INFORMATIONEN

Datenschutz-Audit – Liste der Fragen

Diese Liste von Fragen sollte bei einem Datenschutzaudit berücksichtigt werden. Ein Unternehmen kann sich im Rahmen eines Datenschutzaudits freiwillig die Einhaltung des Datenschutzes zertifizieren lassen. Sie werden ein paar Fragen haben, die wir Ihnen zeigen und auf die Sie sich vorbereiten können!

Unternehmen können ihre eigene Datenschutz-Compliance frei prüfen lassen und mit einem Zertifikat im Rahmen des DSGVO-Datenschutzaudits nach außen hin belegen. Infolgedessen wird in Art. 42 DSGVO die Zertifizierung im Allgemeinen erwähnt. Unabhängige Prüfer und Experten werden von den Unternehmen mit der Durchführung dieses Audits beauftragt.

Neben Befragungen, Dokumentenprüfungen und Vor-Ort-Kontrollen verwenden sie einen Fragebogen oder einen Fragenkatalog als wichtiges Instrument für ihre Feststellungen während eines Datenschutzaudits. Um Unternehmen dabei zu helfen, sich möglichst gründlich auf den Zertifizierungsprozess vorzubereiten, haben wir eine Liste mit den wichtigsten Teilen des Fragebogens für das Datenschutzaudit zusammengestellt.

Was ist der Zweck des Fragebogens zum Datenschutzaudit?

Bei Datenschutzzertifizierungen können unterschiedliche inhaltliche Schwerpunkte gesetzt werden. Die Auswahl der Fragen richtet sich danach, ob es sich um die Einhaltung des Datenschutzes für ein bestimmtes Projekt oder um die Einhaltung des Datenschutzes im Allgemeinen handelt. Zertifizierungsstellen setzen häufig Software für Datenschutz-Audit-Fragebögen ein, die Vorlagen für Datenschutz-Audits liefert und dennoch firmenindividuelle Anpassungen der Fragen zulässt.

Die unten aufgeführten Kategorien werden in einem allgemeinen Datenschutzaudit grob abgefragt, um die im Unternehmen bestehenden Datenschutzstandards zu ermitteln.

Fragen zur Unternehmensregistrierung

  • Verfügen Sie über ein Organigramm einer Firma oder einer Gruppe von Organisationen?
  • Welche Dienstleistungen oder Waren bietet Ihre Organisation an?
  • Wo befinden sich die verschiedenen Standorte Ihres Unternehmens, und wo findet die Datenverarbeitung statt?
  • Befindet sich das Unternehmen außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)?
  • Dokumentation zum Datenschutz

  • Gibt es eine Liste von Verarbeitungen, die mit Artikel 30 der DSGVO übereinstimmen?
  • Welche Art von Dokumentation gibt es für das Verzeichnis?
  • Haben Sie eine Liste mit allen Dienstleistern, die Sie bei der Auftragsabwicklung unterstützen?
  • Verfügen Sie über eine Liste von Organisationen und Dienstleistern, die Daten für Sie verarbeiten, wenn die Liste der Auftragsverarbeiter unzureichend oder nicht vorhanden ist?
  • Ist das Unternehmen bereit, eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine solche erforderlich ist?
  • Gibt es ein Datenschutzmanagementsystem, mit dem sichergestellt wird, dass die Verarbeitung im Einklang mit den Bestimmungen der DSGVO erfolgt, und mit dem dies nachgewiesen werden kann?
  • Datenschutzorganisation

    Die Datenschutzorganisation ist ein besonderer Schwerpunkt des Datenschutzaudits. Die Liste der Fragen kann hier recht lang werden. Wir haben uns auf die wichtigsten Fragen konzentriert.

  • Hat das Unternehmen einen Datenschutzbeauftragten benannt?
  • Gibt es eine eindeutige Datenschutzrichtlinie?
  • Wie wird organisatorisch sichergestellt, dass jede Verarbeitung personenbezogener Daten auf ihre Zulässigkeit hin überprüft wird?
  • Gibt es eine Methode zur Durchführung und Dokumentation von Folgenabschätzungen zur Datensicherheit?
  • Ist das Konzept der Rolle und der Rechte des Unternehmens auf dem neuesten Stand?
  • Gibt es eine definierte Methode für das Onboarding und Offboarding von Mitarbeitern?
  • Ist die Nutzung von Internet, E-Mail, Geschäftstelefonen und anderen Firmengeräten für den privaten Gebrauch geregelt?
  • Wie werden die Betroffenen über ihre Rechte informiert?
  • Wie ist das Protokoll für den Umgang mit einer Datenschutzverletzung?
  • Datensicherheit

  • Wie wird der Zugang zu personenbezogenen Daten geregelt?
  • Gibt es ein Konzept für IT-Sicherheit?
  • Ist es möglich, sich von außen Zugang zu bestimmten oder allen Netzwerksystemen zu verschaffen (z. B. für Home Office, E-Mail-Abruf oder Fernwartung)?
  • Wie wird die Einhaltung aktueller technischer Normen gewährleistet?
  • Werden aktualisierte Checklisten für die Auswahl von technischen und organisatorischen Maßnahmen mit einem risikoorientierten Ansatz auf der Grundlage von Art, Umfang und Zielen der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten geführt?
  • Wie ist die Löschung von Daten geregelt?
  • Wie wurde sichergestellt, dass Datenschutzaspekte zu Beginn oder bei Änderung jedes Verarbeitungsschritts bei der Einhaltung des Datenschutzes durch die Organisation gemäß Artikel 25 DSGVO berücksichtigt werden? 25 DS-GVO?
  • Dies ist eine nicht erschöpfende Liste des Fragebogens für das Datenschutzaudit. Auf diese Weise wissen die Unternehmer, welche Fragen sie während eines Audits stellen müssen.

    Fazit: Ein DSGVO-Datenschutzaudit anhand eines Fragebogens ist kein Zaubermittel.

    Jede Organisation kann sich leicht auf ein DSGVO-konformes Datenschutzaudit und die entsprechenden Fragen vorbereiten. Da sich der Fragenkatalog für das Datenschutzaudit eng an den Hauptanforderungen und -bereichen der DSGVO orientiert, müssen die Datenschutzpflichten der DSGVO grundsätzlich abgearbeitet werden.

    Jedes Unternehmen, das die Datenschutz-Grundverordnung und ihre Vorschriften ernst nimmt, wird Antworten auf den Fragebogen vorbereitet haben. Verstehen Sie das Audit weitgehend als einen Selbstoptimierungsprozess, der darauf abzielt, den aktuellen Stand des Datenschutzes in Ihrer Organisation zu ermitteln. Die Gebühren für das Datenschutz-Audit sind dann klug angelegt.