Database Reference
In-Depth Information
Folglich handelt es sich um System-Audits, die sich durch folgende Ziele charakterisieren
lassen [
28
]:
23
•
Ermittlung von Verbesserungspotenzialen, d.h.
- Ermittlung von Schwachstellen und deren Beseitigung
- Ermittlung von Fehlerursachen und deren Beseitigung
•
Sensibilisieren der Mitarbeiter für die Philosophie und Politik der Organisation
bezüglich des befragten Themas Datenschutz,
•
Bewertung des installierten Managementsystems,
•
Informationsbereitstellung für die Zertifikatserteilung (nur externe Audits),
•
Bereitstellung von Informationen für das Managementreview
•
Selbstverständlich steht es dem Unternehmen auch frei, zusätzliche Audit-Typen
(Prozess-Audits, Verfahrens-Audits, Produkt-Audits etc.) einzusetzen, um bestimmte
Bereiche detaillierter zu untersuchen, gerade wenn das DSMS schon in den Regelbetrieb
überführt worden ist.
Eine detailliertere Definition des Audits gibt die ISO 19001 - eine internationale Norm zur
Auditierung von Managementsystemen, die sich aufgrund der Ähnlichkeiten des DSMS
zu internationalen Standards (siehe Abschn. 3.2.2) auch auf das DSMS anwenden lässt:
Sie bezeichnet einen Audit als einen „systematischen, unabhängigen und dokumentierten
Prozess zur Erlangung von Audit-Nachweisen und zu deren objektiver Auswertung, um zu
ermitteln, inwieweitAudit-Kriterienerfülltsind“(ISO19011). BereitsüberdieseDefinition
lassen sich die wichtigsten Anforderungen an die DSMS-Audits herleiten:
•
Systematisch
sind DSMS-Audits, wenn sie zielgerichtet sind sowie geplant und
vorbereitet werden. Aus diesem Grund startet die Check-Phase mit der Audit-Planung.
•
Eine größtmögliche
Unabhängigkeit
des Auditors zum auditierenden Bereich ist
anzustreben, wobei eine vollständige Unabhängigkeit aufgrund der jeweiligen Ge-
schäftsbeziehungen - sei es bei internen Audits durch die Verflechtungen innerhalb
eines Unternehmen, bei externen Audits durch die Beauftragung - nicht zu ge-
währleisten ist. Während größere Unternehmen für die internen Audits eigene
Audit-Abteilungen eingerichtet haben, bietet es sich für kleinere Unternehmen an,
die Audit-Verantwortung direkt beim Verantwortlichen für den Datenschutz anzusie-
deln. Ist dieser personenidentisch mit dem betrieblichen Datenschutzbeauftragten, so
ist seine Unabhängigkeit bereits gesetzliches Erfordernis. Falls nicht, dann kann bei-
spielsweise ein DSMS-Akteur aus Organisationseinheit A die Organisationseinheit B
auditieren und umgekehrt. Auch ein externer Berater kann hinzugezogen werden. Es
muss jedoch beachtet werden, dass die Auditierung durch einen Dritten (sei es jemand
aus einer anderen Abteilung oder ein Externer) vor Ort grundsätzlich auf Widerstand
23
Gietl/Lobinger
, Qualitätsaudit, S. 605.
Search WWH ::
Custom Search