Audit als externer DSB

Hallo,

als extern bestellter DSB habe ich bei einem meiner Schützlinge einige Audits durchgeführt. Nun möchte ich diese auch ordentlich im verinice hinterlegen. Fragt mich doch das Tool welchen Audit-Typ ich denn anlegen möchte. 1st Party, 2nd Party oder 3rd Party. Kommt leider aus der ISO Welt und passt so gar nicht zur DSGVO, meine ich.
1st Party ist immer der Originaldatenerfasser, also die von mir betrachtete Insititution. Ich bin Externer, aber von der Organisation direkt bestellt.
2nd Party sind unmittelbare Dritte (also eigentlich ich). Aber hier lautet die Definition für Lieferantenbewertungen. Zwar muss mir mein Schützling die DSGVO konforme Durchführung der Prozesse liefern, aber ich bekomme ja von denen Geld, daher bin ich ja der Lieferant.
3rd Party ist eine unabhängige Institution, welche hier von außen drauf schaut. Na ja, als DSB bin per Definition unabhängig, extern bin ich auch, also auch nicht wirklich von der Hand zu weisen.

Tja nun, was für einen Audit-Typ habe ich denn jetzt durchgeführt?

Ciao
Pitti

Hallo Pitti,

als Audit wird ein Untersuchungsverfahren bezeichnet, welches dazu dient, Produkte, Prozesse oder Managementsysteme in geplanten Abständen hinsichtlich der Erfüllung von definierten bzw. geforderten Standards, Richtlinien, Normanforderungen oder gesetzliche Vorgaben zu bewerten.
Dieses „Werkzeug“ ist in den unterschiedlichsten Unternehmensbereichen einsetzbar, so auch im Datenschutz.
Im Rahmen eines Datenschutzaudits kann überprüft werden, inwieweit die datenschutzrechtlichen Anforderungen umgesetzt sind und ob es notwendig ist, weitere Prozesse und Abläufe zur Verarbeitung personenbezogener Daten zu implementieren.
Da die DSGVO grundsätzlich die Einführung eines Datenschutzmanagementsystems fordert, ist es sinnvoll das Datenschutzaudit entsprechend der etablierten ISO-Regelwerke, die für Managementsysteme verwendet werden, auszurichten.
Daher spricht meiner Ansicht nach auch nichts dagegen, die in verinice zur Auswahl angebotenen Auditkategorien analog anzuwenden.
Sie können als externer Datenschutzbeauftragter für Ihre Schützlinge unterschiedliche Audittypen, jeweils abhängig von Zielsetzung und Auditgegenstand, durchführen.

Ich stimme Ihnen zu, dass die als „1st Party Audits“ bezeichneten Verfahren in der Regel von einem internen Auditor, d.h. einem Unternehmensangehörigen durchgeführt werden.
Diese Auditkategorie ist dadurch gekennzeichnet, dass in diesem Verfahren lediglich eine Partei involviert ist – das Unternehmen selbst. Wenn Sie nun als externer DSB ein internes Audit für Ihren Kunden durchführen, verbleiben aber die Auditergebnisse und daraus resultierende Bewertungen innerhalb des auditierten Unternehmens.
Sie als externer DSB handeln im Auftrags des Unternehmens und sind als Unternehmensangehöriger zu betrachten, so dass im Ergebnis lediglich eine Organisation als Partei am Auditgeschehen beteiligt ist.
Es spielt daher keine Rolle, ob im Rahmen eines internen Datenschutzaudits ein interner oder ein externen DSB als Auditor fungiert.

Gleichermaßen können Sie als externer DSB für Ihren Kunden „ 2nd Party Audits“ durchführen z.B. immer dann , wenn Audits gemäß Art 28 DS-GVO erfolgen sollen.
In diesen Fällen auditieren Sie im Namen der Organisation, für die Sie als als externer DSB bestellt sind, einen Auftragsverarbeiter. Die Auditergebnisse werden grundsätzlich nicht veröffentlicht und bleiben im Innenverhältnis zwischen dem Auftraggeber des Audits und dem Auditierten vertraulich.
An diesem Verfahren sind 2 Parteien beteiligt.
Sie als externer DSB stellen m.A.n. keinen „Dritten“ oder selbst einen „Lieferanten“ dar, der einer „2nd Party-Einstufung“ entgegenstehen würde. Vielmehr sind Sie auch in solchen Sachverhalten als Unternehmensangehöriger zu werten, so dass zwei Parteien am Auditgeschehen beteiligt sind.
Lautet die Zielsetzung die Durchführung von Audits nach Art 28 DS-GVO, dann sollten Sie in verinice als Audittyp „2nd Party Audits“ auswählen.

Wenn Sie als externer DSB ein Datenschutzaudit bei einer Organisation im Rahmen eines Zertifizierungsverfahrens durchführen würden, könnte dies ein „3rd PartyAudit „ darstellen.
Ein 3rd PartyAudit, auch Zertifizierungsaudit genannt, ist üblicherweise immer dann relevant, wenn sich ein Unternehmen oder eine Organisation zu einer Zertifizierung nach einer bestimmten Norm entschließt. Hier könnten Sie dann als Auditor im Auftrag einer Zertifizierungsstelle tätig werden und verinice für Ihre Audittätigkeiten einsetzen. Da hier neben dem Auditor auch noch eine Zertifizierungsstelle beteiligt ist, spricht man von 3rd Party Audits.

Sie als verinice Nutzer entscheiden somit Kontextabhängig je nach Zielsetzung welcher Audittyp im Rahmen Ihrer Tätigkeit als externer DSB in Frage kommt.

Beste Grüße
Sirin Torun

3 Likes