Database Reference
In-Depth Information
- Welche Audit-Nachweise werden dafür benötigt? (Berichte und zusätzliche Screen-
shots, Fotos etc.)
•
Der Auswahl der Lokationen, d.h.:
- Einschränkungen durch Remote-Audits müssen beachtet werden (Ortsbegehung
nicht möglich)
- Lokale Besonderheiten einbeziehen (lokal geltende Gesetze, technische Normen,
Gebäude im Betriebseigentum oder angemietet etc.)
•
Den möglichen Methoden der Erhebung von Audit-Nachweisen, d.h.:
- Interviews lassen sich z.B. über die Fragetechnik gezielt lenken.
- Auch können schlecht ausgeführte Interviews bei fehlender Kooperationsbereit-
schaft der Auditees scheitern.
•
Den Ergebnissen vorangegangener Audits und Kontrollen.
Daraus folgt, dass statt einer allgemeinen Checkliste im Idealfall spezifische Checklisten für
jeden einzelnen Audit-Bereich (und darüber hinaus rollenspezifisch für einzelne Auditees)
unter Berücksichtigung der genannten Aspekte erstellt werden. Dieser hohe Aufwand
zahlt sich aus: Die Ergebnisse sind aussagekräftiger und Audit-Schlussfolgerungen leichter
daraus abzuleiten. Eine generelle Audit-Checkliste, die die spezielle Situation einzelner
Audit-Bereiche und Auditees nicht berücksichtigt, kann dies nicht leisten. Folglich sollte
für die Erstellung der Audit-Checkliste genügend Zeit eingeplant werden.
Ist die Checkliste erstellt, ist zu prüfen, inwieweit die Auditees über ihren Inhalt in-
formiert werden sollten. Die Autoren empfehlen - gerade weil beim Datenschutz ein so
hohes Risikopotential besteht und das DSMS bei der Erstimplementierung noch Neuland
für alle Beteiligten ist - zugunsten einer realitätsnahen Erfassung des Ist-Zustandes die
detaillierte Checkliste nicht für die Auditees zu veröffentlichen, sondern stattdessen im
Rahmen von Einführungsgesprächen (s.u. Abschn. 5.2.9.1.3) Musterchecklisten auszutei-
len. So wissen alle Beteiligten, was auf sie zukommt. Zugleich wird eine starre Fixierung
der Auditees auf die Schwerpunkte und Lücken der detaillierten Checkliste vermieden.
Da die Audit-Checkliste mit jedem Durchlauf des DSMS-PDCA in ihren Schwerpunkten
angepasst wird, bleibt die Wirksamkeit dieses Vorgehens gewährleistet. Eine Veröffentli-
chung der Audit-Checkliste im Nachhinein ist auch nicht erforderlich, denn Transparenz
wird bereits über den Audit-Bericht (s.u., Abschn. 5.2.9.3.3) sichergestellt.
5.2.9.1.2 Audit-Agenda
Einige Wochen vor den Terminen der internen Audits ist vom Lead-Auditor - bspw.
vom Verantwortlichen für den Datenschutz - die detaillierte Audit-Agenda (auch: Audit-
Tagesplan) aufzustellen und zu kommunizieren. Sie muss mindestens enthalten:
•
Tagesordnungspunkte (orientieren sich an der Audit-Checkliste und den Auditees)
•
Terminierung (z.B. in festen Zeitblöcken je Tagesordnungspunkt)
•
Auditoren (Lead-Auditor, Co-Auditor)
•
Auditees
•
Räume (bzw. Kommunikationsmittel bei Remote-Audit)
Search WWH ::
Custom Search