Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 12 von 12

Thema: Audit

  1. #11

    Standard

    Gut - die vorgenannten Argumente sind nicht unerheblich! Zur Erläuterung müsste ich nun das komplette Konzept hier hochladen, was ich natürlich zunächst nicht möchte.

    Ein paar Dinge sind aber evtl. untergegangen bzw. missverständlich:

    1. Nach dem Konzept für das standardisierte Audit gehört die Prüfung ganz bewusst nicht in die Hände der Aufsichtsbehörden!

    2. "Das Datenschutzaudit gebe ich nicht auf!"
    Das DatenschutzauditGESETZ gem. Vorlage schon! Die Begründung ist schlüssig verfasst.
    Für die ISO27001 gibt es ja auch keine unmittelbare gesetzliche Grundlage...

    3. Argumentation, daß vor dem Audit die Zertifizierung durch den Antragsteller vorangetrieben wird greift konzeptionell nicht.
    Das würde bei meinem Vorschlag mindestens tendenziell erkennbar sein.

    4. Einhaltung gesetzlicher Vorgaben kann man nicht zertifizieren.
    Völlig richtig! Dazu muß man §9a genau lesen und interpretieren (Im Konzept erschöpfend erledigt)
    Dies soll und kann auch nicht Gegenstand des Zertifizierungsaudits sein.

    Im April erschien ein Buch zum internationalen Datenverkehr. Ich will dafür jetzt keine Werbung machen, aber in meinem Kapitel bin ich auf die Idee eingegangen, daß wir in Deutschland (auch) mit dem Audit einen Standard für sicheres Verarbeiten von pD schaffen könnten. Nicht als Hemmnis, sondern als Chance in einer globalen Informationsgesellschaft. Ich habe das mal mit der Zeit verglichen, als die schweizer Banken noch einen international anerkannten Ruf (Nummernkonten) hatten. Genau wie den Begriff "Made in Germany" habe ich daher einfach mal den Begriff "Safe in Germany" verwendet...

  2. #12
    Registriert seit
    08.02.2011
    Ort
    Lübeck
    Beiträge
    903

    Standard

    Die Prüfung des IST-Standes und des SOLL-Standes sehe ich eigentlich bei der Arbeit eines DSB als eine Grundvoraussetzung, damit dieser später optimal arbeiten kann und auch alle Informationen hat, die dieser benötigt. Auch hierfür gehe ich mit einem klaren Konzept vor, welches ich allerdings immer auf die jeweilige Betriebsstätte anpasse, da selbst bei exakt der gleichen Tätigkeit immer Unterschiede bestehen, die einfach berücksichtigt werden müssen. Wichtig ist dann auch das Aufzeigen der möglichen Wege von IST zu SOLL, dass in einer Firma nichts geändert werden musste oder zumindest eine Änderung zur Verbesserung angezeigt war, kenn ich eigentlich nicht, insbesondere dann nicht, wenn vorher kein DSB da war oder wenn der Vorgänger seine Arbeit nicht ordentlich gemacht hat. Mit dem Wissen des IST und des SOLL, sowie der Schritte dort hin, lässt sich dann in das normale Alltagsgeschäft eigentlich sehr gut einsteigen, da dann ein klarer Überblick besteht. Viele Dinge des IST-Standes lassen sich recht einfach durch Antworten auf Fragen und Unterlagen klären. Insbesondere im Bereich der IT habe ich aber festgestellt, dass zwischen den Antworten und der Realität häufig massive Abweichungen bestehen, so dass ich dies bei der IST-Aufnahme sowieso immer genau unter die Lupe nehme. Allerdings kann ich als eDSB die verantworliche Stelle nicht zwingen irgend etwas zu machen, das finde ich vom Prinzip her auch gut so, da sonst auch eine Pflicht daraus resultieren würde. Den Zwang überlasse ich den Aufsichtsbehörden.

    Was macht nun ein Audit? Es prüft den IST-Stand und prüft anhand einer Checkliste, ob hier nun alles so ist, wie der gesetzliche SOLL-Stand es vorsieht und vergibt dann sein Audit-Sigel oder eben auch nicht. Würde es privat gelöst werden, so würde der Auditor, der schnell Sigel vergibt sicher viel zu tun haben und der Auditor, der seinen Job ernst nimmt, würde bald eine leere Kasse vor sich haben.
    Geändert von MediaJumper (27.05.2011 um 13:52 Uhr)
    Sicher ist nur eines, dass nichts sicher ist.

Seite 2 von 2 ErsteErste 12

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •