Welchen Zweck es haben kann, neben einem Datenschutzbeauftragten einen Datenschutzauditoren im Unternehmen zu haben.
Der Datenschutz spielt für die meisten Unternehmen eine immer größere Rolle. Zum einen, um den Datenschutz und die Datensicherheit zu gewährleisten, zum anderen, um wettbewerbsfähig zu bleiben. Beides sollte daher regelmäßig durch einen Experten geprüft werden. Beim Datenschutz und der Datensicherheit bedienen sich die Unternehmen eines Datenschutzbeauftragten, der ab 20 Beschäftigten, die sich ständig mit personenbezogenen Daten beschäftigen, ohnehin schriftlich zu bestellen ist. Die Überwachungspflicht ist in Artikel 39 DSGVO „Aufgaben des Datenschutzbeauftragten“ beschrieben.
Um wettbewerbsfähig zu bleiben, können sich Unternehmen im Bereich Datenschutz zertifizieren lassen. Hier gibt es viele Anbieter am Markt, die einen gewünschten Geltungsbereich im Unternehmen durch Auditoren prüfen lassen. Der erfolgreich geprüfte Geltungsbereich kann dann aufgrund eines Prüfberichts des Auditors von einer Zertifizierungsstellle zertifiziert und ein Siegel erteilt werden. Dieses Siegel hat meist eine Gültigkeit von 1-3 Jahren und muss unterjährlich mittels eines Überwachungsaudits oder eines Wiederholungsaudits erneut geprüft werden. Dies hat den Zweck, mögliche Abweichungen vom Geltungsbereich aufzuzeigen. Um eine Neutralität zu gewährleisten, sollte der Auditor nicht direkt beim Zertifizierer in einem Abhängigkeitsverhältnis stehen. Soweit so gut.
Für den Kunden macht eine Datenschutzzertifizierung am meisten Sinn, wenn er anhand des Zertifikats und weiteren Informationen erkennen kann, was im Detail auditiert wurde und wie das Ergebnis lautet. Am Markt gibt es viele Anbieter von Datenschutzzertifizierungen. Zu empfehlen sind hierbei diejenigen, bei denen der Kunde klar den Geltungsbereich und das Ergebnis erkennen kann. Ein Beispiel ist hier die DSZ – die Datenschutz Zertifizierungsgesellschaft mbH (http://www.dsz-audit.de). Bei dieser Zertifizierungsgesellschaft stehen die Datenschutzauditoren nicht in einem Abhängigkeitsverhältnis. Der Kunde kann sich seinen zertifizierten Auditor selbst auswählen, der auch die Vor-Ort-Prüfungen durchführt. Auch der Datenschutz-Standard, nach dem geprüft wird, ist öffentlich zugänglich. Nach einer erfolgreichen Zertifizierung bei der DSZ, aufgrund des Prüfberichts eines unabhängigen Datenschutzauditoren, kann anhand des erteilten Siegels nicht nur der exakte Geltungsbereich in Erfahrung gebracht werden, sondern zugleich auch das Ergebnis, der öffentliche Prüfbericht.
Ein weiteres Beispiel wird die ISO 27701 Zertifizierung sein. Die ISO 27701 heißt vollständig: „Sicherheitstechniken – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Informationen zum Datenschutz – Anforderungen und Leitlinien“. Hiermit kann ein Datenschutzmanagementsystem (DSMS) aufgebaut werden. Aber Vorsicht: Die ISO 27701 (DSMS) lässt sich bei den Zertifizierungsgesellschaften nur im Verbund mit der ISO 27001 (ISMS) zertifizieren. Das ist kein Problem, bedeutet jedoch häufig mehr Aufwand.
Datenschutzauditoren im eigenen Unternehmen können für eine geplante Zertifizierung wertvolle Unterstützung geben, wenn sie in der Rolle des Implementierers das Unternehmen vorbereiten. Wichtig ist hierbei zu beachten, dass aufgrund von Interessenkonflikten kein Implementierer zugleich interner Auditor sein sollte. Dies kann jedoch in Form von Stellenbeschreibungen differenziert werden. In Stellenbeschreibungen kann definiert werden, dass der Datenschutzauditor „seine Aufgaben als Datenschutzbeauftragter“ nicht selbst auditiert.
Fragen zu diesem Thema beantwortet gerne Peter Suhling von suhling privacy consulting (https://suhling.biz), er ist zertifizierter Datenschutzbeauftragter und zertifizierter Datenschutzauditor.
Find english below:
What purpose it can serve to have a data protection auditor in the company in addition to a data protection officer.
Data protection is playing an increasingly important role for most companies. On the one hand, to ensure data protection and data security, and on the other, to remain competitive. Both should therefore be regularly audited by an expert. When it comes to data protection and data security, companies make use of a data protection officer, who must be appointed in writing anyway if there are 20 or more employees who constantly deal with personal data. The monitoring obligation is described in Article 39 DSGVO „Tasks of the data protection officer“.
To remain competitive, companies can seek certification in the area of data protection. There are many providers on the market who seek to have a desired scope of application in the company checked by auditors. The successfully tested scope can then be certified by a certification body on the basis of a test report from the auditor and a seal issued. This seal is usually valid for 1-3 years and must be checked again during the year by means of a surveillance audit or a repeat audit. The purpose of this is to identify possible deviations from the scope. In order to ensure neutrality, the auditor should not be directly dependent on the certifier. So far so good.
For the customer, data privacy certification makes the most sense when he can see from the certificate and other information what was audited in detail and what the result was. There are many providers of data privacy certification on the market. The ones that are recommended are those where the customer can clearly see the scope and the result. One example is DSZ – Datenschutz Zertifizierungsgesellschaft mbH (http://www.dsz-audit.de). With this certification company, the data protection auditors are not in a dependent relationship. The customer can select its own certified auditor, who also performs the on-site audits. The data protection standard that is audited is also publicly available. After successful certification at the DSZ, based on the audit report of an independent data protection auditor, not only the exact scope of application can be found out on the basis of the seal issued, but also the result, the public audit report, at the same time.
Another example will be the ISO 27701 certification. ISO 27701 is called in full: „Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for the management of information on data protection – Requirements and guidelines“. This can be used to build a data protection management system (DSMS). But beware: ISO 27701 (DSMS) can only be sought certification from certification bodies in conjunction with ISO 27001 (ISMS). This is not a problem, but often means more effort.
Data protection auditors in one’s own company can provide valuable support for a planned certification if they prepare the company in the role of implementer. It is important to note here that, due to conflicts of interest, no implementer should also be an internal auditor. However, this can be differentiated in the form of job descriptions. In job descriptions, it can be defined that the data protection auditor does not audit „his duties as data protection officer“ himself.
Peter Suhling of suhling privacy consulting (https://suhling.biz) will be happy to answer any questions on this topic; he is a certified data protection officer and certified data protection auditor.