Bescheinigungen zur Einhaltung der DSGVO

​veröffentlicht am 31. Juli 2018; Autoren: Christoph Naucke, Gabor Hadnagy

Nachdem die Umsetzung der DSGVO viele Unternehmen auch in der Sozial- und Gesundheitswirtschaft vor große Herausforderungen gestellt hat, steigt das Bedürfnis danach, die Konformität des eigenen Unternehmens mit dem neuen Datenschutzrecht von unabhängiger Seite bestätigen zu lassen. Wirtschaftsprüfungsgesellschaften können dafür beispielsweise eine spezifische, fokussierte Prüfung der Datenschutz-Compliance durchführen oder auch eine IT-Prüfung außerhalb der Abschlussprüfung. Für letztere erscheint im August ein Prüfungshinweis des IDW bzgl. datenschutzspezifischer Prüfungen nach diesem Prüfungsstandard.

​Durch Wirtschaftsprüfungsgesellschaften in Form einer Compliance-Management-Systemprüfung oder in Form einer IT-Prüfung [IDW PH 9.860.1]

Die Prüfung eines Compliance Management Systems (CMS) nach dem IDW Prüfungsstandard 980 kann gem. dem Standard auf bestimmte Unternehmensfunktionen eingeschränkt werden. Insoweit ist auch eine gezielte Prüfung des Datenschutz-Compliance-Managementsystems möglich. Sie kann als Konzeptions-, als Angemessenheits- oder als Wirksamkeitsprüfung definiert werden. Ziel einer umfassenden Wirksamkeitsprüfung ist es festzustellen, ob die definierten Grundsätze und Maßnahmen gemäß der Konzeption des CMS angemessen sind, ob sie zu einem bestimmten Zeitpunkt implementiert und in einem zu bestimmenden Prüfungszeitraum auch wirksam waren. Als Systemprüfung umfasst eine CMS-Prüfung dabei sowohl organisatorische als auch technische Aspekte eines Datenschutz-CMS.

Wenn demgegenüber eine Bescheinigung mit Bezug zu bestimmten IT-Systemen angestrebt wird, eignet sich eine Prüfung nach dem IDW-Prüfungsstandard 860 für IT-Prüfungen außerhalb der Abschlussprüfung. Mit dem in Kürze erscheinenden IDW Prüfungshinweis 9.860.1 konkretisiert das IDW die Prüfkriterien im Rahmen solcher Prüfungen nach dem IDW PS 860 mit Blick auf datenschutzspezifische Besonderheiten. Auf diese Weise soll der Notwendigkeit Rechnung getragen werden, die Angemessenheit sowie die Wirksamkeit getroffener Schutzmaßnahmen (TOMs) zu evaluieren und im Zuge dessen dem Berufsstand ein geeignetes Werkzeug zur Überprüfung der TOMs zur Verfügung gestellt werden. Die Prüfungshilfe wird im August durch das IDW veröffentlicht.

Welche Kriterien im Rahmen einer Angemessenheitsprüfung heranzuziehen sind, ergibt sich zunächst aus den in der DSGVO sowie dem BDSG dargestellten Grundsätzen. Hierauf aufbauend hat das IDW einen Anforderungskatalog entwickelt, welcher diese Grundsätze im Zusammenhang mit der Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen konkretisiert. Im Ergebnis sind die von den gesetzlichen Vertretern des Unternehmens getroffenen Grundsätze, Verfahren und Maßnahmen den rechtlichen Kriterien gegenüberzustellen und auf ihre Angemessenheit und ggf. Wirksamkeit hin zu überprüfen. Diese Überprüfung kann durch eine geeignete Aufbau- und Funktionsprüfung erfolgen. Darüber hinaus ist eine Risikobeurteilung durchzuführen.