Qualitätssicherung Datenschutzaudits
Text: Alexander Vogel
Eine Begrifflichkeit und verschiedene Bedeutungen: Datenschutzaudits, egal ob es sich um Pre- oder KRITIS-Audits nach Normen wie der 27001 oder gemäß den Anforderungen nach SGB X handelt, sind ein geeignetes Werkzeug zur internen Qualitätskontrolle. Insbesondere interne Audits können ein guter Marker zur Erreichung selbst gesteckter Ziele sein.
Als Datenschutzbeauftragter gehören interne Datenschutzaudits zum Standard der regulären Tätigkeit, um ihr Datenschutzkonzept sowie die technischen und organisatorischen Maßnahmen auf ihre Wirksamkeit hin zu überprüfen. Viele Datenschutzbeauftragte fassen den Begriff eines Datenschutzaudits noch weiter auf und prüfen zusätzlich noch Prozesse innerhalb ihrer Einrichtungen hinsichtlich ihrer Datenschutzkonformität, um so zur Verbesserung und Darstellung des Datenschutz- und Informationssicherheitsniveaus beizutragen. Der Datenschutzauditor ist in diesem Fall der Datenschutzbeauftragte selbst.
Organisatorischer Ablauf eines Audits
Für ein internes Datenschutzaudit besteht keine generelle Pflicht. Jedoch kann es für Sie als Datenschutzbeauftragten Vorteile bringen. So kann das Audit, gerade wenn es zum ersten Mal durchgeführt wird, den aktuellen Ist-Stand und somit eine Übersicht für Sie als Datenschutzbeauftragter sein.
Im Großen und Ganzen besteht ein Datenschutzaudit aus fünf Phasen:
Die fünf Phasen eines Datenschutzaudits
Phase 1: organisatorische Vorbereitung
Sichtung von Dokumenten, Strukturen, Prozessen.
2. PHASE: Pre-Audit
Das Pre-Audit dient der vorherigen Sichtung und ersten Grobbeurteilung des Gesehenen, sodass letzte Optimierungen vorgenommen werden können.
3. PHASE: (Haupt-)Audit
Hier geht es ums Ganze. Es wird eine ganzheitliche Prüfung des vorab definierten Scopes mit allen Beteiligten durchgeführt.
4. PHASE: Abschlussbericht
Dieser beinhaltet nicht nur das finale Ergebnis, sondern auch Muss- und Kann-Optimierungen.
5. PHASE: Re-Auditierung
Hier ist in der Regel eine erneute Auditierung notwendig.
1. PHASE: organisatorische Vorbereitung
Das Projektmanagement obliegt in der Regel dem Datenschutzbeauftragten, der somit auch als hauptverantwortlicher Koordinator und Ansprechpartner innerhalb der Einrichtung gilt, um das Audit so optimal vorzubereiten. Bevor die inhaltliche Ausgestaltung für die Auditierung beginnt, werden die zu auditierenden Abteilungen und Prozesse bestimmt. Das schafft neben der Dokumentationsfunktion die Möglichkeit, sich einen ersten Überblick über involvierte Personen zu verschaffen. In diesem Schritt sollte außerdem eine grobe Zieldefinition des Datenschutzaudits erfolgen. Die Ziele eines Audits können individuell festgelegt sein: von der Prüfung der technischen und organisatorischen Maßnahmen über die Sensibilisierung der Mitarbeitenden bis zum allgemeinen Überblick über das Datenschutzniveau. Im nächsten Schritt sollte die Erstellung eines groben Zeitplans erfolgen und somit der Projektbeginn, das Projektende und – aufgegliedert in die fünf Auditphasen – die jeweilige Dauer der Teilphasen bestimmt werden. Hieraus kann anschließend der Projektplan mit entsprechenden Arbeitspaketen abgeleitet werden. Im letzten Schritt dieser Phase werden die Ansprechpartner für die Prozesse bzw. der beteiligten Abteilungen dokumentiert. Für ein internes Audit legen Sie die Dokumentation und die entsprechende Projektplanung der Geschäftsführung vor, sodass diese hiervon Kenntnis erlangt. Zusätzlich sollten aber bereits in diesem Projektschritt alle Beteiligten über das bevorstehende Audit informiert werden. Lassen Sie Ihr Unternehmen durch einen externen Dienstleister auditieren, halten Sie die in Ihrer Dokumentation erarbeiteten Inhalte zusätzlich in dem geschlossenen Dienstleistungsvertrag fest.
2. PHASE: Pre-Audit
Das Pre-Audit bildet die Vorbereitung für das (Haupt-)Audit. Falls noch nicht in der ersten Projektphase geschehen, sollte spätestens zu Beginn dieser Phase die Information über das bevorstehende Audit an die beteiligten Personen erfolgen. Zudem gilt es, von ebendiesen eine Übersicht der Prozesse bzw. eine Auflistung der Abteilungstätigkeiten und weitere relevante Dokumente, wie z.B. Prozessbeschreibungen, anzufordern. Diese Unterlagen bieten dem Projektverantwortlichen die Möglichkeit, das Datenschutzaudit im Detail vorzubereiten. Dieser sollte die vorliegenden Dokumente analysieren, indem Verfahren oder Prozesse studiert werden, offene und/oder unklare Punkte notiert und anschließend mit der jeweiligen Fachabteilung geklärt werden. Die erarbeiteten Informationen werden anschließend in den Projektplan implementiert. Im Sinne der Transparenz sollte auch dieser der Geschäftsführung vorgelegt werden. Nicht zu vergessen ist die lückenlose Dokumentation aller Aktivitäten. Dies vereinfacht zum einen den Überblick, zum anderen kann z.B. dem Geschäftsführer jederzeit problemlos der aktuelle Ist-Stand mitgeteilt werden.
PRÜFKRITERIEN:
Die Prüfkriterien sollten gesetzliche Normen und Standards erfüllen (egal, ob es sich um ein internes oder externes Audit handelt). Um vor bösen Überraschungen geschützt zu sein, ist es insbesondere bei externen Auditierungen empfehlenswert, vorab die Spezifikationen der Prüfkriterien zu erfragen – vor allem dann, wenn die Vergabe eines Siegels erfolgen soll.
3. PHASE: (Haupt-)Audit
Für den Gutachter (intern: Datenschutzbeauftragter, extern: Dienstleister) bildet eine flächendeckende Vorbereitung durch die ihm vorliegenden Dokumente eine gute Grundlage und bietet weitreichende Informationen über die zu auditierenden Prozesse. Der Datenschutzbeauftragte hat auf dieser Basis die entsprechenden Abteilungen zu besichtigen, vorbereitete Rückfragen zu stellen und ggf. neu gewonnene Erkenntnisse zu hinterfragen. Hier gilt es, die in der Dokumentation beschriebenen Prozesse im alltäglichen Betrieb genauer zu analysieren, um den aktuellen Zustand im Bereich Datenschutz des Unternehmens darzustellen. Alle hier gewonnenen Erkenntnisse dienen der Gutachten-/Berichtserstellung, in der alle gewonnenen Erkenntnisse niedergeschrieben werden und versucht wird, zu einem abschließenden Fazit oder Urteil in Bezug auf den Datenschutz für das Unternehmen zu kommen.
4. PHASE: Abschlussbericht
Der Abschlussbericht bedeutet nicht etwa das Ende des Audits. Vielmehr sollte dieser genutzt werden, um Rückschlüsse auf Schwachstellen und Gefährdungspunkte für den Datenschutz im Unternehmen zu ziehen. Des Weiteren kann der Bericht genutzt werden, um eine kurze Zusammenfassung für die Mitarbeitenden der Einrichtung auszuarbeiten und hier die Ergebnisse sowie Verbesserungspotenziale darzustellen. Zudem sollte ein konkreter Maßnahmenplan zur Umsetzung der sich hieraus ergebenden Aufgaben aufgestellt werden.
5. PHASE: Re-Auditierung
Auch nachdem das Audit durchgeführt und Ihr Unternehmen bewertet wurde, kann man sich nicht einfach zurücklehnen, sondern muss die Maßnahmen, die sich aus dem Abschlussbericht ergeben, umsetzen. Außerdem heißt es jetzt: Nach dem Audit ist vor dem (Re-)Audit! Für seriöse Auditierungs- und Zertifizierungsverfahren gilt, dass Sie sich alle zwei bis drei Jahre einem Re-Audit unterziehen müssen, um die gleichbleibende Qualität und somit die Nachhaltigkeit des Themas Datenschutz zu beweisen.
Dieser Artikel erschien erstmals in der ExperSite – das Magazin für Informationssicherheit und Datenschutz