Lust auf einen scharfen Blick von außen?
Ruf uns gerne an!

Gutachten – Von Klein bis Groß

Stehen Deine Dienstleistungen, Produkte und eingesetzten Systeme im Einklang mit dem Datenschutz?

 

Audits – Dokumentierter Blick aufs Ganze

Steht dein Datenschutzmanagementsystem im Einklang mit der DSGVO, oder muss dringend etwas geändert werden? Der Blick von außen bezieht Dein Risiko mit ein und gibt Dir klare Empfehlungen.

Ist-Analyse

Definition des Audit-Ziels; risikobasierte Überprüfung des Umsetzungsstandes mit Blick auf rechtliche und tatsächliche Anforderungen.

 

  • Ermittlung der besonderen Risiken für ein Unternehmen
  • Überprüfung der rechtlichen Anforderungen
    • Einhaltung der Transparenzgrundsätze
    • Rechtskonformität eingeholter Einwilligungen
    • Stichhaltigkeit des Verzeichnisses von Verarbeitungstätigkeiten
    • Notwendigkeit von Datenschutzfolgenabschätzung (DSFA)
  • Überprüfung der tatsächlichen Anforderungen
    • Verhalten der Mitarbeiter bei Datenschutzverstößen
    • Reaktion auf Datenschutzanfragen, Einhaltung der implementierten Prozesse
    • technische und organisatorische Maßnahmen
    • Allgemeines Schutzniveau der personenbezogenen Daten

TOM-Audit

Angemessenheit der Schutzmaßnahmen generell und auf bestimmte Verarbeitungen.

 

  • Angemessenheit der Schutzmaßnahmen
  • Einzelfallprüfungen
    • besondere Kategorien personenbezogener Daten und deren Schutz
    • Einhaltung der IT-Sicherheit
    • Angemessenheit der IT-Sicherheit

Maßnahmenkatalog

Ergebnisdarstellung und risikobasierte Empfehlungen zur Umsetzung.

 

  • Ergebnisse aus Schritt 1 werden in Maßnahmen eingearbeitet, um einen bestimmten Soll-Zustand zu erreichen
  • Risikobewertung und -darstellung
    • Abschätzung des Bußgeldrisikos
    • Abschätzung des Risikos für betroffene Personen (schadensorientiert)
    • Empfehlungen zur Sensibilisierung der Mitarbeiter zur Meldung von Datenschutzvorfällen

Dokumentation und Prüfschleifen

Dokumentation des gesamten Audits und Einführung regelmäßiger Prüfschleifen.

 

  • Dokumentation des gesamten Audits
    • Vorteile sind auch, die Möglichkeiten gegenüber der Aufsichtsbehörde vorweisen zu können, dass die Einhaltung der DSGVO effektiv überwacht wird, was im Zweifel reduzierend auf ein mögliches Bußgeld wirkt
    • Erfüllung der Rechenschaftspflichten der DSGVO

Zielgruppe

Grundsätzlich können alle Unternehmen egal welcher Größenordnung von einem Datenschutz-Audit profitieren. 

Besondere Situationen, die ein Audit erforderlich machen können: 

  • Notwendigkeit der Einsetzung eines Datenschutzbeauftragten
  • Risikobasierte Ermittlung der notwendigen Umsetzungsmaßnahmen
    (Vor-Audit vor Einführung eines DSMS)
  • infolge eines Datenschutzverstoßes zur Ermittlung weiterer Risikofelder
  • Zweifel am eigenen Sicherheitskonzept (insbesondere IT) 
  • Verarbeitung besonders großer Mengen personenbezogener Daten 

Je größer das Unternehmen und je sensibler die verarbeiteten personenbezogenen Daten, desto eher ist ein regelmäßiges Audit erforderlich.

Notwendige Vorbereitungen

  • Erstellung eines Audit-Planes
    • wie sollen Audits durchgeführt werden? 
      • Ziel (warum wird das Audit durchgeführt, was soll ermittelt werden?)
      • Geltungsbereich/Scope (Umfang des Verfahrens; welche Gesellschaften, Bereiche, usw)
      • Zuständigkeiten (Kompetenzen und Rollenverteilungen der Audit-Beteiligten)
      • Prozessablauf (Reihenfolge des Auditablaufs)
    • welche Anpassungen an die Durchführung des Audits sind von der Art und Größe des auditierten Unternehmens abhängig?
  • Erstellung eines oder mehrerer Fragenkataloge für die Durchführung von Audits

Get in touch



    Scope-Ermittlung

    Was ist Gegenstand der Begutachtung und, welche Schwerpunkte sind zu beleuchten?

    • Erfassung des zu begutachtenden Bereiches
    • Klärung von Schwerpunkten
    • Besondere Anforderungen
      • beispielsweise: ist eine bestimmte Software gesetzt, und steht somit die Implementierung nicht zur Disposition, muss also eine datenschutzkonformere Variante der Nutzung gefunden werden.

    Begutachtung

    Umfassende Prüfung der Software/Bereichs, Prüfung notwendiger Maßnahmen und Anpassungen.

    • Umfassende Prüfung der Software/Bereichs
    • ggf. Stresstest/Ermittlung von Einfallstoren für Nutzungsexzesse
    • Compliance mit privacy by design/privacy by default
    • Prüfung auf die Notwendigkeit weiterer Maßnahmen
      • Auftragsverarbeitungsverträge
      • Datenschutzfolgenabschätzung
      • Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten

    Gutachtenerstellung

    Ergebnisdarstellung und risikobasierte Empfehlungen zur Umsetzung.

    • Erstellung eines umfassenden Gutachtens unter Berücksichtigung sämtlicher Fragen des Datenschutzes
    • Handlungsempfehlungen/notwendige Anpassungen
    • ggf. Risikoeinschätzung

    Get in touch



      Unterlagen für Dich