Compliance Audit

Compliance Audit

Nachweis über die Audit Durchführung

Im Compliance Audit werden alle gesetzlichen und behördlichen Forderungen überprüft. Im Bezug auf den Datenschutz sind das im wesentlichen die Berechtigungen, sichere Verwendung von Daten, Absicherung der IT (Serverumgebung) und letztendlich die Umsetzung der DSGVO und BDSG. Desweiteren können sie auch die gesetzlichen Forderungen der Arbeitssicherheit und der Umwelt mit beim Compliance Audit berücksichtigen. Es macht Sinn im Audit alle Forderungen der Normen ISO 9001, OHSAS 14001, ISO 14001 und des Datenschutzmanagements zu überprüfen. 

Audit Checklisten

Ich bin zwar kein Freund von Audit Checklisten, aber im Compliance Audit macht es durchaus Sinn diese zu verwenden. Als Checkliste für den Datenschutz eignet sich im besonderen, die technischen und organisatorischen Maßnahmen (TOM). Die von uns benutzte Checkliste TOM deckt alle datenschutzrechtlichen Forderungen ab.  In vielen Unternehmen wurde ein Rechtskataster erstellt. Leider kennen die wenigsten Mitarbeiter sowie Führungskräfte das Rechtskataster. Das Rechtskataster beinhaltet alle gesetzlichen und behördlichen Forderungen mit Handlungsbedarf und Verantwortlichkeiten. Der Datenschutz gehört genauso dazu, wie die Umwelt oder die Arbeitssicherheit. 

Ziel eines Compliance Audit ist:

  • Überprüfung der Umsetzung von gesetzlichen und behördlichen Forderungen im Bezug auf personenbezogene Daten und deren Verarbeitung
  • Regelverstöße zu identifizieren und geeignete Maßnahmen einzufordern
  • Mitarbeiter zu sensibilisieren
  • Umsetzungsgrad von Datenschutzmaßnahmen

Datenschutz als Compliance

Die DSGVO fordert die Notwendigkeit von Compliance Audits im Datenschutz. Wie wollen sie die Rechenschaftspflichten zum Datenschutz nachweisen, ohne diese nachweisbar zu überprüfen? Datenschutz als Compliance Aufgabe ist deshalb umso wichtiger. Sehen sie das Compliance Audit auch als eine Art Stresstest als wenn sie von einer Aufsichtsbehörde auditiert werden. Bei Kleinen und mittelständischen Unternehmen geht es im wesentlichen darum, wie im Betrieb ein Datensicherheitskonzept im Bezug auf den Datenschutz (DSGVO | BDSG) umgesetz worden ist.