Datenschutzaudits: Planen und Durchführen
In diesem Seminar erfahren Sie praxisnah, wie ein Datenschutzaudit im Detail geplant, die Zielsetzung ermittelt und ein Datenschutzaudit letztendlich durchgeführt werden. Datenschutzaudits sind unerlässlich, um die Einhaltung der Datenschutzbestimmungen sicher- sowie darzustellen. Zunächst wird der Anwendungsbereich des Audits (Scope) bestimmt, indem relevante Fachbereiche, Geschäftsprozesse, automatisierte Verarbeitungen ausgewählt werden.
Dabei erfahren Sie, dass ein Audit grundsätzlich zur Überprüfung der Konformität zu Rechtsvorschriften, Standards und Normen dient. Im Audit-Prozess selbst spielen dann auch Rollen und Zuständigkeiten eine wichtige Rolle, wie auch die Kommunikation zwischen den Beteiligten. Die Durchführung eines Audits wird während des Seminars anhand der in der ISO 19011 dargelegten und weit verbreiteten Vorgehensweise erläutert.
Die Dokumentation während eines Datenschutzaudits ist unerlässlich und ermöglicht eine umfassende Nachbereitung und Auswertung. Auch dazu erhalten Sie wertvolle, praxisnahe Tipps zur Umsetzung. Ihnen werden die verschiedenen Audit-Methoden zur Überprüfung von Datenschutzmanagementsystemen (DSMS), der Prüfung von Prozessen, Dokumentationen und natürlich auch von technischen organisatorischen Maßnahmen (TOMs) vermittelt. Im Rahmen eines Audits können beispielsweise Arbeitsabläufe beobachtet, Dokumente sowie die Erfüllung von Nachweispflichten gesichtet und geprüft werden. Dies kann durch Stichprobenprüfungen, statistische Analysen sowie Vor-Ort-Begehungen und -befragungen erfolgen.
Der wesentliche Kern eines Datenschutzaudits sind die Bewertungen von Konformitäten bzw. Abweichungen der einzelnen Prüfgegenstände gegenüber Datenschutzvorgaben durch Gesetze oder anderer Datenschutz relevanter Vorgaben. Da es im Sinne einer kontinuierlichen Verbesserung wichtig ist, angemessene Maßnahmen zur Behebung von Abweichungen zu entwickeln, damit Korrekturen erfolgen können, werden die entsprechenden Ergebnisse eines Audits bewertet und passende Maßnahmen empfohlen.
Abschließend erfahren Sie, wie ein Datenschutzaudit-Bericht erstellt werden kann, der die durchgeführten Schritte eines Audits, die durchgeführten Prüfungen und die Bewertungen dokumentiert.
Inhalt
Herleitung der Pflicht zur Durchführung eines Datenschutzaudits
- Verantwortliche
- Datenschutzbeauftragte
- Anforderungen an Auditoren
Begriffe, Definitionen, Vorgehensweisen (z.B. ISO 19011, SDM V. 3.0)
Planung und Vorbereitung eines Datenschutzaudits
- Auditprogramm
- Scope
- Auditgegenstand
- Auditplan
- Vorbereitungen
- Fragenkataloge
Durchführung eines Datenschutzaudits (Informationsquellen)
- Ist-Aufnahme
- Auditdokumentation
- Begehungen
- Interviews
- Dokumente und Verträge
- Prozesse und der Umsetzung
- Prüfung der TOMs
Feststellungen von Konformitäten bzw. Abweichungen
- Bewertung und Darstellung der Ergebnisse/Findungen (z.B. Ampelsystem)
- Behandlung von Findungen
- Empfehlung von Maßnahmen
Erstellung eines Abschlussberichts
- Gliederung
- Inhalte
- Anforderungen
- Abschlussgespräch – Vorstellung des Berichts
- Nachauditierung nach Behebung von Abweichungen
Hilfsmittel (Fragenkataloge, Muster für Besprechungen und Bericht).