Richtlinie für Verfahren für interne Datenschutz-Audits Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-01-R-05 Inhaltsverzeichnis 1 Ziel... 2 2 Anwendungsbereich... 2 3 Politik... 2 4 Definitionen... 2 5 Zuständigkeiten... 2 6 Praxisteil... 2 6.1 Erstellung des Audit-Plans... 2 6.2 Qualifikation der Auditoren... 3 6.3 Terminierung der internen Audits... 3 6.4 Planung und Vorbereitung der internen Audits... 3 6.5 Durchführung des Audits... 3 6.6 Dokumentation des Audits, Feststellungen und Korrekturen... 3 6.7 Schließung des Audits... 4 6.8 Folgeaudits... 4 6.9 Weiterleitung der Ergebnisse an die Leitung... 4 6.10 Management-Reviews... 4 7 Die Ergebnisse der Audits werden vom Datenschutzbeauftragten zusammengefasst und im Rahmen des Dokumentenfreigabe... 4 8 Änderungshistorie... 5 9 Anlage... 5 9.1 Formular: Programm für interne Datenschutz-Audits (DSMS 01-01-F-03)... 5 9.2 Formular: Bericht zum internen Audit (DSMS 01-01-F-04)... 5 Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 1/5
1 Ziel Diese Richtlinie beschreibt verbindlich die Anforderungen an die Planung, Vorbereitung, Durchführung, Berichterstattung, Folgeaktionen und Beendigung von internen Datenschutz-Audits. 2 Anwendungsbereich Diese Richtlinie ist von der Leitung, den Verfahrensverantwortlichen und den Vertragsverantwortlichen und dem Datenschutzbeauftragten umzusetzen. 3 Politik Diese Richtlinie soll sicherstellen, dass ein unabhängiges System zur Überprüfung der Umsetzung sowie der permanenten Verbesserung des Datenschutz-Managementsystems eingesetzt wird. Dies wird mittels einer gelenkten Methode zur Planung, Terminierung, Koordination und Durchführung von Audits sowie die damit verbundenen Tätigkeiten erreicht. 4 Definitionen Audit Datenschutz-Management-Systems (DSMS) VerfahrenAbweichung Feststellung 5 Zuständigkeiten 1. Die Leitung ist für die Umsetzung dieser Richtlinie verantwortlich. 2. Die Leitung erstellt einen Audit-Plan. 3. Der Datenschutzbeauftragte bestimmt die Auditoren und koordiniert die Audits 4. Die Auditoren führen die Audits, dokumentieren die Audits und melden die Ergebnisse dem Datenschutzbeauftragten. 5. Die Audit-Abweichungen werden von den Verantwortlichen behoben. 6 Praxisteil 6.1 Erstellung des Audit-Plans Die Leitunghat einen Plan für Audits gemeinsam mit dem Datenschutzbeauftragten festzulegen, wobei der Datenschutzbeauftragte, in Abstimmung mit der Leitung, jährliche Audit-Schwerpunkte festlegt (in der Regel Audit eines Verfahrens). Im Audit-Plan werden der Anwendungsbereich und die Frequenz des Audit-Besuchs zusammen mit dem Auditor abgebildet. Der Audit-Plan wird von der Leitung überprüft und freigegeben. Die Leitung wird den Plan für Audits spätestens drei Monate vor dem ersten Audit-Termin vorschlagen. Bei der Terminierung des Audit-Besuchs sind folgende Aspekte zu beachten: Kommentar [SR1]: Alternative 2: Vollaudits: der den Anwendungsbereich des Datenschutz-Management- Systems abdeckt und er hat sicherzustellen, dass jeder Aspekt des Datenschutz-Management-Systems mindestens jährlich auditiert wird Geschäftsanforderungen, schwere der Feststellungen des vorhergehenden Audit-Besuchs, Audit-Besuche in der gleichen räumlichen Gegend, Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 2/5
aktuelle oder vorgeschlagene größere Änderungen an Prozessen, etc., jeder weitere gerechtfertigte Grund, der Auswirkungen auf die Terminierung des Audit- Besuchs Auswirkungen haben kann. 6.2 Qualifikation der Auditoren Audits werden einem Auditor zugewiesen, der für die jeweilige fachspezifische Audit-Art über eine entsprechende Qualifikation verfügt. Über die Angemessenheit der Qualifikation der Auditoren hat der Datenschutzbeauftragte zu entscheiden. Die Anforderungen an die Qualifikation der Auditoren legt der Datenschutzbeauftragte fest. Für die Durchführung fachspezifischen Audits können auch Dritte herangezogen werden. 6.3 Terminierung der internen Audits Der Datenschutzbeauftragte informiert die Auditoren über die bevorstehenden Audits, spätestens jedoch einen Monat vor dem Audit-Datum. 6.4 Planung und Vorbereitung der internen Audits Bei der Planung und Vorbereitung eines Audits hat der Auditor sicherzustellen, dass folgende Maßnahmen ergriffen werden: 1. Erstellung einer Audit-Checkliste und 2. Herstellung des Kontakts zur auditierenden Einheit, um einen für beide Seiten passenden Termin für das Audit festzulegen und den Audit-Umfang zu besprechen. 6.5 Durchführung des Audits Der Auditor führt die Prüfung anhand einer Checkliste als Leitfaden durch. Der Auditor zeichnet alle relevanten Details auf. Der Auditor erweitert seine Checkliste, wenn ergänzende Fragen notwendig sind, um die Einhaltung der festgelegten Anforderungen und die Effektivität der Elemente des Datenschutz-Managementsystems zu bestimmen. Vertraulichkeit während des Audits: Wenn bei einem internen Audit oder einer Prüfung durch Dritte der Zugriff auf Dateien oder Datenbanken notwendig ist, ist sicherzustellen, dass Maßnahmen ergriffen werden, die die Vertraulichkeit der personenbezogenen Daten wahren. Wenn es möglich ist, ist der Zugriff des Auditors soweit einzuschränken, dass er feststellen kann, dass eine Datei oder eine Datenbank existiert, sie eindeutig identifiziert und sicher ist. Wenn die Kontrolle des Inhalts wichtig ist, dann ist der Zugriff auf nicht-sensible Daten zu beschränken. Während eines Audits evaluiert der Auditor die festgestellten Nachweise und analysiert die scheinbaren Abweichungen um ihre Gültigkeit als Audit-Feststellungen sicherzustellen. Wenn Abweichungen gefunden worden sind und der Ergreifung von Korrekturmaßnahmen zugestimmt worden ist, zeichnet der Auditor die Korrekturmaßnahmen auf. Wenn Korrekturmaßnahmen während des Audits umgesetzt worden sind, sind die Abweichungen zu schließen. 6.6 Dokumentation des Audits, Feststellungen und Korrekturen Nach Abschluss eines Audits fertigt der Auditor einen formalen Audit-Bericht an. Der Audit-Bericht besteht aus 1. einem Deckblatt, 2. einem Audit-Protokoll, 3. einer Anzahl an dokumentierten Abweichungen, für jede Abweichung wird ein eigener Report angelegt, einschließlich der Abweichungen, die während des Audits abgestellt worden sind und Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 3/5
4. zusätzlichen en zu Beobachtungen. Die Audit-Feststellungen werden auf dem Audit-Deckblatt zusammengefasst, einschließlich einer fortlaufenden Nummer und der Natur der Abweichung. Wenn der Auditor unterstützende Dokumentationen nutzt, sollten diese Dokumente als Beobachtung dem Audit-Report beigefügt werden. Dies liegt im Ermessen des Auditors und sollte auf dem Audit- Deckblatt vermerkt werden. Der Auditor erhält die Unterschrift des Leiters der auditierten Einheit. Mit der Unterschrift erkennt der Unterschreibende die Feststellungen des Auditors sowie die Abweichung an. Eine Kopie des Audit- Deckblatts ist der auditierten Einheit auszuhändigen und der gesamte Audit-Bericht, zusammen mit allen Arbeitspapieren, ist an den Datenschutzbeauftragten zu übermitteln. Der Datenschutzbeauftragte wird alle Arbeitspapiere, die nicht Bestandteil des offiziellen Audit- Berichts sind, separat archivieren. Nach Erhalt des ausgefüllten Audit-Berichts, analysiert der Datenschutzbeauftragte den Audit-Report und behandelt jede Abweichung gemäß der Richtlinie Korrekturmaßnahmen und vorbeugende Maßnahmen. Dazu wird jeder Bericht über Abweichungen mit einer eindeutigen Nummer versehen und in die Übersicht über Abweichungen aufgenommen. 6.7 Schließung des Audits Wenn alle während des Audits festgestellten Abweichungen abgestellt worden sind, markiert der Datenschutzbeauftragte den Vorgang auf dem Audit-Deckblatt als geschlossen. Eine vollständige Kopie des Audit-Reports ist der auditierten Einheit zuzusenden. Die auditierte Einheit bestätigt, dass der Vorgang geschlossen werden kann. 6.8 Folgeaudits Wenn der Datenschutzbeauftragte berechtigte Gründe hat, zu glauben, dass die Ursache für eine Abweichung zu ähnlichen Abweichungen in anderen Einheiten führen kann, kann er Folge-Audits in den betroffenen Einheiten anordnen. Die Folge-Audits müssen im Einklang mit dieser Richtlinie geplant werden. Sollten Folge-Audits notwendig sein, so werden die Folge-Audits im Einklang mit dieser Richtlinie durchgeführt. 6.9 Weiterleitung der Ergebnisse an die Leitung Die Ergebnisse des Audits werden vom Datenschutzbeauftragten an die Leitung weitergegeben. 6.10 Management-Reviews 7 Die Ergebnisse der Audits werden vom Datenschutzbeauftragten zusammengefasst und im Rahmen des Dokumentenfreigabe Rolle Funktion Name des Freigebenden Freigabe Freigabe- Datum Autor Datenschutzbeauftragter Stephan Rehfeld Elektronische Freigabe Eigentümer Leitung Elektronische Freigabe Freigebender Leitung Elektronische Freigabe Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 4/5
8 Änderungshistorie Datum Revisionsnummer Autor Beschreibung der Änderung 1.0 Stephan Rehfeld Veröffentlichung der Arbeitsanweisung 9 Anlage 9.1 Formular: Programm für interne Datenschutz-Audits (DSMS 01-01-F-03) Name der Aufbewahrungs-Ort Verantwortlicher für Aufbewahrung Maßnahme zum Schutz der Aufbewahrungs- Dauer Programm für interne Datenschutz- Audits (in elektronischer Form) Rechner von [Stellenbezeichnung] Leitung Nur[Stellenbezeichnung] und der interne Auditor haben die Berechtigung für das Erstellen von Einträgen oder für Änderungen am Jährlichen Programm für interne Audits. Programme werden für die Dauer von 3 Jahren aufbewahrt Kommentar [DK2]: Üblicherweise die Person, die das Jährliche Programm genehmigt hat 9.2 Formular: Bericht zum internen Audit (DSMS 01-01-F-04) Name der Aufbewahrungs-Ort Verantwortlicher für Aufbewahrung Maßnahme zum Schutz der Aufbewahrungs- Dauer Bericht zum internen Audit (in elektronischer Form) Rechner des internen Auditors und von [Stellenbezeichnung] Interner Auditor Berichte werden schreibgeschützt gespeichert Berichte werden für die Dauer von 3 Jahren aufbewahrt Kommentar [DK3]: Üblicherweise in PDF-Format Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 5/5