Auch wenn es der wichtige Bereich „Audit“ leider nicht offiziell in die neuen Gesetze der DSGVO und BDSG geschafft hat, ist die verantwortliche Stelle gesetzlich verpflichtet, ihr vorhandenes Datenschutz-Managementsystem regelmäßigen Überprüfungen zu unterziehen. Experten raten zu mindestens einer Überprüfung pro Geschäftsjahr. Allerdings gibt es in diesem sehr sensiblen Bereich eine Vielzahl von Dingen und Themen zu beachten.
Die Rolle des Auditors
Eine Überprüfung des Unternehmens durch den benannten Datenschutzbeauftragten ist eher nicht zu empfehlen, da er seine Tätigkeiten im Unternehmen praktisch selbst überprüfen müsste. Darum spielt es hier ausnahmsweise auch keine Rolle, ob das Unternehmen einen betrieblichen oder externen Datenschutzbeauftragten beschäftigt. Bei dieser Konstellation bietet sich eine Zusammenarbeit mit einer externen Auditgesellschaft an. Besonderes Augenmerk gilt es auf die fundierte Erfahrung des Auditors auf dem Gebiet des Datenschutzes zu legen. Ebenso sollte er über die notwendige Neutralität verfügen und im allerbesten Fall keinerlei direkte Verbindungen mit dem Unternehmen besitzen.
Ablauf eines Audits
Bei einem gut vorbereiteten Audit werden schon im Vorfeld vorhandene Dokumente an den Auditor gesendet. Nachdem dieser die Dokumentenprüfung abgeschlossen hat, kann er sich bereits ein sehr gutes Bild von dem Unternehmen und den internen Strukturen und Prozessen machen. Am festgelegten Audittag sollte mindestens ein Mitarbeiter aus dem höheren Management anwesend sein. Dies ist vor allem deshalb von Bedeutung, da die höchste Management-Ebene ggf. für mögliche Versäumnisse haftbar zu machen ist. Neben der Geschäftsführung eignet sich, je nach Unternehmensgröße, z. B. der Betriebsleiter als kompetenter Ansprechpartner. Bei Konzernstrukturen sind selbstverständlich noch weitere Fach- oder Bereichsleiter für die Beantwortung offener Fragen notwendig.
Was tun bei „Findings“?
Selbst in Unternehmen, die im Bereich Organisation gut aufgestellt sind, kann es passieren, dass etwas auf operativer Ebene aus dem Fokus geraten ist. Hier ist es besonders wichtig, dass mögliche Verfehlungen des Unternehmens von beiden Seiten ehrlich und offen, aber auch kritisch diskutiert werden können. Nur so sind tatsächliche und nachhaltige Verbesserungen der Prozesse möglich. Ein weiterer Besuch des Auditors sollte das Unternehmen somit nicht als Niederlage, sondern als weitere Chance sehen.
Tatsächliche Verbesserungen
Spätestens nach dem zweiten Besuch des Auditors sollten alle noch offenen Punkte behoben sein. Damit nun überhaupt eine nachhaltige betriebliche Verbesserung eintreten kann, ist auf folgende Punkte besonders zu achten: Als erster Schritt empfiehlt sich eine Aktualisierung der vorhandenen Dokumente, Prozesse und Rollen. Danach müssen diese Änderungen selbstverständlich bei den Mitarbeitern präsent gemacht werden. Hier eignen sich Mitarbeiterschulungen, Aushänge am Schwarzen Brett sowie Rundmails bzw. das Unternehmens-Wiki. Der dritte und letzte Schritt beinhaltet die Festlegung des nächsten Audits. Denn spätestens beim kommenden Besuch des Auditors werden die angepassten Organisationsmaßnahmen überprüft werden.
Auditpartner Procova
Als erfahrener Auditpartner gehen wir mit unseren Kunden Hand in Hand und so transparent wie möglich in die bevorstehende Überprüfung. Ob Freiberufler oder Konzern, ob Kleinunternehmer oder Mittelstand, wir finden den bestmöglichen und effizientesten Weg, Ihr Unternehmen zu unterstützen. Durch unsere eigens erstellten Audit-Dokumente gehen wir individuell auf Ihre Unternehmungen ein und sind selbstverständlich auch im Anschluss noch Ihr kompetenter Ansprechpartner.
Ihr Benjamin Richter (www.procova.de)
Cyber Complete
Weststraße 4
57392 Schmallenberg
Ein Porträt des Unternehmens und weitere Informationen zu Cyber Complete finden Sie HIER
Teilen: