Zum Inhalt springen
Startseite » Leistungen » Audit / Lückenuntersuchung

Audit / Lückenuntersuchung

Das Audit hat viele Namen. Manche nennen es Lückenuntersuchung, andere Soll-/Ist-Analyse, wieder andere Compliance-Inspektion oder Gap-Analyse. Egal wie man den Prozess nennt: Bei einem Audit, wird die Organisation auf Lücken im Bereich Datenschutz untersucht. Im Ergebnis erhält die verantwortliche Stelle einen umfassenden Bericht über den Umsetzungsstand in Bezug auf die DSGVO und die Gefährdungen bzw. bestehende Risiken. Durch die Lückenuntersuchung erfährt die Organisation also, in welchen Bereichen alles gut läuft und wo es noch Tätigkeitsfelder gibt.

An dieser Stelle erfahren Sie in Kürze, worum es bei einer Organisations-Lückenuntersuchung, bzw. einem Audit geht. Alle weiteren Audit-Systeme verlaufen ähnlich, nur der Umfang der Ressourcen kann geringer sein.

Philipp Schöttner, Auditor

Lückenuntersuchungen: So gestaltet, dass alle Verarbeitungen und Sachgebiete involviert sind

Was ist ein Audit?

Ein Audit hat viele Namen. Einfacher ist der Begriff Lückenuntersuchung. Manchmal wird auch der Begriff Gap-Analyse verwendet. Über die Lückenuntersuchung wird herausgefunden, wo der Datenschutz oder die Informationssicherheit Lücken aufweist.

Hierfür existieren verschiedene Methoden. Wichtig zu wissen ist, dass es hierbei um eine Überprüfung von Verarbeitungen, lokalen Gegebenheiten (Infrastruktur), Auftragsverarbeitern und der IT geht. Personenbezogene Daten müssen nicht eingesehen werden.

Klassischerweise verläuft eine Audit folgendermaßen:

  • Erstgespräch über den Umfang
  • Involvieren aller relevanten Gesprächs- / Interviewteilnehmer
  • Übergabe verschiedener Dokumente zur Prüfung vor der Lückenuntersuchung, beispielsweise bestehender Dokumente wie:
    • das Organisations-Organigramm
    • Baupläne der Organisation(en)
    • Datenschutzhinweise
    • Richtlinien
    • Auftragsverarbeitungsverträge oder Listungen mit Vertragspartnern etc.
  • Terminabsprache & Einladung aller Gesprächs- / Interviewteilnehmer
  • Durchführung der Lückenuntersuchung vor Ort:
    • Interview mit Hauptansprechpartner zu verschiedenen Themen (z. B. Infrastruktur, Auftragsverarbeiter etc.)
    • Interview mit Ansprechpartnern der Sachgebietsleitern wie z. B.:
      • Bürgerbüro
      • Bürgermeisteramt
      • Bauamt
      • Feuerwehren
      • Katastrophen- / Zivilschutz
      • Ordnungsamt
      • Kämmerei
      • Sozialamt
      • Wirtschaftsförderung etc.
    • Begehungen vor Ort:
      • Hauptverwaltung
      • Bauhof
      • Feuerwehren
      • Kindertagesstätten
      • Jugend- und Sozialeinrichtungen
      • Wasser- & Abwassereinrichtungen etc.
    • Abschlussgespräch

Die Interviews vor Ort nehmen in der Regel nicht viel Zeit in Anspruch. Im Verlauf der Lückenuntersuchung werden unter Umständen weitere Dokumente zur Prüfung übergeben: Selbstredend ohne einen Bezug zu personenbezogenen Daten.

Eine Berichtlegung erfolgt im Anschluss an die Lückenuntersuchung.

Was bringt es mir?

Ihr Datenschutz- oder Ihr Informationssicherheitsbeauftragter braucht eine Lückenuntersuchung. Letztlich ist die Lückenuntersuchung jedoch auch für Sie sehr wichtig. Erst durch die Lückenuntersuchung werden alle offenen und unbehandelten Risiken aufgedeckt. Hierbei handelt es sich häufig um Risiken, die Ihnen gar nicht bewusst sind. Sie wissen am Ende also, welche Sicherheitslücken wo liegen und im besten Fall auch, wie diese Lücken zu schließen sind.

Letztlich ist eine Lückenuntersuchung sehr wichtig;

  1. Das Audit zeigt Lücken auf
  2. Der Auditbericht & die Projektplanung geben konkrete Anhaltspunkte für offene Maßnahmen
  3. Viele Risiken, werden dargestellt und können behandelt werden
  4. Das Audit hat eine sensibilisierende Wirkung auf Beschäftigte
  5. Alle Beteiligten wissen, was zu tun ist
  6. Es gibt im Besten Fall einen zeitlichen Rahmen für die Behandlung offener Tätigkeitsfelder

Ohne Lückenuntersuchung können Einzelmaßnahmen eventuell deutlich am Ziel vorbeigehen oder andere Tätigkeitsfelder negativ beeinträchtigen.

Wer führt ein Audit durch?

Eine Lückenuntersuchung, bzw. ein Audit, wird durch eine unabhängige Person durchgeführt. Das können Datenschutzbeauftragte und / oder Informationssicherheitsbeauftragte sein. Dies hängt jedoch auch davon ab, was Sie genau untersuchen lassen wollen: Ihre gesamte Organisation, ein Dokument, ein Verfahren oder ein Eigenbetrieb bzw. eine Nebenstelle.

Muss man ein Audit vorbereiten?

Für die Durchführung einer Lückenuntersuchung werden Ressourcen benötigt. Klassische Beispiele solcher Ressourcen sind:

  • Hauptansprechpartner (oberste Managementebene)
  • Ansprechpartner in Abteilungen (auch für Rückfragen)
  • Baupläne der Organisation
  • Ein Organigramm der Organisation
  • Auflistung durchgeführter Verarbeitungen
  • Zugang zu allen Räumlichkeiten
  • Zeit

Der Umfang der benötigten Unterlagen bzw. der Ressourcen hängt davon ab, wie groß Ihre Organisation ist.

Wie lange dauert ein Audit?

Die Dauer des Audits hängt vom Fokus der Lückenuntersuchung ab. Ein Datenschutz-Audit einer Gemeindeverwaltung vor Ort dauert erfahrungsgemäß einen oder zwei ganze Tage. Eigenbetriebe, Nebenstellen und andere Gegebenheiten können das Hinzuziehen weiterer Prüfer begründen.

Was erhalte ich am Ende?

Am Ende erhalten Sie Gewissheit. Die Lückenuntersuchung hat die Übergabe verschiedener vorher abgesprochener Dokumente zum Ergebnis. Stets erhalten Sie einen Bericht über die Ergebnisse der Lückenuntersuchung mit einer Zusammenfassung der wesentlichen Lücken, Prioritäten und Risikoeinschätzungen. Häufig, je nach Absprache, erhalten Sie eine Projektplanung für die Umsetzung wesentlicher Maßnahmen.

Beispiele für Dokumente, die regelmäßig übergeben werden:

  • Projektplanung
  • Berichtlegung der Lückenuntersuchung
  • Executive Summary
  • Stellungnahmen
  • Dokumentation der technischen und organisatorischen Maßnahmen etc.

Wie bereite ich mich vor?

Ihre Auditoren nehmen Sie an die Hand: Der Fokus der Lückenuntersuchung wird vorab gemeinsam festgelegt. Aus diesem Fokus ergibt sich auch die Vorbereitung. Zu dieser gehört eine Terminplanung mit allen Ansprechpartnern. Auch werden ein paar Dokumente benötigt (wenn vorhanden). Sie können sich darauf verlassen, dass Sie auf die Lückenuntersuchung gut vorbereitet werden.

Selbst wenn am Tag der Lückenuntersuchung Dokumente fehlen sollten, können diese noch nachgereicht werden.

Wie geht es weiter?

Dank der Lückenuntersuchung kann Ihr Datenschutz- oder Informationssicherheitsbeauftragter Ihrer Organisation auf den Zahn fühlen. Dadurch ist am Ende bekannt, wo die Lücken versteckt sind. Im Anschluss an die Nachbesprechung kann, entlang der abgesprochenen Projektplanung, jede einzelne Baustelle genau unter die Lupe genommen und auch geschlossen werden.

Dies müssen Sie nicht allein machen: Hier beginnt die richtige Arbeit Ihrer Datenschutzbeauftragten. Jetzt kommen die operativen Stärken der Datenschutz- und Informationssicherheitsbeauftragten zum Vorschein.

Dank der Lückenuntersuchung können Sie nun ihr Datenschutz- oder Informationssicherheitsmanagementsystem einführen oder umfangreich ausbauen.

Gibt es noch mehr Informationen?

Ja, die gibt es. Setzen Sie sich mit mir in Verbindung. Gemeinsam finden wir eine pragmatische Lösung für Ihre Lückenuntersuchung.

Kontakt