2B Advice auf dem 12. Datenschutzkongress
Rubrik: 2B Advice, NachrichtenM. Belke - 2B Advice GmbH - the privacy benchmark
Workshop: Datenschutz-Audit - Wie der betriebliche Datenschutzbeauftragte sein Unternehmen prüft.
Vom Qualitätsmanagement, das einen Datenschutzbeauftragten fordert, über die Datenverarbeitung im Auftrag bis zum freiwilligen Audit gibt es verschiedenste Anforderungen und Gründe für die Durchführung von Datenschutzaudits. Audits und die damit verbundenen Kontrollen sind aufwendig und werden von den Betroffenen oft als Behinderung der täglichen Arbeit empfunden. Wie erzielen Sie eine hohe Akzeptanz für die Durchführung von Audits und wie gestalten Sie Audits für die betroffenen Unternehmensbereiche effizient und risikoorientiert? Ist es möglich, die Vorgaben aus dem Datenschutz und der ITSicherheit schon bei der Entwicklung und Implementierung von Software sicherzustellen? Und wie gewährleistet man dauerhaft datenschutzkonforme Auftragsdatenverarbeitung? Erarbeiten Sie gemeinsam mit unseren Spezialisten effiziente und rechtssichere Lösungen für Ihre Unternehmenspraxis!
Welche Audits gibt es? Wo wird ein Audit gefordert und wo hilft es?
• Datenverarbeitung im Auftrag
• Anlage § 9 BDSG, § 9a BDSG
• Stiftung Datenschutz
• European Privacy Seal
• ULD Gütesiegel
• Parallelen, Vorbereitung, Kosten und Aufwand
Das Audit schon in der Entwicklung von Prozessen und Software
• Privacy Development und IT-Security Development Guidelines
• Beispiele aus der Praxis
Effiziente Kontrolle
• Erst die Regel, dann die Kontrolle (Aufstellung effizienter Regeln, Sensibilisierung für den richtigen Umgang mit personenbezogenen Daten, Beispiel: Das Phantom geht um!)
• 100 Audits in 3 Monaten, wie mache ich das? – Integration von Audits in die Unternehmensprozesse
Was kann die „persönliche“ Kontrolle ersetzen?
• Der unabhängige Dritte?, DIN/ISO 27001?, BSI Grundschutz?
• Selfaudit: Eine Alternative oder nur besser als nichts? Modell für eine Vorgehensweise
• Wie viel Kontrolle braucht ein Unternehmen? Von der täglichen Kontrolle durch Datenschutzsheriffs bis zur zweijährigen Stichprobe?
Risikoorientierter Prüfansatz
•Erstellung einer Risikolandkarte
• Erstellung einer Prüfungsplanung
• Durchführung von Prüfungen
• Beispiele aus der Praxis
Effiziente Zielstruktur für die Umsetzung der Anforderungen an die Auftragsdatenverarbeitung
• Definition einer ADV-Zielstruktur (Prozesse, Organisation und Beteiligte, Richtlinien)
• Umsetzung der Zielstruktur
• Anpassung der Verträge
• Prüfung der Verträge (interne und externe Ressourcen, Audits und Self-Assessments, Mengengerüste)
• Beispiele aus der Praxis
Operative Umsetzung im Unternehmen
• Unterschiedliche Audits
• Auditprozesse
• Organisation (Planung, Zeiträume, Unterschiede)
• Management Attention
• Auswahl der Ansprechpartner/Multiplikatoren
• Tools
• Hindernisse
Fallübung: Schwerpunktsetzung in unterschiedlichen Branchen
• Risiken in einzelnen Branchen
• Kontrolle versus Beratung: Ansätze zum Engagement durch den Datenschutzbeauftragten
Moderation: Marcus Belke, Geschäftsführer, 2B Advice GmbH, Bonn
Dr. Andreas Knäbchen, Partner, Enterprise Risk Services, Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft, München
Dominik Stockem, Datenschutzbeauftragter, Microsoft Deutschland GmbH, Köln
