Datenschutzaudits in Call Centern

06.10.2022. 08:59

 

Nächste Woche bin ich  wieder unterwegs zu einem Datenschutzaudit nach Stralsund. An dieser Stelle möchte ich einmal darstellen, warum solche Audits Sinn machen und wie Datenschutzaudits abblaufen (können).

In diesem Fall bin ich, wie seit Jahren, für einen international tätigen Callcenter Betreiber tätig. Viele Unternehmen setzen auf Callcenter, da ihnen an ihrem Standort regelmäßig gar nicht das Personal für diese Tätigkeiten zur Verfügung steht. Meist setzt man auch gerne auf die Professionalität, die ein Callcenter Betreiber im Bereich der Inbound und Outbound Telefonie oder im Backofficebereich gewährleisten kann.

Auch Callcenter Betreiber können in der Regel nicht alles Personal an einem Standort alleine zur Verfügung stellen. Dies ist meines Erachtens der Grund, dass die großen Call Center regional stark gestreut, mehrere Standorte unterhalten. Aus verschiedenen Gründen gerne auch in regional schwächer aufgestellten Regionen oder im Ausland. Nicht selten ist es so, dass dann einzelne Kundenprojekte über mehrere Callcenter abgewickelt werden. Für den Geschäftskunden ist das in Hinblick auf Ausfallsicherheit und Business Continuity auch durchaus von Vorteil oder gar gewollt.

Als interner Datenschutzbeauftragter eines größeren Callcenters ist man dann sehr schnell nicht mehr in der Lage die erforderlichen Datenschutzkontrollen / Datenschutzaudits der einzelnen Standorte selber durchzuführen, da dies wie bereits angedeutet, mit erheblichen Reiseaufwand verbunden ist. Da bietet es sich an, einen externen Datenschutzauditor einzuschalten. Wenn man dabei auf einen Rechtsanwalt zurückgreift, kann man neben technischen und organisatorischen Fagen auch den rechtlichen Bereich optimal mit abdecken. Da es sich um interne Audits handelt braucht hier der Beratungs- und Prozessverbesserungsaspekt auch nicht zu kurz kommen.

Wie laufen solche Datenschutzaudits in Callcentern nun ab?

Zunächst mal wird im Vorfeld eine Jahresauditplanung erstellt. Dann erfolgt die terminliche Abstimmung mit den jeweilichen Standorten. Intern wird dann mit dem oder der  Datenschutzbeauftragten ein Prüfkatalog erstellt. Der Prüfkatalog ist im Vorfeld von den jeweiligem Standort zu beantworten. Basierend auf den Antworten werden dann bestimmte Prüfungsfragen zur Vertiefung und Einzelprojekte zur Kontrolle vor Ort definiert. Bei dem Kontrolltermin selbst werden dann die Fragenkataloge und die Vertriefungsfragen besprochen. Der Standort wird besichtigt, wobei bestimmte Einzelfragen begutachtet werden ( z.B. Serverräume, Entsorgungstonnen usw. ). Anschließend schaut man sich dann am Standort noch einmal verschiedene Einzelprojekte an, wobei der Umfang vom Auftraggeber bestimmt wird. In der Regel sehe ich mir zwei Projekte an.

Da Ergebnis der Datenschutzkontrolle wird in einem Bericht erfasst, welcher zu jedem Einzelprojekt auch bestimmte Feststellungen enthält. Der Bericht ist einerseits deskriptiv zur Information der oder des Datenschutzbeautragten, enthält aber auch Empfehlungen und einen Maßnamenkatalog. Der Maßnahmenkatalog enthält überwiegend Aktionspunkte für den Standort. Er wird vorab mit dem oder der Datenschutzbauftragten abgestimmt um sicherzustellen, dass die Maßnahmen hinterher auch erfüllbar sind. Die Feststellungen zu den Einzelprojekten dienen (auch) dazu , gegenüber Auftraggeber interne Kontrollen nachweisen zu können, wozu sich Callcenter regelmäßig auch vertraglich verpflichten.

Vorteile dokumentierter Auditberichte zusammengefasst

Grundsätzlich haben Auditbericht viele Vorteile, sie können die Ergebnisse aus Auditberichten strategisch verwenden, um

  • fehlerhafte Prozessabläufe ausfindig zu machen und diese zu verändern oder zu ersetzen,
  • die interne Zusammenarbeit zum Nutzen von Kunden/Unternehmen erfolgreicher zu gestalten,
  • internen Wissenstransfer zu fördern,
  • Anpassungen auf geänderte Marktsituationen zu beleuchten,
  • die Umsetzung von Unternehmenszielen zu überprüfen und
  • die Sensibilität des Personals zu erhöhen.

Interne Datenschutzaudits können also vielmehr als nur die Frage zu beantworten, ob eine gesetzliche oder DIN-Norm erfüllt ist oder nicht.

 

Wenn Sie wollen können Sie meine Reisetätigkeit auch gerne über meinen privaten Instagramkanal mitverfolgen:   https://www.instagram.com/ramichaelbock/

 

Das könnte Sie auch interessieren

27 März 2023

Anforderung der Prüfberichte…

Anlasslose aufsichtsbehördliche Prüfung: Anforderung der Prüfberichte des Datenschutzbeauftragten

Mehr Erfahren
17 Januar 2023

Warum es keine gute Idee…

Warum es keine gute Idee ist, seine Dienstleister nicht regelmäßig zu überprüfen

Mehr Erfahren
16 Januar 2023

Bußgeld wegen fehlernder…

Bußgeld wegen fehlernder Dokumentation der Überprüfung des Auftragsverarbeiters

Mehr Erfahren
04 November 2022

Neues Whitepaper zur…

Die TÜV Rheinland Akademie GmbH hat ein kostenfreies Whitepaper zur Kompetenz von Auditoren vorgestellt

Mehr Erfahren
26 Oktober 2022

Muss mein Unternehmen…

Muss mein Unternehmen Datenschutzaudits durchführen?

Mehr Erfahren
31 August 2022

Call Center Audits

Wir führen Call Center Audits für Sie durch. Überzeugen Sie potentielle oder bestehende Kunden mit einer…

Mehr Erfahren