GDPR-Konformitätscheckliste – Audit-Anforderungen erläutert. Die Allgemeine Datenschutzverordnung (DSGVO) zielt darauf ab, die Privatsphäre der EU-Bürger zu schützen. Daher müssen alle Unternehmen, die den europäischen Markt bedienen, die Anforderungen der DSGVO erfüllen. Primär handelt es sich um einen rechtlichen Rahmen, der geschaffen wurde, um EU-Bürger zu schützen und ihnen die Kontrolle über ihre Online-Daten zu geben.
Daher verhindern die DSGVO-Regeln, dass Organisationen Benutzerinformationen ohne Einwilligung erlangen. Sie müssen die Erlaubnis des Benutzers einholen, um ihre Daten zu sammeln und zu nutzen. Vor allem zielt die DSGVO darauf ab, einen vollständigen Datenschutz zu gewährleisten und es Bürgern zu ermöglichen, zu wählen, wer ihre Daten sammeln, analysieren und nutzen kann.
Dieser Artikel behandelt die DSGVO-Konformitätsanforderungen, die Organisationen erfüllen müssen, um eine Zertifizierung zu erlangen.
Wollen wir mit der Erläuterung der GDPR-Konformitätscheckliste – Audit-Anforderungen beginnen?
Auch lesen SOX-Konformitätscheckliste – Erläuterung der Audit-Anforderungen (Beste Praxis)
Wer unterliegt der DSGVO?
Zunächst einmal soll die DSGVO die Bürgerinnen und Bürger innerhalb der Europäischen Union (EU) und des Vereinigten Königreichs schützen. Daher müssen alle in diesen Regionen tätigen Organisationen die Anforderungen einhalten. Darüber hinaus unterliegen auch Unternehmen außerhalb der EU und des UK der DSGVO-Compliance, wenn sie Daten aus diesen Regionen verarbeiten. Ein US-amerikanisches Unternehmen, das Daten aus der EU und dem UK verarbeitet, müsste beispielsweise DSGVO-konform sein.
Es ist am besten zu beachten, dass einige DSGVO-Anforderungen möglicherweise nicht anwendbar sind, wenn die Datenverarbeitung nicht ein zentraler Bestandteil Ihres Geschäfts ist. Grundsätzlich müssen Sie keinen Datenschutzbeauftragten (DPO) ernennen, wenn Sie keine Datenverarbeitung durchführen.
10 DSGVO-Compliance-Anforderungen
Nun, mit dem DSGVO-Compliance-Checkliste – Prüfanforderungen sollten Sie wissen, dass die DSGVO zehn Anforderungen hat, die Organisationen erfüllen müssen, um konform zu werden. Das sind:
1. Gerechte, transparente und rechtmäßige Datenverarbeitung
Zuallererst verlangt die DSGVO von Organisationen, rechtmäßige Gründe für die Verarbeitung von Benutzerdaten zu dokumentieren. Zunächst sollten Sie Einzelpersonen über die Erhebung personenbezogener Daten informieren. Dann geben Sie gültige Gründe an, warum Ihre Organisation personenbezogene Daten erhebt und verarbeitet. Schließlich muss alle Datenverarbeitung auf einem legitimen Zweck basieren.
Alles in allem sollte Ihre Organisation den spezifischen Zeitraum für die Datenspeicherung angeben. Außerdem sollten Sie sie benachrichtigen, wenn es Änderungen an Ihren Daten-Erhebungs- oder Verarbeitungsprozessen gibt.
2. Überprüfung der Datenschutzrichtlinien
Um der DSGVO zu entsprechen, müssen Sie eine Datenschutzrichtlinie umsetzen. Wenn Sie bereits eine Datenschutzrichtlinie haben, sollten Sie diese regelmäßig überprüfen und auf dem neuesten Stand halten. Als Ergebnis sollte Ihre Datenschutzrichtlinie Datenschutz durch Design bieten. Alle implementierten technischen und organisatorischen Maßnahmen müssen Datenschutzmaßnahmen integrieren.
Wie bereits erwähnt, sollten Sie auch regelmäßige Audits gemäß der DSGVO-Richtlinien durchführen. Das Hauptziel besteht darin, zu überprüfen, ob die Datensammlung, -speicherung und -verarbeitung sicher ist. Stellen Sie außerdem sicher, dass Ihre Systeme die Datenkategorien verarbeiten, die Sie für spezifische Zwecke benötigen.
3. Durchführen einer Datenschutz-Folgenabschätzung (DSFA)
Die nächste Anforderung der DSGVO-Compliance-Checkliste – Audit-Anforderungen gilt für Organisationen, die äußerst sensible Daten verarbeiten müssen eine Datenschutz-Folgenabschätzung (DSFA). Die DSFA untersucht die möglichen Auswirkungen der Datenverarbeitungsaktivitäten Ihrer Organisation auf die Benutzer.
A DPIA is a cybersecurity risk assessment process, that helps your organization identify and minimize data protection risks. It is mandatory when you introduce changes in the data processing process. The DPIA also ensures you do not violate the users’ data protection rights.
4. Implementierung angemessener Datensicherheitsmaßnahmen
Zugleich erfordert die DSGVO von Organisationen die Implementierung angemessener Datenschutzmaßnahmen. Sie müssen geeignete Cyber-Sicherheitswerkzeuge und -maßnahmen implementieren, um zu verhindern, dass unbefugte Benutzer auf Daten zugreifen. Idealerweise sollten Sie Netzwerk- und Datensicherheitswerkzeuge, Zugangskontrollen und Tools zur Verwaltung von Insider-Risiken implementieren.
Datensicherheitswerkzeuge umfassen Datensicherungen, Antivirensoftware, Data Loss Prevention (DLP) Systeme, und Datenverschlüsselung und Tokenisierung. Darüber hinaus können Sie Ihr Firmennetzwerk mit VPN, Firewalls und geschichteter Netzwerksicherheit absichern. Ein wesentlicher Schritt ist die Implementierung von Echtzeit-Netzwerküberwachung, um etwaige abnormale Aktivitäten innerhalb Ihres Netzwerks zu erkennen.
Zugriffskontrollen stellen sicher, dass nur autorisierte Benutzer auf Daten zugreifen. Je nach Art Ihrer Organisation können Sie den Zugriff mit minimalen Berechtigungen, Multifaktor-Authentifizierung und Identitäts- und Zugriffsverwaltung umsetzen. Um Insider-Bedrohungen zu minimieren, können Sie die Überwachung von Mitarbeitern und die Analyse des Benutzerverhaltens implementieren.
5. Implementierung der Datenschutzrechte der Benutzer
Gleichzeitig gewährt die DSGVO den Benutzern verschiedene Datenschutzrechte, um sicherzustellen, dass sie die Kontrolle über ihre Daten haben. Im Wesentlichen gibt es acht Rechte, die Ihre Organisation den Datenbenutzern gewähren sollte. Dazu gehören:
Recht auf Information
Informieren Sie Personen über die Art der von Ihnen erhobenen Daten und deren Verwendung. Sie sollten sie auch darüber informieren, wie Sie die Daten benötigen und ob sie mit Dritten geteilt werden.
Recht auf Zugang
Offensichtlich verlangt die DSGVO, dass Organisationen den Benutzern Zugang zu Daten gewähren. Jeder einzelne kann zweifellos einen DSAR (Datensubjektzugriffsantrag) stellen, was die Organisationen verpflichtet, Kopien der Daten an betroffene Personen bereitzustellen. Sie sollten diese Daten innerhalb eines Monats nach dem Antrag bereitstellen, es sei denn, es liegen Ausnahmen vor.
Recht auf Berichtigung
Die Organisation sollte Benutzerdaten berichtigen, wenn sie ungenau oder unvollständig sind. Der Benutzer kann die Organisationen auffordern, Änderungen vorzunehmen.
Recht auf Löschung
A data subject can request the organization to erase data, if it’s no longer necessary or unlawfully processed. Being that, the organization grants this right, provided it’s based on factual grounds.
Recht auf Widerspruch
Benutzer haben das Recht, der Datensammlung und -verarbeitung zu widersprechen, unabhängig davon, ob es sich um einen legitimen Zweck handelt. Dies gilt, es sei denn, die Organisation legt einen gültigen Grund vor, der die Rechte und Freiheiten des Benutzers außer Kraft setzt.
Recht auf Datenübertragbarkeit
Falls Einzelpersonen personenbezogene Daten aufgrund ihrer Einwilligung an Datenverantwortliche übermitteln, haben sie das Recht, ihre Daten zu erhalten und wiederzuverwenden.
Recht auf Einschränkung der Verarbeitung
Im Allgemeinen hat die Einzelperson das Recht, die Verarbeitung einzuschränken, wenn sie das Projekt nicht mehr nutzen. Dies ist anwendbar, wenn die Organisation die Daten für einen Rechtsanspruch verwenden muss.
Entscheidungsrechte
Die DSGVO enthält strenge Regeln für Fälle, in denen Daten automatisch zur Entscheidungsfindung ohne menschliche Beteiligung verarbeitet werden. Individuen haben das Recht, die Verarbeitung in Frage zu stellen und eine Überprüfung der Verarbeitung zu verlangen, wenn sie der Ansicht sind, dass die Organisation die Regeln nicht einhält.
6. Dokumentieren Sie Ihre DSGVO-Konformität
Die ordnungsgemäße Dokumentation ist für die DSGVO Konformität von entscheidender Bedeutung. Zeigen Sie den Behörden, dass alle Daten innerhalb der Regeln legal verarbeitet werden. Sie können eine DSGVO-Tagebuchkarte führen, die zeigt, dass der Datenflussprozess Ihrer Organisation entspricht den festgelegten Regeln.
7. Benennen Sie einen Datenschutzbeauftragten
A data protection officer (DPO) is a person or entity contracted to oversee compliance and stay in touch with any data breach risks. The DPO can be an in house employee or an outsourced third party who understands GDPR data protection requirements.
A data protection officer is mandatory if the organization is a public body or an authority. Also, organizations that perform large scale data processing or that handle special data should have a data protection officer.
Die Rollen des DPO umfassen:
- Überwachen von Verfahren zur Datenverarbeitung.
- Als Vermittler zwischen der Organisation und den DSGVO-Aufsichtsbehörden fungieren.
- Die Organisation in Bezug auf die besten DSGVO-Konformitätspraktiken beraten.
- Bereitstellung genauerer Datenschutz-Auswirkungsabschätzungen.
Aufgrund der Art der Aufgabe sollte der Datenschutzbeauftragte (DPO) die DSGVO-Gesetze und besten Praktiken richtig verstehen.
8. Berichterstattung über Datenverletzungen
Darüber hinaus verlangt die DSGVO, dass Datenverletzungen sofort gemeldet werden. Sowohl Auftragsverarbeiter als auch Verantwortliche müssen Datenverletzungen innerhalb von 72 Stunden nach dem Feststellen melden. Dies ist jedoch nicht zwingend erforderlich, wenn der Vorfall die Rechte und Freiheiten der Nutzer nicht beeinträchtigt. Datenverarbeiter sollten den Datenverantwortlichen benachrichtigen, der wiederum die Aufsichtsbehörde für den Datenschutz (DPA) informieren muss.
Von nun an sollten Sie der DPA eine Beschreibung der Art der Datenverletzung zur Verfügung stellen. Sie sollten auch Angaben zur Anzahl der betroffenen Datensubjekte und möglichen Folgen machen. Im Dokument sollten alle Maßnahmen zur Begrenzung der Auswirkungen der Datenverletzung dargestellt werden.
9. Mitarbeiterfortbildung
Die DSGVO verlangt von Organisationen, Mitarbeiter im Hinblick auf die Anforderungen und Datenschutzverfahren zu schulen, um die Risiken von Datenverstößen zu minimieren. Schulen Sie alle Mitarbeiter in Bezug auf den Datenschutz persönlicher Daten, potenzielle Cybersicherheitsgefahren und die Konsequenzen bei Nichteinhaltung. Im Schulungsprogramm betonen Sie das Bewusstsein für die Datenverarbeitung. Darüber hinaus sollten die Schulungsmaterialien regelmäßig mit relevanten Beispielen für Cybersicherheitsverstöße aktualisiert werden.
10. Drittrisiken regelmäßig bewerten
Ebenso wichtig erwartet die DSGVO von Organisationen, die Sicherheitsrisiken zu bewerten, die von Drittanbietern ausgehen. Die Organisation sollte Mechanismen zur Behebung implementieren, um Datenverstöße aufgrund der Zusammenarbeit mit Dritten zu verhindern.
Im Anschluss an die DSGVO-Compliance-Checkliste – Audit-Anforderungen erklärt, werden wir die Grundsätze der DSGVO erläutern.
Verbessern Sie Ihre Active-Directory-Compliance und Sicherheit & Azure AD
Testen Sie uns kostenlos, Zugang zu allen Funktionen. – Über 200 AD-Berichtsvorlagen verfügbar. Passen Sie Ihre eigenen AD-Berichte einfach an.
Grundsätze der DSGVO
Die DSGVO hat verschiedeneGrundsätze, die ihre vielen Anforderungen zusammenfassen. Ein Beispiel dafür ist, dass sie Grundsätze für die Handhabung, Speicherung und Verarbeitung personenbezogener Informationen definiert. Es gibt sieben wichtige Grundsätze der DSGVO:
Rechtmäßigkeit, Fairness und Transparenz
Die Verarbeitung personenbezogener Daten sollte grundsätzlich fair und rechtmäßig erfolgen. Darüber hinaus sollte es den Eigentümern transparent sein, wie ihre personenbezogenen Daten erfasst, genutzt und verarbeitet werden. Dieser Grundsatz verlangt auch, dass Informationen zu personenbezogenen Daten zugänglich und in klar verständlicher Sprache dargestellt werden. Weiterhin sollte die Organisation, die die Einwilligung erteilt, auch eine rechtliche Verpflichtung erfüllen. Sie sollten keine Informationen über die Daten, die Sieerfassen, zurückhalten.
Zweckbindung
Der zweite DSGVO-Grundsatz setzt Grenzen für die Datennutzungsaktivitäten. Das heißt, Sie verarbeiten Daten nur für festgelegte Zwecke, die über eine Datenschutzerklärung kommuniziert werden. Verarbeiten Sie Daten nicht für andere Zwecke als die festgelegten und müssen mit den betroffenen Personen um Einwilligung bitten.
Datenminimierung
Sammlen Sie nur die geringstmögliche Datenmenge, die für Ihre Zwecke benötigt wird. Beispielsweise sollten Sie, wenn Sie Kontaktinformationen wie E-Mail-Adressen von Benutzern benötigen, nicht unnötige Informationen wie physische Standorte, Telefonnummern usw. anfordern, da sie nicht mit dem spezifischen Zweck verbunden sind.
Genauigkeit
Überprüfen Sie immer die Genauigkeit der erhobenen und gespeicherten Daten. Idealerweise sollten Sie einen Prüf-prozess haben, um zu überprüfen, ob die Daten korrekt und vollständig sind.
Speicherbegrenzung
Geben Sie an und rechtfertigen Sie die Menge, die Sie zur Speicherung von Benutzerdaten beabsichtigen. Dies stellt sicher, dass Sie die Daten nicht länger als notwendig aufbewahren. Sobald die Organisation ihre Bedürfnisse erfüllt hat, sollte sie die Daten sofort löschen. Falls die Organisation die Daten länger als notwendig aufbewahren muss, muss sie eine Aufbewahrungsfrist festlegen und diese rechtfertigen.
Integrität und Vertraulichkeit (Sicherheit)
Die DSGVO verlangt von Organisationen, die Verarbeitung von Nutzerdaten so durchzuführen, dass Sicherheit und Schutz gewährleistet sind. Idealerweise sollten alle Verarbeitungstätigkeiten dazu beitragen, den Datenschutz vor Beschädigung oder Zerstörung, rechtswidriger Verarbeitung und unbeabsichtigtem Verlust zu schützen. Im Kern sollte Ihre Organisation alle möglichen Maßnahmen ergreifen, um personenbezogene Informationen zu schützen. Dazu gehören Sicherheitsrisikobewertung, Datenverschlüsselung, die Erstellung von Sicherungskopien an ausgelagerten Standorten und mehr.
Verantwortlichkeit
Dieses Prinzip bezieht sich auf die Verantwortung der Organisation, wenn es um die Verarbeitung von Nutzerdaten geht. Als Datenverarbeiter sollten Sie sich verantwortlich verhalten, wenn Sie personenbezogene Daten gemäß der DSGVO verarbeiten. Grundsätzlich sollten Sie sich verpflichten, die verschiedenen Anforderungen zu erfüllen und sie entsprechend zu dokumentieren.
So führen Sie eine DSGVO-Überprüfung durch
Ebenso unterscheidet sich eine Überprüfung der DSGVO-Konformität von Organisation zu Organisation, abhängig von der Art der personenbezogenen Datenüberprüfung. Bevor eine Zertifizierung erreicht wird, muss eine Organisation Audits durchführen, um ihre Konformitätslevel zu bewerten. DSGVO-Audits konzentrieren sich stark auf Cybersicherheit und Datenverwaltung. Hier mit DSGVO-Konformitätsliste – Audit-Anforderungen, es gibt Schritte, die bei der DSGVO-Überprüfung beteiligt sind:
1. Erstellen Sie einen DSGVO-Audit-Plan
Der erste Schritt zur DSGVO-Überprüfung ist die Erstellung eines Audit-Plans. Grundsätzlich handelt es sich dabei um eine Reihe schrittweiser schriftlicher und handhabbarer Prozesse, was während des Audits abzuarbeiten ist. Die Organisation muss sich bewusst sein, welche Daten sie während ihres gesamten Lebenszyklus hält. Stellen Sie außerdem sicher, dass die Klassifizierung personenbezogener Daten je nachdem, wie Sie sie sammeln und woher sie stammen, erfolgt.
2. Überprüfen Sie auf DSGVO-Konformitätslücken
Nachdem Sie einen Auditbericht erstellt haben, überprüfen Sie Ihr aktuelles DSGVO-Konformitätsprogramm. Sie sollten Datenverarbeitungsaufzeichnungen, Datenübertragungs-mechanismen, Benutzer-DSAR-Prozess, Datenschutz Grundsätze und Sicherheitsmaßnahmen überprüfen. Grundsätzlich handelt es sich hierbei um eine Entdeckungsphase, die Ihnen ermöglicht, zu ermitteln, ob die Organisation mit den DSGVO-Regeln übereinstimmt.
Nach der Überprüfung der Einhaltung sollte der Prüfer einen Bericht erstellen, der die derzeitigen Prozesse und Bereiche aufzeigt, die nicht mit den DSGVO-Regeln übereinstimmen.
3. Beheben von Einhaltungslücken
Nachdem die Prüfer Einhaltungslücken identifiziert haben, sollte die Organisation einen risikobasierten Ansatz zur Behebung verfolgen. Überprüfen Sie den Bericht anhand der DSGVO-Anforderungen und -Grundsätze und beheben Sie alle nicht konformen Bereiche. Idealerweise sollten Sie mit den Bereichen beginnen, die hohe Risiken bergen und möglicherweise schwerwiegende Auswirkungen auf die Organisation haben.
4. Prüfen der Behebungsbemühungen
Der letzte Schritt besteht darin, zu überprüfen, ob der Behebungsprozess die Einhaltungslücken beseitigt. Sie müssen testen, ob die Systeme und Prozesse der Organisation den DSGVO-Anforderungen entsprechen. Testen Sie die implementierten Prozesse und Kontrollen, um sicherzustellen, dass keine Lücken bestehen. Sobald Sie diesen Prozess abgeschlossen haben, führen Sie eine Prüfung durch, um sicherzustellen, dass Ihre Organisation allen Anforderungen entspricht.
Es ist wichtig zu bemerken, dass die DSGVO-Konformitätsprüfung ein fortlaufender Prozess ist. Sie sollten diese Prüfungen regelmäßig durchführen, insbesondere wenn Sie Kernprozesse und -systeme der Organisation ändern.
Vielen Dank, dass Sie sich den Artikel „DSGVO-Konformitätsliste – Prüfanforderungen erklärt“ durchgelesen haben. Wir werden diesen Artikel abschließen.
GDPR-Konformitätscheckliste – Überprüfungserfordernisse erklärt Abschluss
Die Einhaltung der GDPR-Anforderungen ist ein herausfordernder Prozess, der ein hochqualifiziertes technisches Team, einen qualifizierten DPO und informierte Mitarbeiter erfordert. Ihre Organisation sollte alle erforderlichen Datenschutzsysteme implementieren und sicherstellen, dass sie Benutzerdaten sicher und rechtmäßig erhebt, speichert und verarbeitet.
Weitere Cybersicherheitstipps wie diese finden Sie in unserem Blog!
Source:
https://infrasos.com/gdpr-compliance-checklist-audit-requirements-explained/