Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Fragebogen mit Laptop

Datenschutzaudit: Mit diesem Fragenkatalog sollten Sie rechnen

Im Rahmen eines Datenschutzaudits können sich Unternehmen freiwillig ihre Datenschutzkonformität zertifizieren lassen. Dabei kommen einige Fragen auf Sie zu - wir zeigen Ihnen, welche und helfen Ihnen, sich vorzubereiten!

Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen. Die DSGVO spricht deshalb in Art. 42 DSGVO auch allgemein von der Zertifizierung. Unternehmen beauftragen mit dieser Auditierung unabhängige Prüfer und Gutachter. Diese arbeiten bei einem Datenschutzaudit mit einem Fragebogen beziehungsweise Fragenkatalog als wesentliches Instrument ihrer Feststellungen – neben Interviews, der Prüfung von Dokumenten und Vor-Ort-Untersuchungen. Um Unternehmen die Möglichkeit zu geben, sich bestmöglich auf den Zertifizierungsprozess vorzubereiten, stellen wir hier wichtige Teile des Fragenkatalogs für den Datenschutzauditvor.

Fragebogen beim Datenschutzaudit – worum geht es?

Bei Datenschutzzertifizierungen können inhaltlich unterschiedliche Schwerpunkte gesetzt werden. Je nachdem, ob es um die Datenschutzkonformität bei einem bestimmten Projekt oder die Einhaltung des Datenschutzes insgesamt geht, werden die Fragen ausgewählt. Zertifizierungsstellen setzen für den Datenschutzaudit-Fragenkatalog häufig eine Software ein, die Datenschutzaudit-Muster bereithält, aber dennoch genug Spielraum für individuelle Abweichungen bei den Fragen für das einzelne Unternehmen bietet.

Bei einem allgemeinen Datenschutzaudit zur Feststellung des im Unternehmen bestehenden Datenschutzstandards werden grob die im Folgenden gelisteten Kategorien abgefragt.

I. Fragen zur Erfassung des Unternehmens

  • Haben Sie ein Organigramm des Unternehmens oder der Unternehmensgruppe?

  • Welche Produkte oder Dienstleistungen erbringt Ihr Unternehmen?

  • Wo befinden sich sämtliche Standorte Ihres Unternehmens bzw. an welchen Standorten finden Datenverarbeitungen statt?

  • Befinden sich Standorte des Unternehmens außerhalb der EU oder des Europäischen Wirtschaftsraumes („EWR“)?

II. Datenschutzdokumentation

  • Existiert ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO?

  • Wie ist das Verzeichnis dokumentiert?

  • Haben Sie eine Liste aller Dienstleister, die für Sie im Rahmen einer Auftragsverarbeitung tätig sind?

  • Falls die Liste der Auftragsverarbeiter unvollständig ist oder nicht existiert, haben Sie eine Liste der Unternehmen und Dienstleister, die für Sie Datenverarbeitungen vornehmen?

  • Ist das Unternehmen auf das Erfordernis einer Datenschutz-Folgenabschätzung  vorbereitet?

  • Wurde ein Datenschutzmanagementsystem installiert, um sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt?

III.  Datenschutzorganisation

Ein besonderer Fokus beim Datenschutzaudit liegt in der Datenschutzorganisation. Hier kann der Fragenkatalog sehr ausführlich werden. Wir haben die wichtigsten Fragen herausgegriffen.

  • Ist im Unternehmen ein Datenschutzbeauftragter bestellt?

  • Gibt es eine eigene Datenschutzleitlinie?

  • Wie ist organisatorisch sichergestellt, dass vor jeder Verarbeitung von personenbezogenen Daten geprüft wird, ob die geplante Verarbeitung zulässig ist?

  • Besteht ein Prozess für die Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen?

  • Gibt es im Unternehmen ein aktuelles Rollen- und Rechtekonzept?

  • Besteht ein standardisierter Prozess beim Onboarding und Offboarding von Mitarbeitern?

  • Ist die private Nutzung von Internetzugang, E-Mail-Postfach, dienstlichem Telefon und ggf. weiteren dienstlichen Geräten klar geregelt?

  • Wie werden Betroffene über ihre Rechte informiert?

  • Welcher Prozess ist für die Bewältigung einer Datenschutzpanne vorgesehen?

IV. Datensicherheit

  • Wie ist der Zugang zu personenbezogenen Daten geregelt?

  • Besteht ein IT-Sicherheitskonzept?

  • Besteht ein externer Zugriff auf einzelne oder alle Systeme im Netzwerk (z. B. für Home-Office, E-Mail-Abruf oder Fernwartung)?

  • Wie wird die Einhaltung aktueller technischer Standards gewährleistet?

  • Werden aktuelle Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen mit einer risikoorientierten Betrachtungsweise auf Basis von Art, Umfang sowie den Zwecken der Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit sowie Schwere der Risiken für die Rechte und Freiheiten geführt?

  • Wie ist die Löschung von Daten geregelt?

  • Wie wurde sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Verarbeitungsprozesses im Unternehmen berücksichtigt werden – Beachtung des Privacy by Design nach Art. 25 DSGVO?

Bei dieser unvollständigen Liste handelt es sich lediglich um einen Einblick in den Fragenbogen für den Datenschutzaudit. So wissen Unternehmer, welche Fragen bei einem Audit auf sie zu kommen.

Fazit: Mit einem Fragenkatalog ist der Datenschutzaudit nach DSGVO keine Zauberei

Jedes Unternehmen kann sich auf einen Datenschutzaudit nach DSGVO und die entsprechenden Fragen einfach vorbereiten. Prinzipiell sind die Datenschutzanforderungen der DSGVO abzuarbeiten, denn der Fragenkatalog für den Datenschutzaudit orientiert sich eng an den wesentlichen Vorgaben und Bereichen der DSGVO. Jedes Unternehmen, welches die DSGVO und ihre Regelungen ernst nimmt, wird per se entsprechende Antworten für den Fragenbogen bereithalten. Begreifen Sie den Audit in erster Linie als Selbstoptimierungsprozess mit Feststellung des Status Quos beim Datenschutz in Ihrem Unternehmen. Dann sind auch die Kosten für den Datenschutzaudit gut investiert.

Datenschutz & Startups – unser neuestes Whitepaper enthält 10 wichtige To-Dos

Warum ist Datenschutz gerade auch für Startups wichtig? Welche Punkte sollten Gründer unbedingt angehen?

Datenschutz und Startup passen für viele Gründer erst einmal nicht zusammen. Meist stehen in der Gründungsphase andere Dinge im Fokus der Unternehmer. In unserem Whitepaper "10 Datenschutz-To-Dos, die jedes Startup umsetzen sollte" zeigen wir Ihnen, welche Punkte Sie als Gründer angehen sollten, sodass Datenschutz für Sie kein unnötiges Risiko darstellt.

Jetzt Whitepaper herunterladen

Aktuelle Beiträge zum Thema Datenschutz