Fragebogen mit Laptop

Datenschutzaudit: Mit diesem Fragenkatalog sollten Sie rechnen

Im Rahmen eines Datenschutzaudits können sich Unternehmen freiwillig ihre Datenschutzkonformität zertifizieren lassen. Dabei kommen einige Fragen auf Sie zu - wir zeigen Ihnen, welche und helfen Ihnen, sich vorzubereiten!

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen. Die DSGVO spricht deshalb in Art. 42 DSGVO auch allgemein von der Zertifizierung. Unternehmen beauftragen mit dieser Auditierung unabhängige Prüfer und Gutachter. Diese arbeiten bei einem Datenschutzaudit mit einem Fragebogen beziehungsweise Fragenkatalog als wesentliches Instrument ihrer Feststellungen – neben Interviews, der Prüfung von Dokumenten und Vor-Ort-Untersuchungen. Um Unternehmen die Möglichkeit zu geben, sich bestmöglich auf den Zertifizierungsprozess vorzubereiten, stellen wir hier wichtige Teile des Fragenkatalogs für den Datenschutzauditvor.

Fragebogen beim Datenschutzaudit – worum geht es?

Bei Datenschutzzertifizierungen können inhaltlich unterschiedliche Schwerpunkte gesetzt werden. Je nachdem, ob es um die Datenschutzkonformität bei einem bestimmten Projekt oder die Einhaltung des Datenschutzes insgesamt geht, werden die Fragen ausgewählt. Zertifizierungsstellen setzen für den Datenschutzaudit-Fragenkatalog häufig eine Software ein, die Datenschutzaudit-Muster bereithält, aber dennoch genug Spielraum für individuelle Abweichungen bei den Fragen für das einzelne Unternehmen bietet.

Bei einem allgemeinen Datenschutzaudit zur Feststellung des im Unternehmen bestehenden Datenschutzstandards werden grob die im Folgenden gelisteten Kategorien abgefragt.

I. Fragen zur Erfassung des Unternehmens

  • Haben Sie ein Organigramm des Unternehmens oder der Unternehmensgruppe?

  • Welche Produkte oder Dienstleistungen erbringt Ihr Unternehmen?

  • Wo befinden sich sämtliche Standorte Ihres Unternehmens bzw. an welchen Standorten finden Datenverarbeitungen statt?

  • Befinden sich Standorte des Unternehmens außerhalb der EU oder des Europäischen Wirtschaftsraumes („EWR“)?

II. Datenschutzdokumentation

  • Existiert ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO?

  • Wie ist das Verzeichnis dokumentiert?

  • Haben Sie eine Liste aller Dienstleister, die für Sie im Rahmen einer Auftragsverarbeitung tätig sind?

  • Falls die Liste der Auftragsverarbeiter unvollständig ist oder nicht existiert, haben Sie eine Liste der Unternehmen und Dienstleister, die für Sie Datenverarbeitungen vornehmen?

  • Ist das Unternehmen auf das Erfordernis einer Datenschutz-Folgenabschätzung  vorbereitet?

  • Wurde ein Datenschutzmanagementsystem installiert, um sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt?

III.  Datenschutzorganisation

Ein besonderer Fokus beim Datenschutzaudit liegt in der Datenschutzorganisation. Hier kann der Fragenkatalog sehr ausführlich werden. Wir haben die wichtigsten Fragen herausgegriffen.

  • Ist im Unternehmen ein Datenschutzbeauftragter bestellt?

  • Gibt es eine eigene Datenschutzleitlinie?

  • Wie ist organisatorisch sichergestellt, dass vor jeder Verarbeitung von personenbezogenen Daten geprüft wird, ob die geplante Verarbeitung zulässig ist?

  • Besteht ein Prozess für die Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen?

  • Gibt es im Unternehmen ein aktuelles Rollen- und Rechtekonzept?

  • Besteht ein standardisierter Prozess beim Onboarding und Offboarding von Mitarbeitern?

  • Ist die private Nutzung von Internetzugang, E-Mail-Postfach, dienstlichem Telefon und ggf. weiteren dienstlichen Geräten klar geregelt?

  • Wie werden Betroffene über ihre Rechte informiert?

  • Welcher Prozess ist für die Bewältigung einer Datenschutzpanne vorgesehen?

IV. Datensicherheit

  • Wie ist der Zugang zu personenbezogenen Daten geregelt?

  • Besteht ein IT-Sicherheitskonzept?

  • Besteht ein externer Zugriff auf einzelne oder alle Systeme im Netzwerk (z. B. für Home-Office, E-Mail-Abruf oder Fernwartung)?

  • Wie wird die Einhaltung aktueller technischer Standards gewährleistet?

  • Werden aktuelle Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen mit einer risikoorientierten Betrachtungsweise auf Basis von Art, Umfang sowie den Zwecken der Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit sowie Schwere der Risiken für die Rechte und Freiheiten geführt?

  • Wie ist die Löschung von Daten geregelt?

  • Wie wurde sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Verarbeitungsprozesses im Unternehmen berücksichtigt werden – Beachtung des Privacy by Design nach Art. 25 DSGVO?

Bei dieser unvollständigen Liste handelt es sich lediglich um einen Einblick in den Fragenbogen für den Datenschutzaudit. So wissen Unternehmer, welche Fragen bei einem Audit auf sie zu kommen.

Fazit: Mit einem Fragenkatalog ist der Datenschutzaudit nach DSGVO keine Zauberei

Jedes Unternehmen kann sich auf einen Datenschutzaudit nach DSGVO und die entsprechenden Fragen einfach vorbereiten. Prinzipiell sind die Datenschutzanforderungen der DSGVO abzuarbeiten, denn der Fragenkatalog für den Datenschutzaudit orientiert sich eng an den wesentlichen Vorgaben und Bereichen der DSGVO. Jedes Unternehmen, welches die DSGVO und ihre Regelungen ernst nimmt, wird per se entsprechende Antworten für den Fragenbogen bereithalten. Begreifen Sie den Audit in erster Linie als Selbstoptimierungsprozess mit Feststellung des Status Quos beim Datenschutz in Ihrem Unternehmen. Dann sind auch die Kosten für den Datenschutzaudit gut investiert.

Artikel veröffentlicht am: 03. Juni 2019

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr