Database Reference
In-Depth Information
…
Frage
Audit-Kriterium
Audit-Nachweis
Audit-Feststellung
Audit-Schlussfolgerung
Allgemeiner Teil
Wo finden Sie
Hinweise über die
Vorgaben zum
Datenschutz?
DSMS-Handbuch,
Kapitel 3;
Rollenkonzept: "Die
Koordinatoren
informieren die
Mitarbeiter in ihrem
Verantwortungsbe-
reich über das DSMS
und alle relevanten
Änderungen"
Interview; Rundmail
des Datenschutz-
koordinators vom
10.06.13 (Roll-out);
Screenshot
Intranetbereich
"Informaons-
sicherheit und
Datenschutz"
Kriterium erfüllt; Der lokale
Koordinator hat die Mitarbeiter
informiert. Der Auditee kennt
den einschlägigen Bereich im
Intranet und die angebotenen
Inhalte; er merkt zudem eine
relav lange Phase ohne
Neuankündigungen an, die
seinen Tägkeitsbereich
betreffen.
Beobachtung/Empfehlung: Der Bereich im
Intranet sollte regelmäßig über interessante
Neuigkeiten für alle Zielgruppen aktuell
gehalten werden, etwa ein abteilungseigener
Blog.
…
Spezieller Teil -
CRM
Erläutern Sie
bie das
Vorgehen für die
Eingabe
personen-
bezogener
Kundendaten in
das CRM-System?
Datenverarbeitung
für eigene
Geschäszwecke
(§28 BDSG);
Arbeitsanweisung
"Vertrieb B2C -
Dateneingabe in das
CRM-System",
Interview; lokale
Dokumentaon:
Arbeitsanweisung,
enthalten u.a. in der
für die CRM-Abteilung
einsehbaren
Prozessbeschreibung in
vertriebseigenem
Intranetbereich;
Kriterium nicht erfüllt; Der
Auditee trägt höchstpersönliche
und nicht zur Erfüllung des
Vertragszwecks erforderliche
personenbezogene Daten zu
Bestandskunden in ein Nozfeld
ein. Auf Nachfrage bestägt er,
dass er diese Informaonen bei
späteren Kontaktaufnahmen
nutzt (unrechtmäßige
Verarbeitung). Dies sei im
Vertrieb so üblich.
Nebenabweichung, da nur ein kleiner Teil der
Mitarbeiter das Nozfeld unrechtmäßig nutzt;
Verbesserungsmaßnahmen:
Die Mitarbeiter des Bereiches müssen
nachgeschult werden und dabei insbesondere
Sinn und Zweck der
Rechtmäßigkeitsvoraussetzungen
hervorgehoben werden; Bestehende Datensätze
müssen zunächst schprobenarg auf
Einhaltung der
Rechtmäßigkeitsvoraussetzungen untersucht
werden, bei mehreren Verstößen ist der
gesamte Datenbestand zu überprüfen und
entsprechend zu korrigieren; Als vorbeugende
Maßnahme müssen Mitarbeiter regelmäßig auf
die richge Eingabe hingewiesen werden und
die Umsetzung vom zuständigen Koordinator
überprüft werden.
Nach-Audit mit
detaillierter
Überprüfung des
Datenbestandes
Ergänzung Nach-Audit: Nur ein
kleiner Teil der Mitarbeiter
verhält sich abweichend der
Arbeitsanweisung.
Abb. 5.28
Ausgefüllte Audit-Checkliste der Medium AG
Nach Durchführung der internen Audits und vor Abhaltung der externen Audits ist ge-
meinsam mit dem Management ein Resümee zum DSMS zu ziehen, das Management
Review.
Fazit
•
Interne Audits sind umfassend vorzubereiten, um ihre Effektivität zu steigern.
•
Mit der Audit-Checkliste wird der Ablauf des Audits gelenkt.
•
Entsprechend den Audit-Zielen und -Kriterien sind die Schwerpunkte der Audit-
Checkliste auszuwählen.
•
Die zeitliche Abfolge der einzelnen Prüfhandlungen im Audit ist unter Berücksich-
tigung der Audit-Checkliste in eine Audit-Agenda zu fassen.
•
In Einführungsgesprächen mit den Verantwortlichen der Audit-Bereiche ist das
Vorliegen der grundlegenden Voraussetzungen für einen erfolgreichen Audit zu
prüfen.
•
In einem Eröffnungsgespräch wird eine konstruktive Atmosphäre für den weiteren
Audit-Verlauf gelegt.
•
Verschiedene Prüfmethoden sind anzuwenden, um einen umfassenden Einblick
in die Umsetzung des DSMS zu bekommen und geeignete Audit-Nachweise zu
erhalten.
Search WWH ::
Custom Search