Database Reference
In-Depth Information
stoßen wird. Dieses Dilemma aus Unabhängigkeit des Auditors auf der einen Seite
und Widerstand der Auditees gegen die eigene Bewertung auf der anderen Seite kann
nicht gelöst, aber abgemildert werden: Indem nämlich darauf hingearbeitet wird, die
Audits nicht als Überwachungsmaßnahmen, sondern als Notwendigkeit zur Verbesse-
rung vorzustellen und dies auch in der Praxis zu demonstrieren (etwa indem man die
Anonymität der Audit-Ergebnisse sicherstellt).
•
Der Audit-Prozess ist ferner zu
dokumentieren
. Dies beinhaltet Audit-Programm,
Audit-Plan, Audit-Checkliste, Audit-Agenda, Audit-Notizen, Audit-Bericht etc.
•
Audit-Kriterien
sind “Verfahren, Vorgehensweisen oder Anforderungen, die als Be-
zugsgrundlage (Referenz) verwendet werden, anhand derer ein Vergleich mit dem
Audit-Nachweis erfolgt” (ISO 19011). Für die DSMS-Audits ist dies primär das
DSMS-Handbuch, welches zudem die Anforderungen der Datenschutz-Policy ent-
hält und die dem DSMS zu Grunde liegenden gesetzlichen Anforderungen beinhaltet.
Bei angestrebter Zertifizierung ist der einschlägige Anforderungskatalog zusätzlich zu
beachten.
•
Audit-Nachweise
sind „Aufzeichnungen, Tatsachenfeststellungen oder andere Infor-
mationen, die für die Audit-Kriterien zutreffen und verifizierbar sind.“ Dazu zählen
Dokumente und Aufzeichnungen, die im Rahmen des DSMS erstellt wurden, aber auch
Aussagen der auditierten Personen sowie die Beobachtungen des Auditors.
•
Audit-Feststellungen
sind „Ergebnisse aus der Bewertung der gesammelten Audit-
Nachweise im Hinblick auf Audit-Kriterien“. Es wird entweder eine Konformität (bzw.
Übereinstimmung) oder eine Nichtkonformität (Abweichung) zum Audit-Kriterium
festgestellt.
•
Audit-Schlussfolgerungen
leiten sich aus dem Verhältnis aus Audit-Feststellungen
und den Audit-Kriterien ab. Sie stellen eine zusammenfassende Bewertung dar und
begründen die Erforderlichkeit von Folgemaßnahmen.
Wie die erwähnten Audit-Begriffe zusammenhängen und in welcher Phase sie von
Bedeutung sind, sei an einem Beispiel demonstriert (Abb.
5.23
):
Die obigen Ausführungen zeigen, dass sich DSMS-Audits nur unwesentlich von der
Auditierung anderer Managementsysteme unterscheiden, etablierte Begriffe und Defini-
tionen (etwa aus der ISO 19011 oder der ISO 9000) lassen sich übertragen. Auch in der
gemeinsamen Ausführung der DSMS-Audits mit bspw. Qualitäts-Audits besteht Synergie-
potential [29]. Dem Unternehmen steht es frei, seine Erfahrungen im Audit-Wesen nach
eigenem Ermessen auf die Auditierung des DSMS zu übertragen, sofern die erwähnten
Audit-Grundsätze dadurch nicht verletzt werden. Wegen der thematischen Nähe bieten
sich auch gemeinsame Audits von Security, IT-Sicherheit, Informationssicherheit und
Datenschutz an (Joint Audits). Hierbei besteht dann aber die Herausforderung, die un-
terschiedlichen Audit-Kriterien in gemeinsame Audit-Checklisten zu überführen und aus
den Audit-Nachweisen für jeden Themenbereich geeignete Audit-Schlussfolgerungen zu
ziehen.
Search WWH ::
Custom Search