Wir überprüfen Ihren Datenschutz im Detail

Ein turnusmäßiges Datenschutz-Audit ist für den Verantwortlichen sinnvoll, weil es eine geeignete Kontrollmaßnahme darstellt, mittels der die Einhaltung der gesetzlichen Vorschriften festgestellt und dokumentiert wird.

Sämtliche Mitarbeiter, die Zugriff auf personenbezogene Daten haben oder nehmen könnten, sollten mindestens annuelle Datenschutz-Schulungen erhalten. Neue Mitarbeiter sollten Zug um Zug mit Eintritt in das Unternehmen auf die Geheimniswahrung verpflichtet werden. Ausscheidende Mitarbeiter sind verpflichtet, sämtliche Gerätschaften und Unterlagen, die personenbezogene Daten enthalten, einer auf das Datengeheimnis verpflichteten anderen Person zu übergeben.

Um den Datenschutzbeauftragten eines Unternehmens zu unterstützen und die Umsetzung der gesetzlichen Vorschriften unabhängig zu dokumentieren, rät die Deutsche Gesellschaft für Datenschutz zu internen Datenschutz-Audits.

Was machen unsere Auditoren?

In einem Datenschutz-Audit wird geprüft, welche Mitarbeiter des Verantwortlichen mit personenbezogenen Daten in Kontakt kommen, in welcher Form dies geschieht und wie sich die Verarbeitung personenbezogener Daten ausgestaltet. Die Einhaltung der gesetzlichen Vorschriften wird betrachtet. Eine Audit-Prüfung umfasst aber gewöhnlicherweise noch weitere Arbeitsschritte.

1. Identifikation

Informationssammlung und Analyse des Datenverarbeitungsprozesses

2. Klassifizierung

Datenunterscheidung nach gesetzlich geschützten und sonstigen Daten

3. Überprüfung & Empfehlung

Für einen besseren Schutz personenbezogener Daten

1. Identifikation

Erster Schritt eines Datenschutz-Audits ist die Identifizierung der beim Verantwortlichen vorhandenen Datenarten. In Konzernen oder Unternehmensgruppen gilt es jedoch, zunächst den Verantwortlichen zu identifizieren.

Die Datenschutz-Auditoren der Deutschen Gesellschaft für Datenschutz betrachten die Verfahrensabläufe und dokumentieren die unternehmensbezogenen Prozesse. Die im Unternehmen genutzten Datenverarbeitungsanlagen werden überprüft und in der Audit-Dokumentation hinterlegt. Durch Befragung der Arbeitnehmer und gegebenenfalls der Mitglieder der Arbeitnehmervertretung wird eine detaillierte Analyse der Datenverarbeitung durchgeführt. Die gewonnenen Erkenntnisse werden dokumentiert.

Eine anonymisierte unternehmensweite Umfrage gibt unseren Datenschutz-Auditoren gegebenenfalls ein noch klareres Bild über die Datennutzung und die Speicherprozesse des Verantwortlichen. Arbeitnehmer werden auch dahingehend befragt, ob sie die Datenschutzrichtlinien verstanden haben und beachten.

2. Klassifizierung

Eine folgende Datenklassifizierung erlaubt der verantwortlichen Stelle sodann, Ressourcen effizient einzusetzen und besonders geheimhaltungsbedürftige Daten unter besonderen Schutz zu stellen.

Die folgende Datenklassifizierung gestattet dem Verantwortlichen unter anderem, Ressourcen effizienter einzusetzen und geheimhaltungsbedürftige Daten besonders zu sichern.

Ermöglicht wird ferner die Unterscheidung zwischen den gesetzlich geschützten (personenbezogenen) Daten und sonstigen Daten. Durch die Kategorisierung der Daten werden IT-Abteilungen in die Lage versetzt, die verarbeiteten Daten noch besser zu schützen. Sie können personelle und finanzielle Ressourcen punktgenauer einsetzen. Ungenutzte Daten können identifiziert und aus Gründen der Kostenoptimierung sowie wegen des Grundsatzes der Datensparsamkeit gelöscht werden.

In unserem Audit-Bericht betrachten unsere Auditoren auch, ob die bestehenden Datenschutzrichtlinien zur Klassifizierung von Daten durch die Mitarbeiter des Verantwortlichen beachtet werden.

3. Überprüfung & Empfehlung

Die Auditoren der Deutschen Gesellschaft für Datenschutz überprüfen, ob die Datenschutzrichtlinien und -verfahren angemessen und verhältnismäßig sind und ob diese beim Verantwortlichen korrekt umgesetzt wurden.

Die Datenschutz-Grundstruktur des Verantwortlichen wird nach vollständiger Überprüfung abschließend dokumentiert. Folgend werden Empfehlungen zum Schutz personenbezogener Daten ausgesprochen, sofern dies den Auditoren notwendig erscheint.

Die Deutsche Gesellschaft für Datenschutz überprüft im Rahmen eines Datenschutz-Audits zum Beispiel folgende Sachverhalte:

Authentifizierung

Wie werden Personen, denen eine Datenabfrage gestattet ist, identifiziert?

Berechtigung

Gibt es Systeme, die den unbefugten Zugriff auf Daten verhindern?

Prüfung

Gibt es ein System, das den Zugriff auf Daten überwacht?

Administration

Wie werden die Datenschutzrichtlinien kommuniziert?

Eine ausgiebige Prüfung wird Licht ins Dunkel bringen.