Database Reference
In-Depth Information
5.2.8.1.1 AbgrenzunginterneundexterneAudits
Interne Audits sind zunächst zu unterscheiden von externen Audits [
27
]:
•
An internen Audits ist nur eine Partei - das Unternehmen selbst - beteiligt, deshalb
werden sie auch als
1st-Party-Audit
bezeichnet. Sie werden im Auftrag des Mana-
gements von Mitarbeitern des Unternehmens durchgeführt, wobei auch der Einsatz
von Beratern unter diese Form des Audits fällt. Damit sind auch Audits durch einen
externen DSB grundsätzlich als interne Audits zu qualifizieren, denn dieser wird im
Rahmen des zugrunde liegenden Geschäftsbesorgungsvertrages für und im Sinne des
Unternehmens tätig.
•
Bei externen Audits ist neben dem Unternehmen noch mindestens eine weitere Partei
beteiligt. Sie lassen sich in folgende Untergruppen unterteilen:
- Bei Lieferanten-Audits auditiert das Unternehmen seine Lieferanten, es ist also noch
eine zweite Partei an den Audits beteiligt (
2nd-Party-Audit )
. Dies hat im Daten-
schutz aufgrund der Prüfpflichten des Auftraggebers (§ 11 BDSG) in der ADV eine
praktische Relevanz. Dabei gibt es zwei Ausprägungen, die zu unterschiedlichen
Begrifflichkeiten führen:
- Das Unternehmen als Auftraggeber auditiert seine Lieferanten (Auftragnehmer,
siehe dazu Abschn. 5.2.7.5). Dies stellt den klassischen Lieferanten-Audit dar.
- Das Unternehmen selbst wird als Auftragnehmer von seinen Kunden (Auftrag-
geber) auditiert. Damit stellt dies aufgrund der umgekehrten Perspektive einen
Kunden-Audit dar.
- Schließlich kann das DSMS durch einen unabhängigen Dritten auditiert werden
(
3rd-Party-Audit)
. Als Dritter tritt eine akkreditierte Zertifizierungsstelle auf, die an
Stelle eines Kunden auf Basis bestimmter Anforderungskataloge (siehe Abschn. 3.2)
das DSMS auditiert und bei Erfolg dem Unternehmen ein entsprechendes Zertifikat
bzw. Gütesiegel erteilt.
- Um einen Datenschutz-Audit eigener Art handelt es sich bei
Auditierungen durch
die Aufsichtsbehörde
, v.a. deshalb, weil die Aufsichtsbehörde die Audit-Parameter
auf Basis ihrer gesetzlichen Ermächtigungen weitgehend selbst festlegen kann. Diese
Form des Audits ist eine Besonderheit zu anderen Managementsystemen und re-
sultiert primär aus dem gesetzlichen Ursprung des Datenschutzmanagements (siehe
Abschn. 2.2).
5.2.8.1.2 AnforderungenanDSMS-Audits
Ein Audit dient zur Ermittlung von Abweichungen des Ist-Zustandes mit dem geplan-
ten Soll-Zustand und ist damit aufgrund der Offenbarung ebendieser Abweichungen ein
essentieller Bestandteil in der Verbesserung des DSMS. Audits können mit verschiede-
nen Zielsetzungen (Audit-Ziele) angegangen werden. Die Zielsetzung der hier in diesem
Praxisleitfaden beschriebenen DSMS-Audits (intern wie extern) ist die Überprüfung der
Wirksamkeit des DSMS, also der Datenschutzmanagementfähigkeit des Unternehmens.
Search WWH ::
Custom Search