DQS im Dialog
DQS Website Abonnieren

Datenschutzaudit sichert Compliance

Seit Mai 2016 in Kraft, seit Mai 2018 in Umsetzung – die neue EU-Datenschutz-Grundverordnung (DS-GVO) lässt noch immer viele Unternehmen grübeln: Sind wir betroffen? Und wenn ja: Wie erreichen wir Rechtssicherheit? Und was können wir für die Compliance im Datenschutz tun?
© DQS GmbH DSGVO - Datenschutzaudit

Unternehmen, die mit personenbezogenen Daten umgehen – und das sind nicht wenige –, müssen sich seit mehr als einem Jahr darauf gefasst machen, ein deftiges Bußgeld einzufangen. Und zwar immer dann, wenn sie die Anforderungen der neuen DS-GVO nicht vollumfänglich erfüllen. Darüber hinaus ergänzt und konkretisiert das BDSG in seiner Neufassung die DS-GVO. Hier aber herrscht allenthalben Unsicherheit:

  • Was sind überhaupt „personenbezogene Daten“?
  • Sind wir gemäß DS-GVO eine „verantwortliche Stelle“?
  • Wer ist ein „Betroffener“?
  • Was genau heißt „automatisierte Verarbeitung“ personenbezogener Daten?
  • Müssen wir einen Datenschutzbeauftragten bestellen?

Welche Maßnahmen sind umzusetzen?

Die Liste der Fragen, die es zu klären gibt, ist lang. Zwar lässt sich die Definition von Begriffen, die in der Verordnung verwendet werden, in FAQ-Listen nachlesen. Klarheit mit Blick auf die konkrete Bedeutung für das einzelne Unternehmen ist damit aber nicht zwangsläufig gewährleistet. Spätestens wenn die Umsetzung und Einhaltung notwendiger (weil geforderter) Maßnahmen und Pflichten durch die Mitarbeiter ansteht, muss es die richtigen Antworten z. B. auf solche Fragen geben:

  • Was sind „technisch-organisatorische Maßnahmen“?
  • Wann sind sie notwendig?
  • Wie sieht es mit der „Verhältnismäßigkeit“ aus?
  • Was hat es mit den vielen, von der DS-GVO geforderten „Kontrollen“ auf sich (z. B. „Zugangs- oder Weitergabekontrolle“)?
  • Wie kann Datenschutz-Compliance sichergestellt werden?

Webinaraufzeichnung

In neun Schritten zur Datenschutz-Kompetenz

  • Welche Forderungen gibt es in der Datenschutz-Grundverordnung?
  • Wie können Maßnahmen zur Umsetzung aussehen?
  • Sie erhalten Informationen zu den 9 wichtigsten Themen des Datenschutzes
Jetzt anschauen

Datenschutz vs. Informationssicherheit

Der richtige Schritt für ein betroffenes Unternehmen ist in jedem Fall der Aufbau eines wirksamen Datenschutz-Managementsystems auf der Basis der DS-GVO, zugeschnitten auf seine individuellen Bedürfnisse, ggf. bereits mit Blick auf eine akkreditierte Zertifizierung. Was dabei oft verwechselt wird: Datenschutz und Informationssicherheit sind zwei Paar Schuhe, auch wenn es einige Überschneidungen gibt (z. B. diverse Kontrollmaßnahmen). So decken Unternehmen, die über ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 verfügen, das Thema Datenschutz zu einem gewissen Grad ab. Aber es bleibt auch hier ein veritables Delta, das mit oder ohne ISMS anhand einer Gap-Analyse aufgedeckt und geschlossen werden kann.

„Der grundsätzliche Unterschied zwischen den beiden Themen: Informationssicherheit schützt Daten eines Unternehmens vor Missbrauch durch Dritte, Datenschutz zielt auf den Schutz personenbezogener Daten.“

Auf der sicheren Seite – mit einem Datenschutzaudit durch die DQS

Unternehmen, die Compliance im Datenschutz anstreben, sollten also zweierlei tun: sich bzw. ihre Compliance Officer schnellstens mit dem Thema vertraut machen und den Status quo in Form einer Gap-Analyse von einer unabhängigen Stelle wie der DQS ermitteln lassen.

Im Mittelpunkt eines solchen Datenschutzaudits steht eine Selbstbewertung mit Dokumentenprüfung. Vor Ort im Unternehmen wird dann geprüft, ob es die wesentlichen Datenschutzaspekte einhält. Die DQS erstellt dazu eine Bewertung, aus der auch hervorgeht, ob bzw. welcher Handlungsbedarf besteht.

Die Vorteile eines Datenschutzaudits

Sie erhalten

  • Informationen über Handlungsfelder
  • Informationen über verdecktes Potenzial
  • Rechtssicherheit beim Umgang mit Daten nach Umsetzung geeigneter Maßnahmen