Je nach Schwerpunkt Ihres Datenschutzaudits werden wir während des Checks unterschiedliche Fragen abarbeiten. Die Bereiche Kern, Einkauf, Vertrieb, Personal, Finanzen und IT & Sicherheit werden dabei genauer beleuchtet.
Es müssen aber nicht alle Bereiche auf einmal auditiert werden. Als erstes füllen Sie die Fragebögen auf unserer Plattform in Ihrem Tempo aus. Danach werden die Audits terminiert. Hier fassen wir die Bereiche Kern, Vertrieb und Einkauf in einem Audit zusammen. Personal und Finanzen bildet die nächste Auditeinheit und IT & Sicherheit ist nochmal ein separates Audit.
Wir zeigen Ihnen anhand einiger Beispiele, wie diese ausfallen könnten. Diese bereitet Sie auf das Audit vor. Der Weg zum Remote-Audit und zur Datenschutzkonformität wird damit bestmöglich geebnet.
Das Wichtigste in Kürze
- Beim Datenschutzaudit wird ein Fragenkatalog mit dem externen Datenschutzbeauftragten durchgearbeitet. Dieser variiert je nach Schwerpunkt der Überprüfung.
- Allgemein müssen Sie sich auf Fragen zu Ihrem Kerngeschäft, zur Ihren Sekundärprozessen und zu IT & Sicherheitsmaßnahmen einstellen.
- Je mehr Entscheidungsfragen Sie bejahen können, desto größer ist in der Regel die Chance, Datenschutzkonformität zu erreichen.
- Mit einem Voraudit können Sie sich auf das eigentliche Audit mit Ihrem Datenschutzbeauftragten vorbereiten.
In diesem Beitrag
- Was steckt hinter den Fragenkatalogen im Datenschutzaudit?
- Audit-Fragebögen helfen bei der Auditplanung- und vorbereitung
- Beispielhafter Fragenkatalog beim Datenschutzaudit
- Fazit: Mit Einblicken in die verschiedenen Fragebögen die Datenschutzaudits meistern
Was steckt hinter den Fragenkatalogen im Datenschutzaudit?
Im Rahmen eines Audits zum Thema Datenschutz prüfen die Datenschutzberater bei DataGuard die datenschutzrechtlichen Aspekte, Prozesse und Maßnahmen in Ihrem Unternehmen. Wichtiger Bestandteil des Datenschutzaudits sind Fragebögen, die essenzielle Datenschutzaspekte in den verschiedenen Bereichen anhand von offenen und Entscheidungsfragen abarbeitet.
Diese Fragenkataloge sind bei einem Remote-Audit essenziell. Nur so lassen sich Ihre Prozesse im Unternehmen und deren Datenschutzniveau feststellen. Je nach Schwerpunkt des Datenschutzaudits können die Fragen variieren, im Grunde folgen sie jedoch stets einem bestimmten Muster.
Audit-Fragebögen helfen bei der Auditplanung- und vorbereitung
Neben den Fragebögen für die einzelnen Bereiche Kern, Einkauf, Vertrieb, Personal, Finanzen und IT & Sicherheit an dem sich unsere Datenschutzüberprüfung orientieren, spielen in einem Audit auch die Befragungen der bereichsverantwortlichen Mitarbeiter eine Rolle. Daher ist es ein wichtiger Bestandteil die einzelnen Fachabteilungen und deren bereichsverantwortlichen Mitarbeiter in den Auditprozess einzubinden, sei es mit dem Vorabausfüllen der Fragebögen oder der Teilnahme im Audit selbst.
Zumindest auf den Fragenkatalog des Auditbereichs können Sie sich aber gut vorbereiten. Diese sind für Sie auf unserer DataGuard Plattform vorab einsehbar und müssen als ersten Schritt von Ihnen und Ihren Kollegen vorausgefüllt werden. Im anschließenden Audit wird dann auf offene oder unklare Fragen eingegangen und es werden hier schon Lücken im Datenschutz aufgezeigt und konkrete Verbesserungsvorschläge an die Hand gegeben.
Im Nachgang eines solchen Audits kann es sein, dass eine Überprüfung von dokumentierten Informationen und Anweisungen nach Datenschutzgesichtspunkten stattfindet.
In manchen Fällen bietet sich ein sogenanntes Voraudit an. Bei diesem überprüft Ihr interner Datenschutzkoordinator den IST-Stand des Unternehmens anhand der Fragenkataloge. Vor dem Datenschutzaudit können so bereits eventuelle Schwachstellen aufgedeckt und durch entsprechende Maßnahmen beseitigt werden. Dieses ist aber auf gar keinen Fall obligatorisch. Wir von DataGuard als Ihr externer Datenschutzbeauftragter kümmern uns durch eine fortlaufende Betreuung um die datenschutzrechtlichen Schwachstellen in Ihrem Unternehmen.
Beispielhafter Fragenkatalog beim Datenschutzaudit
Der Fragenkatalog, der im Datenschutzaudit eine Rolle spielt, unterscheidet sich je nach dem gewählten Schwerpunkt der Überprüfung. Wir betrachten nachfolgend die möglichen Fragen in einem Audit im Bereich Personal. Üblicherweise werden Fragen
- zum Bewerbungsverfahren;
- zur Personalakte und deren Aufbewahrung;
- zur Arbeitszeiterfassung und der Lohnbuchhaltung;
- sowie zur privaten Nutzung von dienstlichen Geräten und E-Mailadressen gestellt.
Beispiel: Audit-Fragebogen zum Bereich Personal
In diesem thematischen Bereich werden Fragen zum Bereich Personal abgefragt. So können typische Fragen aussehen:
- Was für Daten von Bewerbern werden verarbeitet?
- Wie werden die Personalakten gelagert?
- Werden Skill-Datenbanken geführt? Falls ja, welche Inhalte haben diese und werden Mitarbeiter über die Sill-Datenbanken informiert?
- Wofür werden die Daten aus der Arbeitszeiterfassung verwendet?
- Wird die Lohnbuchhaltung selbst durchgeführt oder durch einen externen Dienstleister?
- Ist den Mitarbeitern die private Nutzung der dienstlichen E-Mail-Adresse verboten?
- Was passiert mit den Personalakten, wenn ein Mitarbeiter aus dem Unternehmen ausgeschieden ist?
- Haben Sie einen externen IT-Dienstleister?
- Welche Softwaretools benutzen Sie im Bereich Personal? Haben Sie mit den Anbietern, sofern ein Fernzugriff möglich ist, Auftragsverarbeitungsverträge abgeschlossen?
Musterfragen zum Thema Datenschutz in dem Unternehmen
In den Fragenkatalogen der Audits schließen sich allgemeine Fragen zum Thema Datenschutz an. Dazu gehören die Folgenden:
- Gibt es ein Verzeichnis nach Artikel 30 DS-GVO, welches die Verarbeitungstätigkeiten in dem Unternehmen listet? Keine Sorge, falls Sie noch keines haben, wir erstellen das mit ihnen gemeinsam.
- Gibt es eine Liste der für das Unternehmen tätigen Dienstleister und Partner?
- Wurden mit den Dienstleistern Auftragsverarbeitungsverträge abgeschlossen?
- Sind Vorlagen z. B. für Kundenanschreiben vorhanden, die über die Verwendung personenbezogener Daten informieren (Stichwort „Informationspflichten nach Art. 13/14 DS-GVO“)? Hier gilt dasselbe wie oben: Sollten Sie noch keine Informationsblätter für die betroffenen Personen haben, erstellen wir diese mit Ihnen.
Checkliste der Datenschutzaudit-Sicherheitsfragen
Kein Datenschutzkonzept wäre vollständig ohne gewisse Sicherheitsmaßnahmen. Diese werden zum Beispiel durch die folgenden Fragen im IT & Sicherheits-Audit überprüft:
- Sind die Räume abschließbar, in denen Zugriff auf personenbezogene Daten möglich ist?
- Wird ein Zugriffskontrollsystem (z. B. Chipkarten, Schlüssel, o. Ä.) in Ihrem Unternehmen eingesetzt? Falls ja, auf welchem technischen Mittel basiert dieses Zugangskontrollsystem?
- Setzen Sie in Ihrem Unternehmen einen VPN-Tunell ein, um Daten zu übertragen?
- Existieren in Ihrem Unternehmen Richtlinien zur sicheren und sachgerechten Aufbewahrung von tragbaren Datenträgern und -geräten?
- Gibt es eine Art der Zugriffskontrolle auf personenbezogene Daten (Stichwort „Verschlüsselung“)?
- Welche Formen der Verschlüsselung sind generell im Unternehmen vorhanden?
- Werden zum Beispiel wichtige Bereiche der Datenverarbeitung räumlich oder technisch von öffentlichen Bereichen abgetrennt?
- Gibt es externe Zugriffsmöglichkeiten auf Firmennetzwerke, zum Beispiel im Home-Office oder via Fernwartung?
- Haben Sie in Ihrem Unternehmen ein IT-Sicherheitskonzept definiert?
- Sind die Beschäftigten in Ihrem Unternehmen angehalten, personenbezogene Daten fachgerecht zu entsorgen?
Fazit: Mit Einblicken in die verschiedenen Fragebögen die Datenschutzaudits meistern
Die Datenschutzaudit-Checkliste soll Ihnen dabei helfen, ein erfolgreiches Audit zu planen. Orientieren Sie sich schon vorab an den Audit-Fragebögen auf der DataGuard Plattform. So sollten Sie während der Audittermine keine unangenehmen Überraschungen erleben. Alle relevanten Mitarbeiter für den jeweiligen Auditbereich sollten an dem Audittermin zur Verfügung stehen und mit dem Fragebogen vertraut sein.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: