Checkliste: Wann ergibt ein Audit Sinn?
ACHTUNG: Ab dem 25. Mai 2018 können aufgrund der veränderten Rechtslage das Datenschutz-Gütesiegel Schleswig-Holstein und das Audit-Verfahren in der bisherigen Form nicht mehr angeboten werden. Für Organisationen in Schleswig-Holstein planen wir zeitnah, Zertifizierungen nach Datenschutz-Grundverordnung anzubieten. Bitte nehmen Sie Kontakt zu uns auf, wenn Sie hieran Interesse haben. Die genauen Verfahren, Kriterien und Gebühren werden wir demnächst hier veröffentlichen. Bitte beachten Sie, dass alle bisher erteilten Zertifizierungen (Datenschutz-Gütesiegel und Audit) des ULD auf der Rechtslage vor dem 25. Mai 2018 bzw. vor Gültigkeit der Datenschutz-Grundverordnung beruhten.
Ein Auditverfahren soll Nutzen bringen und keinen unverhältnismäßig großen Aufwand erfordern oder hohe Kosten verursachen. Das ULD berechnet für die Durchführung von Auditverfahren ein Entgelt, das sich am Aufwand orientiert. Je besser also ein Audit vorbereitet ist, desto geringer sind die beim ULD entstehenden Kosten. Gleichzeitig minimiert sich dadurch auch der Arbeitsaufwand der Daten verarbeitenden Stelle.
Die Daten verarbeitende Stelle sollte sich daher in jedem Falle vorab über die Vorschriften zur Durchführung eines Audits informieren. Dies kann beispielsweise im Internet unter
www.datenschutzzentrum.de/audit/
geschehen.
Die folgende Checkliste soll bei der Entscheidung helfen, ob ein Audit sinnvoll ist:
- Legt die Daten verarbeitende Stelle ganz allgemein Wert darauf, in Datenschutzfragen ein positives Image zu pflegen und möchte sie damit auch um das Vertrauen der Bürgerinnen und Bürger werben?
- Betrifft das Verfahren, das auditiert werden soll, die Verarbeitung personenbezogener Daten und hat es einen präzise beschreibbaren und überschaubaren Umfang?
- Befindet sich das zu auditierende Verfahren im Hinblick auf Datenschutz und Datensicherheit bereits auf einem guten Niveau?
- Kann die Daten verarbeitende Stelle das Verfahren bei Bedarf durch vertretbare Maßnahmen und Änderungen so gestalten, dass Datenschutz und Datensicherheit optimal gewährleistet sind?
- Ist das zu auditierende Verfahren dokumentiert, sind z. B. die im Rahmen des Auditverfahrens benötigten Unterlagen (Verfahrensverzeichnis gemäß § 7 LDSG und Verfahrensdokumentation gemäß § 3 DSVO für automatisierte Verfahren) vorhanden?
- Beschäftigt die Daten verarbeitende Stelle Mitarbeiter, die in der Lage sind, die im Auditverfahren vorzunehmenden Schritte durchzuführen, z. B. einen behördlichen Datenschutzbeauftragten oder andere Mitarbeiter mit entsprechender Kompetenz?
- Hat die Daten verarbeitende Stelle sich bereits Gedanken darüber gemacht, welche Datenschutzziele im Sinne einer datenschutzrechtlichen Verbesserung des zu auditierenden Bereichs sie anstreben möchte?
- Hat die Daten verarbeitende Stelle bereits Vorstellungen über ein sachgerechtes Datenschutzmanagementsystem, d.h. über sinnvolle Organisationsstrukturen für die dauerhafte Sicherstellung eines guten Datenschutzniveaus, entwickelt?
- Verfolgt die Daten verarbeitende Stelle das Ziel, das Auditverfahren zielstrebig und erfolgreich abzuschließen?
- Ist die Daten verarbeitende Stelle sich darüber bewusst, dass das mit dem Audit ausgezeichnete Verfahren von anderen öffentlichen Stellen als mustergültige Lösung angesehen wird?
Konnten Sie diese Fragen weitgehend mit "Ja" beantworten? Dann sind gute Vorraussetzungen für ein erfolgreiches Datenschutz-Behördenaudit gegeben.