Schritt 6
Funktioniert die Datenschutz-Organisation? Audits helfen, diese Frage zu beantworten.
Datenschutz einführen – Schritt für Schritt
(Folge 6: Kontrollieren)

Ein solides Datenschutz-Managementsystem (DSMS) beugt Datenschutzverstößen und den daraus resultierenden Konsequenzen – wie Strafzahlungen – vor. Aus welchen Komponenten ein DSMS besteht und wie Sie beim Aufbau vorgehen, haben wir in den vorangegangenen Artikeln dieser Serie beschrieben. Die einmalige Installation eines DSMS wird jedoch nicht ausreichen, um das Unternehmen dauerhaft zu schützen. Umfassender Schutz ist nur gewährleistet, wenn die Wirksamkeit des betrieblichen Datenschutzes fortlaufend überprüft wird. Turnusmäßig angesetzte Audits eigenen sich, um die eingerichtete Datenschutz-Organisation zu kontrollieren und ein schwankendes Datenschutz-Niveau zu vermeiden. Wie bei den vorangegangenen Schritten gibt es unterschiedliche Möglichkeiten, die Aufgabe umzusetzen. Wichtig ist, dass nach dem Audit deutlich wird, ob der betriebliche Datenschutz funktioniert und an welchen Stellen es Verbesserungsbedarf gibt. In dieser Hinsicht unterscheidet sich der Prozess zur Untersuchung der Verarbeitungstätigkeiten nicht von dem Audit-Prozess: In beiden Fällen werden Abläufe geprüft und bewertet, um Maßnahmen bzw. Verbesserungen umzusetzen. Zunächst werden Verarbeitungsprozesse auf Datenschutzkonformität geprüft und darauf aufbauend wird mit Audits überwacht, ob die Prüfung und die abgeleiteten Maßnahmen funktionieren.
Interne und externe Audits
Unterschiedliche Audit-Arten bieten sich an, um die Leistungsfähigkeit des DSMS zu untersuchen: 1st Party Audits, bei denen sich das Unternehmen selbst prüft und somit keine weitere „Partei“ involviert ist, sowie 3rd Party Audits, bei denen beauftragte externe Auditoren (Dritte) das System begutachten und zertifizieren.
Um ein internes 1st Party Audit strukturiert abzuarbeiten, ist der Einsatz von Checklisten sinnvoll. Analog zur Checklisten-basierten Verfahrensprüfung beinhaltet die Datenschutz-Software otris privacy eine Checklisten-Funktion, um Audits durchzuführen. In otris privacy sind über 1.000 Fragen hinterlegt, mit denen Sie themenspezifische Fragenkataloge zusammenstellen, um die einzelnen Teilbereiche Ihrer Datenschutz-Organisation zu inspizieren. Einmal erstellte Fragenkataloge können Sie ganz oder in Teilen wiederverwenden, um sie für weitere Audits zu nutzen. Bei der Anlage legen Sie fest, in welchem Intervall Sie ein Audit durchführen möchten. Das System erinnert Sie, sobald die turnusmäßige Durchführung eines Audits ansteht. Die Audit-Ergebnisse werden übersichtlich in einem Balkendiagramm dargestellt. Sie sehen auf einen Blick, welche Bereiche Ihrer Datenschutz-Organisation gut funktionieren und wo es Überarbeitungsbedarf gibt.
Aufbau und Prüfung eines DSMS
Dies ist der letzte Teil unserer Artikel-Serie „Datenschutz einführen“. Wir haben beschrieben, wie Sie beim Aufbau eines Datenschutz-Managementsystems (DSMS) vorgehen können, was es zu beachten gibt und welche technischen Hilfsmittel wir anbieten. Die Datenschutz-Software otris privacy unterstützt Sie in allen sechs Kernbereichen: Bestandsaufnahme, Analysieren, Bewerten, Aktualisieren, Informieren und Kontrollieren. Vor dem Hintergrund der neuen EU-DSGVO gewinnt der betriebliche Datenschutz weiter an Bedeutung. Wir raten dazu, Ihre Datenschutz-Organisation auf den Prüfstand zu stellen und kritisch zu hinterfragen, ob sie den neuen gesetzlichen Anforderungen gerecht wird. Wir hoffen, dass wir Ihnen mit dieser Artikel-Serie nützliche Informationen bereitgestellt haben, die Anregungen liefern, wie Sie Ihr unternehmensweites Datenschutz-Management optimieren können.