Database Reference
In-Depth Information
nur auf bestimmte Bereiche beziehen, sondern muss Aussagen über die allgemeine
Wirksamkeit des DSMS treffen können.
Die Audit-Ziele sind festzulegen, etwa: Gesetzliche Anforderungen, Anforderungen
aus internen Vorgaben (Datenschutz-Policy und insbesondere DSMS-Handbuch) oder
Zertifizierungskriterien aus den einschlägigen Standards.
Weiterhin enthält das Audit-Programm die entsprechenden Auditoren bzw. Audit-
Teams und Teilnehmer der Management Reviews. Als Auditoren kommen auch die
DSMS-Akteure in Frage, sofern sie in den einschlägigen Trainings (Abschn. 5.2.6.3.2)
dazu befähigt wurden und sie unabhängig agieren können.
Als gute Basis für ein Audit-Programm eignet sich beispielsweise ein Gantt-
Diagramm, in welchem die Abfolge der einzelnen Schritte gut sichtbar wird.
Das Audit-Programm ist nicht nur in der Erstimplementierung des DSMS ein wichtiges
Instrument, sondern muss auch in den folgenden Zyklen erstellt bzw. überarbeitet werden.
In manchen Fällen wird es sogar so sein, dass sich die DSMS-Aktivitäten dann primär am
Audit-Programm orientieren werden, gerade wenn die jährliche Erneuerung des Zertifi-
kates vorbereitet und damit der DSMS-PDCA auf einen Ein-Jahres-Rhythmus angepasst
werden muss.
Die Audit-Planung ist im Regelfall beim Verantwortlichen für den Datenschutz an-
gesiedelt. Die Einbeziehung des Verantwortlichen für den Datenschutz muss generell bei
jedweder Audit-Planung berücksichtigt werden, da die Ergebnisse der Datenschutz-Audits
personenbezogene Daten beinhalten und über geeignete TOMs gesichert werden müssen.
Zudem sind die Eingaben der anderen DSMS-Akteure zu berücksichtigen. So werden die-
se idealerweise die Audits lokal vorbereiten, an den Audits teilnehmen oder auch deren
Durchführung eigenständig vornehmen. Weiterhin müssen die Geschäftsleitung bzw. die
Verantwortlichen der Geschäftsbereiche die Audits genehmigen und für die Management
Reviews zur Verfügung stehen. Entsprechend ist ihnen das Audit-Programm zur Freigabe
vorzulegen. Nicht zuletzt sind die betroffenen Mitarbeiter mit geeigneter Vorlaufzeit über
die Audits zu informieren.
In größeren Unternehmen und in einem ausgereiften DSMS sollten die Audits sys-
tematisch verbessert werden. Über einen eigenen Audit-PDCA (Abb. 5.25 ) wird über
ein Audit-Programmmanagement der Audit-Prozess im Unternehmen kontinuierlich
verbessert. Dies erhöht die Wirksamkeit der Audits im Unternehmen 25 [ 27 ].
KleinGmbH
Nachdem die wichtigsten Maßnahmen in der Do-Phase des DSMS bereits umgesetzt
wurden bzw. deren Ende absehbar ist, beginnt der Verantwortliche für den Daten-
schutz mit der Planung der Audits. Dazu stimmt er sich eng mit dem Quality Manager
25 Gietl/Lobinger , Leitfaden für Qualitätsauditoren, S. 165 f.
 
Search WWH ::




Custom Search