ist, dass nach dem Audit deutlich wird, ob die Datenschutz-Organisation funktioniert und an welchen Stellen es Verbesserungsbedarf gibt. In dieser Hinsicht unterscheidet sich der Prozess zur Untersuchung der Verarbeitungstätigkeiten nicht von dem Audit-Prozess: In beiden Fällen werden Abläufe geprüft und bewertet, um Maßnahmen bzw. Verbesserungen umzusetzen. Zunächst werden Verarbeitungsprozesse auf Datenschutzkonformität geprüft und darauf aufbauend wird mit Audits überwacht, ob die Prüfung und die abgeleiteten Maßnahmen funktionieren.

Interne und externe Audits
Unterschiedliche Audit-Arten bieten sich an, um die Leistungsfähigkeit des DSMS zu untersuchen: 1st Party Audits, bei denen sich das Unternehmen selbst prüft und somit keine weitere „Partei“ involviert ist, sowie 3rd Party Audits, bei denen beauftragte externe Auditoren (Dritte) das System begutachten und zertifizieren.

Um ein internes 1st Party Audit strukturiert abzuarbeiten, ist der Einsatz von Checklisten sinnvoll. Analog zur Checklisten-basierten Verfahrensprüfung beinhaltet die Datenschutz-Software otris privacy eine Checklisten-Funktion, um Audits durchzuführen. In otris privacy sind über 1.000 Fragen hinterlegt, mit denen Sie themenspezifische Fragenkataloge zusammenstellen, um die einzelnen Teilbereiche Ihrer Datenschutz-Organisation zu inspizieren. Einmal erstellte Fragenkataloge können Sie ganz oder in Teilen wiederverwenden, um sie für weitere Audits zu nutzen. Bei der Anlage legen Sie fest, in welchem Intervall Sie ein Audit durchführen möchten. Das System erinnert Sie, sobald die turnusmäßige Durchführung eines Audits ansteht. Die Audit-Ergebnisse werden übersichtlich in einem Balkendiagramm dargestellt. Sie sehen auf einen Blick, welche Bereiche Ihrer Datenschutz-Organisation gut funktionieren und wo es Überarbeitungsbedarf gibt.

otris privacy - Datenschutzmanagement - Audit

Turnusmäßige Audits zur Überprüfung der Leistungsfähigkeit eines DSMS.

Aufbau und Prüfung eines DSMS
Dies ist der letzte Teil unserer Artikel-Serie „Datenschutz einführen“. Wir haben beschrieben, wie Sie beim Aufbau eines Datenschutz-Managementsystems (DSMS) vorgehen können, was es zu beachten gibt und welche technischen Hilfsmittel wir anbieten. otris privacy unterstützt Sie in allen sechs Datenschutz-Kernbereichen: Bestandsaufnahme, Analysieren, Bewerten, Aktualisieren, Informieren und Kontrollieren. Vor dem Hintergrund der neuen EU-DSGVO gewinnt der unternehmensweite Datenschutz weiter an Bedeutung. Wir raten dazu, Ihre Datenschutz-Organisation auf den Prüfstand zu stellen und kritisch zu hinterfragen, ob sie den neuen gesetzlichen Anforderungen gerecht wird. Wir hoffen, dass wir Ihnen mit dieser Artikel-Serie nützliche Informationen bereitgestellt haben, die Anregungen liefern, wie Sie Ihr unternehmensweites Datenschutz-Management optimieren können.

zum Fachbeitrag

Wie fangen wir an?

otris software vereinfacht Verantwortung - Box Datenschutz einführen

Das Ziel: Aufbau einer funktionierenden Datenschutz-Organisation ...

zum Referenzbericht

otris vereinfacht externen Datenschutz

otris software vereinfacht Verantwortung - Box Arbeitgeber Ruhr vereinfachen Datenschutz mit otris privacy

Datenschutz-Management-Software otris privacy als Service ...

zum Fachbeitrag

Der Countdown läuft

otris software vereinfacht Verantwortung - Box EU-DSGVO Countdown

Für alle EU-Länder ist die EU-DSGVO ab dem 25. Mai 2018 verbindlich ...