Datenschutz IDW PH 9.860.1

PrintMailRate-it
​​​​​​themenspecial dsgvo

​Datenschutzgesetzgebung

​Das EU-Datenschutzgesetz – die EU-Datenschutzgrundverordnung (DSGVO) – ist seit dem 25. Mai 2018 für alle EU Mitgliedsländer rechtsverbindlich. Gleichzeitig ist seitdem eine Neufassung des BDSG anwendbar. Die Meinung zur Datenschutzgesetzgebung hat sich dadurch vielerorts nicht geändert. Sie wird häufig als Behinderung der betrieblichen Praxis und der Wettbewerbsfähigkeit angesehen – immens aufwendig und realitätsfern.

​Wert und Gefährdungen für personenbezogene Daten

​Unsere Wahrnehmung und Auffassung dazu sind jedoch andere. Gerade bei Big Data, Open Data, Geo Data, Social Media, beruflichen Netzwerken, E-Government, Cloud Computing und in Zeiten, in denen (User-)Daten das Gold der digitalen Welt sind, regt sich bei vielen eine gewisse Grundbefürchtung, ob die Unternehmen den adäquaten Schutz von personenbezogenen Daten im Griff haben.

Datensicherheit und Datenschutz werden zunehmend als notwendiges Werteversprechen des Unternehmens wahrgenommen und es wird erwartet, dass es eingehalten wird. Aus dieser Sicht wirkt die Aufgabe der Datenschutzgesetzgebung ganz anders. Denn Verstöße gegen den Datenschutz oder auch erfolgreiche Angriffe auf Daten der Unternehmen können sich erheblich auf die Persönlichkeitsrechte und die Privatsphäre der betroffenen Personen auswirken.

Durch die im Zuge der DSGVO verschärften Sanktionen und Bußgelder kann sich das unmittelbar auf den Unternehmenserfolg auswirken.

Datenschutz erlangt Priorität

​Die neue Datenschutzgesetzgebung ermöglicht v.a. einen besseren Verbraucherschutz. U.a. müssen Unternehmen Transparenz über die Verarbeitungsprozesse von personenbezogenen Daten gewähren und Betroffenen umfangreiche Rechte bzgl. „ihrer Daten” einräumen.

Zu deren Schutz müssen sog. technische und organisatorische Maßnahmen (TOM) ergriffen werden, die auf Basis von Risikobetrachtungen ausgewählt werden und deren Umsetzung regelmäßig zu überprüfen ist. Außerdem bestehen zu allen Aspekten umfangreiche Nachweis- und Meldepflichten für den Verantwortlichen.

Datenschutzprüfung wird zur Pflicht

​Eine Datenschutzprüfung hilft, die Regelkonformität und die Sicherheit des eigenen Unternehmens zu beurteilen und die richtigen Maßnahmen für die Zukunft einzuleiten. Bei der Prüfung orientieren wir uns prinzipiell am Prüfungshinweis 9.860.1 des IDW. Dabei stehen folgende Anforderungen im Fokus:
  • Gesetzeskonforme Bestellung des betrieblichen Datenschutzbeauftragten
  • Angemessene Schulung und Unterweisung der Mitarbeiter
  • Organisation und Prozesse rund um die Betroffenenrechte
  • Führen des Verfahrensverzeichnisses
  • Umsetzung und Kontrolle der technischen und organisatorischen Maßnahmen
  • Durchführung von Datenschutzfolgenabschätzungen
  • Datenschutzerklärung und Impressumspflichten bei Internetauftritten
  • Einholung und Pflege von Einwilligungen
  • Gesetzeskonforme Auftragsverarbeitung

 

Der Prüfbericht weist dediziert auf Handlungsbedarfe hin und dient somit als Grundlage für die Ableitung von Maßnahmen. Die Prüfungshandlungen lassen sich i.d.R. gut mit anderen Bescheinigungen kombinieren und sind grundsätzlich eine gute Vorbereitung einer datenschutzspezifischen Zertifizierung.

Technische Validierung des bestehenden Datenschutzniveaus

​Die genannten Prüfungsleistungen erlauben eine gute Standortbestimmung bzgl. der Erfüllung bestehender Datenschutzanforderungen. Das Rödl & Partner Beratungsportfolio im Bereich Datenschutz beinhaltet grundsätzlich auch technisch orientierte Datenschutzprüfung- und Beratung.

Der Grundgedanke dabei ist, dass bei aller Sorgfalt bei der Umsetzung erforderlicher technisch organisatorischer Maßnahmen zur Sicherstellung eines geforderten Datenschutzniveaus die eigentliche Wirksamkeit getroffener Sicherheitsmaßnahmen erst bzw. nur durch das „äußere” Erscheinungsbild der jeweiligen Organisation im öffentlichen Datennetz belegt werden kann.

Jede Organisation hinterlässt Spuren im sog. „Cyber-Raum”. Über ein technisches Rating-System, das auf öffentliche Daten und Informationen zurückgreift und sie im Kontext aktueller Bedrohungslagen bewertet, können wir das tatsächlich bestehende Datenschutzniveau einer Organisation ermitteln und bewerten.

 

frage senden button 

Kontakt

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

moderne wirtschaftsprüfung
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu