Die datenschutz cert GmbH erweitert ihr Dienstleistungsportfolio auf DSGVO-Audits. Damit können wir Ihre Verarbeitungsvorgänge hinsichtlich der Einhaltung der Anforderungen der EU-DSGVO auditieren. Das dokumentierte Audit unterstützt Sie bei der Erfüllung Ihrer Rechenschaftspflicht.
Im Fokus des DSGVO-Audits stehen Verarbeitungsvorgänge. Verarbeitungsvorgänge können von einem Verantwortlichen oder Auftragsverarbeiter erbracht werden. Verarbeitungsvorgänge können auch technisch unterstützt werden. Damit können etwa auch Webseiten, auf denen personenbezogene Daten verarbeitet werden, als Verarbeitungsvorgänge aufgefasst und somit geprüft und zertifiziert werden.
Zum Hintergrund: Seit 25.05.2018 ist die EU-Datenschutzgrundverordnung (EU-DSGVO, General Data Protection – GDPR) in Kraft. Inhaltlich haben sich gegenüber den vorherigen Regelungen des Bundesdatenschutzgesetzes (BDSG) nur wenige Anforderungen verschärft. Fundamental geändert hat sich jedoch der Ansatz, dass der Verantwortliche resp. Auftragsverarbeiter selber im Rahmen eines strukturieren Vorgehens die geeigneten Maßnahmen definieren und umsetzen muss, um die Anforderungen der EU-DSGVO insgesamt zu erfüllen. Dieser Ansatz, der mehr in Richtung eines Datenschutz-Managements tendiert, muss ferner nachgewiesen werden.
Hinweis: Dieses DSGVO-Audit ist KEIN Zertifizierungsverfahren gem. Art. 42 (1) EU-DSGVO. Zum jetzigen Zeitpunkt sind leider noch keine offiziellen Zertifikate nach DSGVO in Deutschland anerkannt und keine Zertifizierungsstellen zugelassen. Durch das DSGVO-Audit erfolgt die Überprüfung und die Dokumentation der Einhaltung der Anforderungen der EU-DSGVO OHNE Erteilung eines Zertifikats, einer Bestätigung oder Testates.
Wie gehen wir vor?
Das DSGVO-Audit der datenschutz cert GmbH fokussiert auf einen exakt definierten Verarbeitungsvorgang. Sie stellen uns zunächst Informationen zum Geltungsbereich zur Verfügung, dazu zählen die exakte Bezeichnung des Verarbeitungsvorgangs, die verwendeten Datenarten und die relevanten Standorte.
Das Audit wird zweistufig durchgeführt: In einem telefonischen Voraudit wird der Geltungsbereich abgestimmt. Ferner wird der Termin für den Site Visit verabredet. Im Site Visit bei Ihnen auditiert das Auditteam, inwiefern Ihre Institution für den Geltungsbereich die Anforderungen der EU-DSGVO erfüllt. Im Ergebnis erhalten Sie einen Auditreport, in dem die Ergebnisse des Audits dokumentiert sind.
Für DSGVO-Audits setzen wir erfahrene Experten und Auditoren des Datenschutzes ein. Die datenschutz cert GmbH ist seit vielen Jahren bei der DAkkS als Zertifizierungsstelle akkreditiert – etwa für ISO/IEC 27001, den IT-Sicherheitskatalog oder die eIDAS-Verordnung. Darüber hinaus sind wir seit vielen Jahren mit der Auditierung von Produkten gem. Datenschutz betraut – etwa gem. ULD- oder EuroPriSe-Standard.
Inhaltlich orientiert sich das Audit an den Anforderungen der EU-DSGVO, so dass die folgenden Themenbereiche vom DSGVO-Audit umfasst sind: Zulässigkeit der Datenverarbeitung, Verantwortung des Verantwortlichen, Aspekte der Auftragsverarbeitung, sofern anwendbar, technisch-organisatorische Maßnahmen, Datenschutz-Management, Datenverarbeitung im EU-Drittland, Umsetzung von Betroffenenrechte, Förderung des Datenschutzes.
Zu jedem Anforderungselement dokumentieren wir Ihren Umsetzungsstatus und das Ergebnis der Auditierung. Abweichungen oder Verbesserungspotential zur den Anforderungen der EU-DSGVO werden dabei explizit angegeben.
Was sind Ihre Vorteile?
Mit dem DSGVO-Audit der datenschutz cert GmbH halten Sie einerseits einen dokumentierten Bericht einer unabhängigen Stelle in Ihren Händen, die die Umsetzung der Anforderungen der EU-DSGVO geprüft hat. Sie unterstützen damit die Erfüllung Ihrer Rechenschaftspflicht gem. Art. 5 (2) und können diesen Bericht auch ggü. Dritten zum Nachweis überreichen.
Andererseits können Sie durch die Prüfung einer unabhängigen Stelle Ihr Datenschutz-Niveau weiter verbessern – etwa wenn im Rahmen des DSGVO-Audits ein Verbesserungspotential identifiziert wird.
Und letztlich bereiten Sie mit dem DSGVO-Audit der datenschutz cert GmbH sich auf eine später verfügbare Zertifizierung gem. Art. 42 (1) EU-DSGVO vor.
Interesse?
Weitere Informationen finden Sie hier.
Autor: Dr. Sönke Maseberg