Vertrauen ist gut, Audit ist besser!
Ein unabhängiges Audit gibt Ihnen die Sicherheit, zu überprüfen ob Sie ein potenziell Bußgeld gefährdet und ob die getroffenen Maßnahmen ausreichen oder wirkungsvoll umgesetzt wurden.
Sie erhalten somit eine wertvolle 2. Meinung zum Stand der Dinge in Ihrem Unternehmen.
Weshalb ein Datenschutzaudit?
Ein Audit ist eine systematische Überprüfung und Bewertung von Prozessen, durch dies soll nachgewiesen werden ob die geforderten Datenschutz Anforderungen erfüllt werden.
Der Auditor betrachtet somit die innerbetrieblichen Tätigkeiten und prüft die Einhaltung der vorgegebenen Normen, Arbeitsanweisungen und Leitfäden sowie die vertraglichen Vereinbarungen bei Auftragsverarbeitern.
Zudem kommen Sie als zu auditierendes Unternehmen Ihrer gesetzlichen Verpflichtung gem. Artikel 32 (1) lit.d nach. In diesem fordert der Gesetzgeber ein Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit.
Welche Auditarten gibt es?
Grundsätzlich lassen sich 3 verschiedene Auditarten feststellen. Sie sind abhängig von dem jeweiligen Auditor, der das Audit durchführt und in welcher Beziehung er zu dem zu auditierenden Unternehmen steht.
First Party Audits
Die als „1st Party Audits“ bezeichneten Verfahren heißen so, weil sie in der Regel von einem „internen Auditor“ meist der interne Datenschutzbeauftragte, durchgeführt werden. Dieser ist also Unternehmensangehöriger. Es ist in diesem Fall nur eine Partei involviert nämlich das Unternehmen selbst. Hierbei liegt der Fokus auf die eigenen internen Abteilungen des Unternehmens.
Second Party Audits
„2nd Party Audits“ heißen Verfahren, bei denen zwei Parteien involviert sind. Auditor ist hier der eigene externe Datenschutzbeauftragte des Unternehmens. Der eigene externe Datenschutzbeauftragte prüft also die von dem Unternehmen durchgeführten Maßnahmen.
Third Party Audits
„3rd Party Audits“ schließlich können ausschließlich externe Auditoren (unabhängige Dritte) durchführen, in unserem Fall in externer Datenschutzbeauftragter oder Datenschutzauditor, ohne eine dauerhafte Beauftragung im Unternehmen. Es handelt sich hierbei also um Betriebsfremde Auditoren.
Auftragsverarbeiter Audits 3rd Party Audits
Der Gesetzgeber verlangt unter bestimmten Voraussetzungen, dass Sie mit einem von Ihnen beauftragten Dienstleistungsunternehmen einen besonderen datenschutzrechtlichen Vertrag abschließen. In diesem erklärt der Dienstleister Ihnen seine datenschutzrechtlichen Sicherungsmaßnahmen.
Sie als beauftragendes Unternehmen sollten diesen Vertrag prüfen und sich die Frage stellen, ob die angegebenen Maßnahmen für die Verarbeitung ausreichend sind.
Eine Formelle Prüfung des Vertrags sollte unbedingt durchgeführt werden, da Sie als beauftragendes Unternehmen für die Verarbeitung des Dienstleisters verantwortlich und somit auch bei einer Datenschutzverletzung haftbar gemacht werden können.
