Bewertung Audit
Bewertungsschema
„Leider mussten wir in diesem Audit eine Abweichung feststellen“
Bewertung der Datenschutzprozesse nach DSGVO
Die Datenschutzbewertungstabellen vermittelt einen schnellen Überblick über den Stand des Datenschutzes im Unternehmen. Um schlussendlich den Stand der Dinge im Auditbericht zu visualisieren, verwenden wir mehrere Systeme:
Via Checklisten werden das Vorhandensein der erforderlichen Dokumente geprüft. Abfrageschema ist Ja/Nein.
- Bei Nicht zutreffend wird der Abfragepunkt ignoriert und auch nicht in den Bericht aufgenommen.
- Bei Nein wird im Bericht vermerkt, dass die Unterlage fehlt und erstellt werden muss plus Verweis aus DSGVO und BDSG.
- Bei Ja werden die Dokumente auf Vollständigkeit und Aktualität überprüft. Der Stand wird in Form eines Prozentwertes in den Bericht übernommen.
Die anschliessende Visualisierung erfolgt auf Basis 100 Prozent Soll, Erreichungsgrad in Prozent, Minimum 50%, 75%, 100%; Darstellung bis 50% in der Übersicht ROT, 75%-89% GELB, ab 90% GRÜN.
So ist der Erfüllungsgrad für jeden einzelnen Datenschutzprozess sichtbar und auch der benötigte Granulierungsgrad lassen sich so einfach darstellen und als Handlungsempfehlungen ansprechen.
Die Bewertungstabellen und Auswertungen werden als Anlage zum Audit an die Geschäftsleitung verwendet. Der Geschäftsleitung werden in verbindlichen Form der Stand des Datenschutzes vermittelt und eventuelle Handlungsbedarfe aufgezeigt. Sofern möglich, werden in einem Vergleich über einen längeren Zeitraum auch die Entwicklung des Datenschutzes erkennbar gemacht.
Zweckmäßig ist die Abstimmung des Erfüllungsgrades der einzelnen Kriterien mit den Prozessverantwortlichen bereits bei der Erhebung bzw. den laufenden Kontrollen der Datenschutzprozesse. Auf diese Weise werden spätere Diskussionen vermieden und die Ergebnisse der Bewertungen in der Tabelle sind belastbar. Sie können auf diese Weise sofort als Beleg- und Nachweisdokument nicht nur für die Durchführung der Erhebungen und Kontrollen, sondern auch für die Erfüllung der Datenschutzanforderungen dienen.
Die Gliederung der Bewertungstabelle folgt den eingerichteten Datenschutzprozessen und innerhalb dieser der Gliederung der zugeordneten Checklisten.
Zur Bewertung werden die Erfüllungsgrade aus den jeweiligen Checklisten in die Bewertungstabelle übernommen. Kurze Bemerkungen können in diese übernommen werden und dienen der Erläuterung der Feststellungen. Ausführlichere Anmerkungen werden später zu den Checklisten bzw. der Dokumentation genommen und dort ggf. als Anlage angehangen.
Aufbaubeispiel: Tabelle zur Bewertung der Datenschutzprozesse nach der DSGVO
Eine Spalte zur Auswahl mit den Punkten "Ja/Nein/Nicht zutreffen" ja nach Relevanz/Kriterium für das Unternehmen.
| Auswahl | Prozentwert % | Erfüllungsgrad % | Erläuterung | |
|---|---|---|---|---|
| 0 = Nicht zutreffend | 0 | 0 | Nicht zutreffend | - |
| -1 = Nein | "0" | "0" - "25" | Keine Datenschutzregelungen vorhanden oder in geringem Umfang erfüllt | |
| 1 = Ja | "100" | "26" - "100" | Wesentliche Datenschutzanforderungen erfüllt, überwiegend erfüllt, vollständig erfüllt |
Die Auswertung erfolgt in Form einer Tabelle, erzeugt dann für jeden Prozess die Summe der IstProzente und die Soll Prozente. Diese Werte werden dann visualisiert als „Erfüllungsgrad“ in die Ergebnisse übernommen und auch als grafische Auswertung in Form eines Kuchen- oder Spinnendiagramms angezeigt.
Auditbericht
Auditbericht zum Datenschutz-Audit: Firma Fey Lamellenringe GmbH & Co. KG
** -- Dieser Bericht wird normalerweise automatisch aus den aktuellen Unterlagen heraus generiert -- **
Das Datenschutz-Audit bezieht sich auf die Inhalte der DSGVO und des BDSG (neu)
Grundlage für die Durchführung des Audits ist die DIN EN ISO 19011:2012
Auftraggeber ist die
Firma _____________________________________________ Straße_____________________________________________ PLZ / Ort__________________________________________
vertreten durch die Geschäftsführer
Herr/Frau ________________________________ Herr/Frau ________________________________
als gleichberechtigte und auch allein vertretungsberechtigte Geschäftsführer.
Beide sind damit gleichzeitig, aber auch jeweils für sich allein VERANTWORTLICHE gem. DSGVO Art. 4 Abs. 7 i.V.m. DSGVO Art. 24 und Art. 26.
1. Auditziele:
Es soll festgestellt werden, in wie weit die auditierten Organisations- bzw. Funktionseinheiten des Betriebes im Bereich des Datenschutzes der DSGVO und des BDSG (neu) entsprechen – und – ob Abweichungen vorhanden sind – und – in wie weit diese durch Handlungen bzw. Maßnahmen verbessert werden können.
2. Audit Prüfungsumfang in den Abteilungen
a. GAP-Analyse Datenschutz
- Auftragsverarbeitung
- Verzeichnis von Verarbeitungstätigkeiten
- Neues Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter
- Umsetzung der Transparenzpflichten
- Datenschutzverletzungen
- Anfragen Betroffener
- Vorbereitung auf die Datenschutz-Folgenabschätzung
- Datenschutzschulungen zur Sensibilisierung des Managements und der Mitarbeiter auf die Datenschutz-Grundverordnung
b. GAP-Analyse Sicherheit der Verarbeitung
- Informationssicherheitsrichtlinien
- Organisation der Informationssicherheit
- Personalsicherheit
- Verwaltung der Werte
- Zugangssteuerung
- Kryptographie
- Physische und umgebungsbezogene Sicherheit
- Betriebssicherheit
- Kommunikationssicherheit
- Anschaffung, Entwicklung und Instandhaltung von Systemen
- Lieferantenbeziehungen
- Handhabung von Informationssicherheitsvorfällen
- Informationssicherheitsaspekte beim Business Continuity Management
- Compliance
3. Auditumfang:
Es wurden die nachfolgenden Abteilungen auditiert
a. Vertrieb/Marketing
b. IT-Koordination
c. Datenschutz (DSB)
4. Auditteam
Als Auditoren nahmen teil:
| Name und Rolle | Qualifikation |
|---|---|
| Herr D.Au - leitender Auditor | DSB / DSA (TÜV gepr.), DSG (DEKRA gepr.) |
| Herr K.Bo - Auditor | DSB / DSA (TÜV gepr.) |
| Herr D.Kü - Beobachter | DSB / DSA (TÜV gepr.) |
| Herr Hans J. Hassknecht - Fachexperte | IT-Sicherheitsbeauftragter (DEKRA gepr.) |
von Seiten der auditierten Firma nehmen teil:
| Name | Position |
|---|---|
| Frau Angelika Lahti | Datenschutzbeauftragte (IHK gepr.) |
| Herr Alexander Dellinger Betriebswirt (IHK) | Vertriebsleiter |
| Herr Franz Ivancan Dipl.-Betriebswirt (Uni Köln) | Betreuer |
Erläuterungen zu den Personen, Rollen und/oder Aufgaben
- „DSB“ Datenschutzbeauftragte/r
- „DSA“ Datenschutzauditor/in
- "DSG" Datenschutzgutachter/in
Herr Herr Dellingerer nimmt nur an dem Audit in der Abteilung Vertrieb teil. Frau Lahti und Herr Ivancan stehen während des gesamten Audits für kurzfristige Rücksprachen, Kommunikation und zur Koordination im Betrieb zur Verfügung.
5. Termin und Ort der Audittätigkeiten
Das Audit fand statt in der Zeit vom 09.11.2019, 09:00 bis 22:00 Uhr (Tag 1) und vom 10.11.2019, 08:00 bis 21:00 Uhr (Tag 2) am Ort der Firma Fey, Königsbrunn. Im Übrigen wird auf den beigefügten Zeitplan verwiesen.
6. Auditkriterien
Verfahren, Vorgehensweisen, Anforderungen, Bezugsgrundlagen
siehe auch: ISO 9000:2005 Def. 3.9.3. ...
Anschl. Vergleich mit dem Auditnachweis: complient ./. non complient
- Es wurden 32 Punkte überprüft.
- Als Prüfschema wurde eine Skala mit 5 Unterscheidungsmerkmalen zugrunde gelegt: 100% / 75% / 50% / 25% / 0%
- In 15 Punkten bestand eine Übereinstimmung von 100%.
- In 6 Punkten bestand eine Übereinstimmung von 75%.
- In 6 Punkten bestand eine Übereinstimmung von 50%.
- In 5 Punkten bestand eine Übereinstimmung von 25%.
- In keinen Punkten bestand eine Übereinstimmung von 0%.
7. Auditfeststellungen
Ergebnisse aus Aufzeichnungen, Tatsachenfeststellungen, weitere Informationen worauf die Auditkriterien zutreffen und verifizierbar sind
siehe auch: ISO 9000:2005 Def. 3.9.4. ...
Abteilung IT
| Prüfansätze | Feststellungen |
|---|---|
| Personelle Zuständigkeiten | Ein Leiter, mehrere agierende Fachkompetenzen |
| Dokumentation der Netzwerke und Client-Server-Systeme | Rudimentär, nicht geordnet, Bierdeckelsystematik |
| Trennung der fachlichen und der übergreifenden Systemverwaltung | Das Warum, weshalb ist nicht klar, keine Einsicht |
| Notfallplan und regelmäßige Proben | Zu wenige Proben pro Jahr, keine Dokumentation |
| Anzahl der Systemadministratoren | Mehrere agierende Fachkompetenzen, alle Sysadmins |
| Hardware und die Kommunikationsverbindungen | Probe auf Ernstfall nicht möglich |
| Aktivitäten der Systemverwaltung | Es fehlen div. Informationen und Lücken in der zeitlichen Dokumentation |
| Anwendungen zur Datenverarbeitung im Backup | Backups liegen direkt neben Server, Bierdeckelsystematik |
| Lokal gespeicherte Daten | User sollen wichtige Daten auf Server speichern |
| Festplatten und andere Speichermedien verschlüsselt | Clients teilweise, Server Nein, Backups Ja |
| Benutzerkonten ausscheidender Mitarbeiter | Datenlöschung erfolgt unsystematisch, nicht nach Checkliste, Anstoß seitens des Personals (HR) nicht verlässlich |
| Berechtigungen nur nach tatsächlichem Bedarf | Standard User Profil, aber User mit Admin-Rechten, ebenso GF |
| Log-Dateien | Log Management nur bei Bedarf |
| Berechtigungen | Keine Vorgaben seitens GF, wenn sich User beschwert, Rücksetzung auf vorherige Rechte oder höhere Rechte |
| Betriebssysteme und die Anwendungen | regelmäßige Updates Server 100 %, Clients auf Zuruf |
| komplexe, starke Passwörter | Nicht durchgängig, GF |
| Manipulationen am Netzwerk und unbefugte Zugriffsversuche | Nur Optisch, nicht akustisch |
| Netzwerk gegen unbefugte Zugriffe von außen | Ports werden geschützt, Virenschutz verbesserungswürdig, kein Ausschluss von Exe und Zip Dateien |
| Datenschutz- und Sicherheitsfunktionen der Server- und Client-Betriebssysteme | Verbesserungsbedarf in der Systematik |
| Server- und Client-Applikationen Schutzfunktionalität | Nicht durchgängig, GF |
Daraus ergibt sich ein expliziter Nachholbedarf in den beschriebenen Punkten.
8. Auditschlussfolgerung/en
Das Unternehmen entspricht nur zu 50Prozent den Forderungen der DSGVO und ggf. des BDSG (neu). Es wird empfohlen, in den aufgezeigten Mängeln für Abhilfe zu sorgen.
HINWEIS:
Für das auditierte Unternehmen besteht zum Zeitpunkt der Erstellung dieses Berichts KEINE explizite, gesetzliche Verpflichtung für Abhilfe oder Besserung zu sorgen.
Da aber bei Datenschutzverstößen, die entweder durch die Aufsichtsbehörden festgestellt oder dorthin gemeldet wurden oder aber durch das Unternehmen selbst festgestellt und NICHT zur Aufsichtsbehörde gemeldet werden – kommt es IMMER zu einem Bußgeldverfahren. Die schnelle Beseitigung der Mängel wird angeraten.
9. Erfüllung der Auditkriterien gem. Auditfeststellungen
Abschlussbewertung
In der Abteilung Datenschutz (DSB) / IT-Koordination besteht ein Nachholbedarf in den unter Auditfeststellungen beschriebenen Punkten.
Es wird angeraten, die festgestellten Mängel schnellstmöglich zu beseitigen
- Nachfolgend unsere Vorschläge:
| Feststellungen | Angeratene Abhilfe |
|---|---|
| Ein Leiter, mehrere agierende Fachkompetenzen | Kompetenzen klar regeln |
| Rudimentär, nicht geordnet, Bierdeckelsystematik | Systematik und Zeitplan einführen und strikt einhalten |
| Das Warum, weshalb ist nicht klar, keine Einsicht | Klare Trennung erforderlich und beschreiben |
| Zu wenige Proben pro Jahr | Regelmäßige Proben durchführen |
| Mehrere agierende Fachkompetenzen alle Sysadmin | Hierarchie einführen, Verantwortlichkeiten klar regeln, Arbeitsplatzbeschreibungen ergänzen |
| Probe auf Ernstfall nicht möglich | Kann einfach technisch vorbereitet werden - simulierter Stromausfall |
| Es fehlen div. Informationen und Lücken in der zeitlichen Dokumentation | System zur Dokumentation einführen, Kalender, Warn- und Signalhinweise anzeigen lassen |
| Backups liegen direkt neben Server, Bierdeckelsystematik | Backups in einem Kellerraum, Archiv, Tresor brandgeschützt lagern – oder extern. |
| User sollen wichtige Daten auf Server speichern Clients Teilweise, Server Nein, Backups Ja | Zentrale Backups der Clients vom Server aus ziehen – es gibt Software dafür |
| Datenlöschung erfolgt unsystematisch, nicht nach Checkliste, Anstoß seitens des Personals nicht verlässlich | Löschplan einführen, Verantwortlichkeiten festlegen, GF müssen überprüfen |
| Standard User Profil, aber User mit Admin-Rechten, ebenso GF | Neue Zugriffs-Hierarchie einführen und gegeneinander abschotten |
| Log Management, nur bei Bedarf | Log-Dateien in die Backups mit einbeziehen, regelmäßig sichern und extern lagern |
| Keine Vorgaben seitens GF, wenn sich User beschwert Rücksetzung auf vorherige Rechte | Rücksetzung nur bei Bedarf, zeitlich begrenzt und dokumentiert |
| Udates Server 100 %, Clients auf Zuruf | Update-Abonnements einführen. Ist in einigen Branchen bereits Pflicht und wird überprüft. |
| Nicht durchgängig, GF | Passwortvergabe durch einen Passwort-Manager automatisch und regelmäßig veranlassen. |
| Netzüberwachung nur Optisch, nicht akustisch | Trennung von internem Netzwerk und Zugriffsmöglichkeiten von und nach außen. Internet, E-Mail usw. nur über getrennte Systeme. Alle Zugriffe dokumentieren, Akustische Warnung aktivieren |
| Ports werden geschützt, Virenschutz verbesserungswürdig, kein Ausschluss von Exe und Zip Dateien | Virensoftware u.ä. regelmäßig updaten, Alle ausführbaren Muss-Dateien in Whitelist eintragen. Browser: Aufruf und Start von Dateien nur in Sandbox erlauben und IT MUSS installieren, nicht der User |
| Verbesserungsbedarf in der Systematik | Evtl. Schutzsystem installieren, das alle Bereiche abdeckt. |
| Server- und Client-Applikationen Schutzfunktionalität ist nicht durchgängig, GF | Evtl. Schutzsystem installieren, das alle Bereiche abdeckt. |
10. Abschluss des Berichts
Dieser Auditbericht wurde dem Auftraggeber am 26.09.2019 um 19:00 Uhr den Geschäftsführern Frau Fey und Herrn Holzheu, in Anwesenheit des Auditteams eröffnet, vorgelesen und diskutiert. Dieser Auditbericht wird in ausgedruckter Form zu den Unterlagen genommen und vom Auditteam unterschrieben. Es wurde beschlossen, dass das Auditteam zukünftig die Abeilungen unterstützt und Frau Lahti hilft die erforderlichen Dokumentation kurzfristig herzustellen. Desweiteren wird ein Schulungskonzept für den Datenschutz aufgestellt, so dass Frau Lahti oder einer der GF diesen Schulung durchführen kann. Die IT Organisation wird entsprechend geschult und die organisatorischen Mängel werden beseitigt.
Königsbrunn, den 26.09.2019
Dieter Audieter
Audit-Teamleiter