„Die Grenzen meiner Sprache sind die Grenzen meiner Welt.“

Ludwig Josef Johann Wittgenstein

Gänzlich dem Zitat folgend sei gesagt, dass es den hundertprozentigen Datenschutz nicht gibt. Dies ist aber kein Grund die Arbeit am Datenschutz zu meiden. Man misst sich an diesen Herausforderungen. Wie gut das gelingt, können wir Ihnen aufzeigen.

Eingeführte Datenschutz [Management-] Systeme sind eine feine Sache. Solange diese funktionieren. Leider sind gibt es zum Thema Datenschutz-Management-System [DSMS] zum aktuellen Zeitpunkt noch keine Standards für die Prüfung derselben.

Dies ist jedoch kein Grund den Kopf in den Sand zu stecken. Letztlich ist das DSMS auch nur ein Managementsystem, welches nach gängigen Methoden, genau wie eine ISO 9001, geprüft werden kann. Die heißen Frage hierbei: Wofür sollte man ein Audit durchführen? Kann man das selbst machen? Was wird geprüft? Wie lange dauert das? Der Reihe nach: Es wird alles beantwortet.

Wofür sollte man ein Audit durchführen?

Jedes Managementsystem ist nur so gut, wie es eingerichtet und gelebt wird. Um herauszufinden wie gut ein System ist, sollte man wissen, wo man steht. Sind unsere personenbezogenen Daten geschützt vor dem Zugriff Dritter? Wie schnell reagieren meine Mitarbeiter im Falle einer Datenpanne? Erkennen meine Mitarbeiter überhaupt, ob Sie vor einer Datenpanne stehen? Hat man alle denkbaren Einfallstore beachtet? Oder ist ein Bruch durch die eingerichteten Sicherheitsparameter gar spielend einfach?

Wenn man das wissen möchte, sollte man ein Audit durchführen.

Mehr aber noch: Sobald ein bereits bestehendes ISO-Managementsystem, wie beispielsweise die ISO 9001 eingerichtet wurde, so ist ein Datenschutzaudit dringend anzuraten. Die neusten Auflagen der ISO 9001 Prüfkataloge schreiben in einem einfachen Satz nämlich vor, dass man sich an „behördliche Auflagen“ zu halten hat. FDies gilt insbesondere auch für die ISO 27001. Das wird dann auch vom ISO-Auditor geprüft. Fällt auf, dass das Datenschutz-Managementsystem Lücken aufweist, dann bedeutet dies, dass eine Rezertifizierung eher schwierig wird: Es liegen dann ganz einfach Abweichungen vor.

Wenn man das vermeiden möchte, sollte man ein Audit durchführen.

Kann man das Audit selbst durchführen?

Kurze Antwort: Ja.
Das Audit kann man prinzipiell selbst durchführen. Die Herausforderungen bei diesem Vorgang sind jedoch recht groß:

  • Es wäre eine Selbstkontrolle
  • Es besteht ein Interessenkonflikt
  • Der Tunnelblick vernebelt die Sicht auf bestehende Probleme

Die korrekte und umfangreichere Antwort ist also eher: Nein, kann man nicht.

Egal ob Sie selbst, durch einen internen Datenschutzbeauftragten, oder durch externe Datenschützer, ein Datenschutz-Managementsystem eingeführt haben, bleibt die Problematik der Selbstkontrolle bestehen. Das heißt, dass Sie für ein sachliches und fachlich unabhängiges Audit, wie in allen anderen Managementsystemen auch, eine Dritte Stelle benötigen. Dies ist dann der Datenschutz-Auditor. Dieser kann unabhängig, weisungsungebunden und frei von Vorwissen zum Unternehmen die Fakten zusammentragen und einen sachlich fundierten Bericht übergeben, nachdem jene Abteilungen oder Systeme auf den Prüfstand gestellt wurden, die Sie geprüft wissen wollen.

Ein möglicher Interessenkonflikt sollte auch vermieden werden. Egal ob intern oder extern: Der amtierende Datenschutzbeauftragte wird sich selbst und dem eigenen Kunden bzw. Vorgesetzten wohl kein schlechtes Zeugnis ausstellen. Damit das nicht vorkommt, sind externe Audits wohl die einzig verbleibende Möglichkeit für ein angemessenes Audit.

Auch fehlt es dem Auditor am üblichen Tunnelblick, beziehungsweise der sogenannten Unternehmensbrille. Das ist nur förderlich für ein Audit, denn dadurch werden gegebenenfalls auch einmal Datenschutzbereiche geprüft oder Fragen gestellt, welche seither nicht im Fokus standen.

Was wird im Audit geprüft?

Im Audit kann geprüft werden, was Sie geprüft sehen wollen. Dies kann ein Dokument sein, eine Abteilung, ein Prozess, oder ihr gesamtes Unternehmen, bzw. die Behörde. Häufig prüft man eine gesamte Abteilung oder gleich die komplette Organisation. Dies muss vor- und nachbereitet werden. Ein Audit ist nur so gut, wie die davor stehende Planung.

Wie lange dauert ein Audit?

Das kommt ganz auf den Umfang des zu prüfenden Gegenstands an. Ein Dokumentenaudit ist wesentlich schneller erledigt [wenige Minuten bis ca. vier Stunden, je nach Umfang], als die Prüfung einer Behörde [einige Werktage inkl. Berichtlegung]. Auch in diesem Zusammenhang sei die Planung angesprochen. Ein Vorgespräch und eine Projektplanung sind für umfangreichere Audits definitiv ratsam. Kommen Sie auf uns zu, wenn Sie explizite Fragen zum Umfang eines geplanten Audits haben oder wissen möchten, wie bei uns das Projektmanagement gestaltet wird.

Angebot

Die ungestellte Frage: Führt die SuS data shield GmbH Audits im Auftrag aus?
Ja, das tun wir.

Nehmen Sie Kontakt zu uns auf. Wir freuen uns auf Ihre Anfrage.