Nächste Woche bin ich wieder unterwegs zu einem Datenschutzaudit nach Stralsund. An dieser Stelle möchte ich einmal darstellen, warum solche Audits Sinn machen und wie Datenschutzaudits abblaufen (können).
In diesem Fall bin ich, wie seit Jahren, für einen international tätigen Callcenter Betreiber tätig. Viele Unternehmen setzen auf Callcenter, da ihnen an ihrem Standort regelmäßig gar nicht das Personal für diese Tätigkeiten zur Verfügung steht. Meist setzt man auch gerne auf die Professionalität, die ein Callcenter Betreiber im Bereich der Inbound und Outbound Telefonie oder im Backofficebereich gewährleisten kann.
Auch Callcenter Betreiber können in der Regel nicht alles Personal an einem Standort alleine zur Verfügung stellen. Dies ist meines Erachtens der Grund, dass die großen Call Center regional stark gestreut, mehrere Standorte unterhalten. Aus verschiedenen Gründen gerne auch in regional schwächer aufgestellten Regionen oder im Ausland. Nicht selten ist es so, dass dann einzelne Kundenprojekte über mehrere Callcenter abgewickelt werden. Für den Geschäftskunden ist das in Hinblick auf Ausfallsicherheit und Business Continuity auch durchaus von Vorteil oder gar gewollt.
Als interner Datenschutzbeauftragter eines größeren Callcenters ist man dann sehr schnell nicht mehr in der Lage die erforderlichen Datenschutzkontrollen / Datenschutzaudits der einzelnen Standorte selber durchzuführen, da dies wie bereits angedeutet, mit erheblichen Reiseaufwand verbunden ist. Da bietet es sich an, einen externen Datenschutzauditor einzuschalten. Wenn man dabei auf einen Rechtsanwalt zurückgreift, kann man neben technischen und organisatorischen Fagen auch den rechtlichen Bereich optimal mit abdecken. Da es sich um interne Audits handelt braucht hier der Beratungs- und Prozessverbesserungsaspekt auch nicht zu kurz kommen.
Zunächst mal wird im Vorfeld eine Jahresauditplanung erstellt. Dann erfolgt die terminliche Abstimmung mit den jeweilichen Standorten. Intern wird dann mit dem oder der Datenschutzbeauftragten ein Prüfkatalog erstellt. Der Prüfkatalog ist im Vorfeld von den jeweiligem Standort zu beantworten. Basierend auf den Antworten werden dann bestimmte Prüfungsfragen zur Vertiefung und Einzelprojekte zur Kontrolle vor Ort definiert. Bei dem Kontrolltermin selbst werden dann die Fragenkataloge und die Vertriefungsfragen besprochen. Der Standort wird besichtigt, wobei bestimmte Einzelfragen begutachtet werden ( z.B. Serverräume, Entsorgungstonnen usw. ). Anschließend schaut man sich dann am Standort noch einmal verschiedene Einzelprojekte an, wobei der Umfang vom Auftraggeber bestimmt wird. In der Regel sehe ich mir zwei Projekte an.
Da Ergebnis der Datenschutzkontrolle wird in einem Bericht erfasst, welcher zu jedem Einzelprojekt auch bestimmte Feststellungen enthält. Der Bericht ist einerseits deskriptiv zur Information der oder des Datenschutzbeautragten, enthält aber auch Empfehlungen und einen Maßnamenkatalog. Der Maßnahmenkatalog enthält überwiegend Aktionspunkte für den Standort. Er wird vorab mit dem oder der Datenschutzbauftragten abgestimmt um sicherzustellen, dass die Maßnahmen hinterher auch erfüllbar sind. Die Feststellungen zu den Einzelprojekten dienen (auch) dazu , gegenüber Auftraggeber interne Kontrollen nachweisen zu können, wozu sich Callcenter regelmäßig auch vertraglich verpflichten.
Grundsätzlich haben Auditbericht viele Vorteile, sie können die Ergebnisse aus Auditberichten strategisch verwenden, um
Interne Datenschutzaudits können also vielmehr als nur die Frage zu beantworten, ob eine gesetzliche oder DIN-Norm erfüllt ist oder nicht.
Wenn Sie wollen können Sie meine Reisetätigkeit auch gerne über meinen privaten Instagramkanal mitverfolgen: https://www.instagram.com/ramichaelbock/
