Erleichterungen bei der Führung des Nachweises durch unabhängige Bescheinigungen zur Konformität des Datenschutzmanagements

PrintMailRate-it

veröffentlicht am 11. Dezember 2018

 

Mit Einführung der DSGVO wurden mehrere Schritte auf einmal vollzogen, die es in der Summe wesentlich anspruchsvoller für die Unternehmen machen, erheblichen Schaden von ihrem Unternehmen abzuwenden: Die Bußgeldvorschriften wurden drakonisch verschärft, im Falle einer Panne wird dem Betroffenen ein Recht auf Schadensersatz zugesichert, und gleichzeitig wird dem Verantwortlichen die Beweislast dafür auferlegt, rechtskonform gehandelt zu haben. Daher kommt dem Nachweis eines tatsächlich funktionierenden Datenschutz-Managements, möglichst in Form einer Referenz von unabhängiger Stelle, eine wachsende Bedeutung zu. Dafür eignen sich Bescheinigungen eines Wirtschaftsprüfers, beispielsweise eine IT-Prüfung außerhalb der Abschlussprüfung oder auch eine spezifische, fokussierte Prüfung der Datenschutz-Compliance.


Die gesetzlichen Vertreter einer Organisation sind dafür verantwortlich, Maßnahmen zu ergreifen, um das rechtskonforme Verhalten der Organisation zu gewährleisten. Anderenfalls besteht der Verdacht auf ein betriebliches Organisationsverschulden. Viele wissen dabei gar nicht, dass die Haftung auch solche gesetzlichen Vertreter trifft, die lediglich ehrenamtlich tätig sind. Es besteht also auch ein Risiko für den nebenamtlichen Vereinsvorstand! Dieser Grundsatz wurde in der EU Datenschutz-Grundverordnung dadurch unterstrichen, dass in Art. 5 Absatz 2 der Verantwortliche (also typischerweise das Unternehmen bzw. die Organisation) die Pflicht auferlegt bekommt, dass er die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen kann (faktische Beweislastumkehr).

 

Nachdem Ende September eine erneute massive Sicherheitslücke für Facebook-Nutzer bekannt wurde, wird aktuell über das erste empfindliche Bußgeld auf Basis der DSGVO spekuliert. Unternehmen der Sozial- und Gesundheitswirtschaft verarbeiten oft in großem Umfang sog. „besondere”, also besonders sensible Daten nach der Definition der DSGVO (u. a. Gesundheitsdaten, Art. 9). Es wäre kaum überraschend, wenn sich u. a. in diesem Bereich ein Tätigkeitsschwerpunkt der Landesdatenschutzbehörden entwickeln würde.

 

Der bayerische Landesbeauftragte für den Datenschutz schreibt beispielsweise schon in seinem Tätigkeitsbericht für das Jahr 2016 mit Bezug zum Art. 27 des Bayerischen Krankenhausgesetzes: „Gerade in Krankenhäusern entstehen zunehmend große Mengen an Daten, die die Gesundheit der Patientinnen und Patienten und damit deren intimsten Lebensbereich betreffen. Für diese Daten ist es durchaus angemessen, strengere Schutzmaßnahmen zu fordern. Durch die Beteiligung externer Stellen wird der Kreis derer größer, die mit sensiblen medizinischen Daten in Berührung kommen. Gleichzeitig sinken die direkten Einflussmöglichkeiten der Krankenhäuser auf den Umgang mit den Daten ihrer Patientinnen und Patienten. Das kann das Risiko von Datenmissbrauch und Datenverlust in einem besonders sensiblen Bereich erhöhen.”

 

Angesichts einer sehr anspruchsvollen Regelungsdichte der DSGVO und der zahlreichen weiteren einschlägigen Rechtsnormen wird auch der Nachweis der Konformität für die betroffenen Unternehmen erheblich anspruchsvoller. Zum Anforderungskatalog zählen beispielsweise:

 

  • Der Nachweis angemessener technischer und organisatorischer Maßnahmen nach dem aktuellen Stand der Technik,
  • der umfassende Nachweis der Verarbeitungstätigkeiten einschließlich des Nachweises, welchen Zweck diese erfüllen und auf welcher Rechtsgrundlage sie erfolgen,
  • die zuverlässige Umsetzung der Auskunfts- und Löschungsrechte der Betroffenen,
  • der Nachweis über die gegebenenfalls zuverlässige, fristgerechte Meldung einer Datenpanne,
  • der Nachweis, dass Mitarbeiter zum Datenschutz verpflichtet und dass sie unterwiesen worden sind,
  • die Vorlage der notwendigen Vereinbarungen zur Auftragsverarbeitung,
  • der Nachweis, dass für die Datenweitergaben, für die Einwilligungserklärungen erforderlich sind, diese Einwilligungserklärungen systematisch eingeholt werden (in Krankenhäusern betrifft dies beispielsweise Übermittlungen an Vor- und Nachbehandler, Seelsorger, Pfortenauskunft, Angehörigenauskunft)
  • der Nachweis, dass die Mitarbeiter im Bedarfsfall schnell prüfen können, ob die betreffende Einwilligung tatsächlich vorliegt,
  • die Ermittlung der wichtigsten Datenschutzrisiken aus Betroffenensicht zur Auswahl derjenigen Verarbeitungstätigkeiten, für die eine Datenschutzfolgenabschätzung zu erstellen ist und schließlich
  • die Vorlage der erforderlichen Datenschutzfolgenabschätzungen.

 

Nachweispflicht der DSGVO heißt nichts anderes als Datenschutz-Compliance-Management

Damit entsteht im Bereich Datenschutz nichts anderes als die Notwendigkeit, ein funktionierendes Compliance-Management, also ein Datenschutz-Compliance-Management, belegen zu können. Denn der Inhalt von Compliance ist genau durch die (nachgewiesene) Einhaltung gesetzlicher und interner Regelungen und Standards definiert. Bei der Übersetzung der notwendigerweise allgemein gehaltenen Anforderungen der DSGVO in die betriebliche Praxis spielen die für das Unternehmen und seine Prozesse angemessenen TOMs, die technischen und organisatorischen Maßnahmen also, eine zentrale Rolle. Hier gibt es branchen- und risikospezifische Anhaltspunkte, die man berücksichtigen sollte. Eine funktionierende Datenschutz-Compliance bedeutet, dass die tatsächliche Einhaltung der unternehmensbezogen definierten Standards nachgewiesen werden kann.

 

Die Bescheinigung eines Wirtschaftsprüfers über die Wirksamkeit eines Compliance-Management-Systems (CMS) bedeutet wertvolle Anhaltspunkte nach außen hin für den Fall, dass trotz aller Maßnahmen dennoch einmal etwas schiefläuft und eine Datenpanne geschieht. Das Institut der Wirtschaftsprüfer (IDW) hat mit dem Prüfungsstandard 980 einen Standard gesetzt, anhand dessen die Fragestellung nach der Wirksamkeit eines CMS beantwortet und als Ergebnis eine entsprechende Bescheinigung erlangt werden kann.

 

Die Prüfung des CMS nach diesem Prüfungsstandard 980 kann auf bestimmte Unternehmensfunktionen eingeschränkt werden. Deshalb eignet sich der Standard u. a. gut dafür, eine gezielte Prüfung des Datenschutz-Compliance-Managementsystems mit anschließender Bescheinigung durchzuführen. Die Prüfung kann als Konzeptions-, als Angemessenheits- oder als Wirksamkeitsprüfung definiert werden. Ziel einer umfassenden Wirksamkeitsprüfung ist es festzustellen, ob die definierten Grundsätze und Maßnahmen gemäß der Konzeption des CMS angemessen sind, ob sie zu einem bestimmten Zeitpunkt implementiert und in einem zu bestimmenden Prüfungszeitraum auch wirksam waren. Für den Fall einer spezifischen Datenschutz-CMS-Prüfung umfasst diese sowohl organisatorische als auch technische Aspekte eines Datenschutz-CMS.

 

Bescheinigung der Datenschutz-Compliance in einem abgrenzbaren IT-System: PS 860 als Alternative zum PS 980

Wenn eine Bescheinigung mit Bezug zu bestimmten IT-Systemen angestrebt wird, eignet sich eine Prüfung nach dem IDW Prüfungsstandard 860 für IT-Prüfungen außerhalb der Abschlussprüfung. Mit dem neu erschienenen IDW Prüfungshinweis 9.860.1 konkretisiert das IDW die Prüfkriterien im Rahmen solcher Prüfungen nach dem IDW PS 860 mit Blick auf datenschutzspezifische Besonderheiten. Die Prüfung kann als Angemessenheitsprüfung und als Wirksamkeitsprüfung gestaltet werden. Ziel einer Angemessenheitsprüfung ist es festzustellen, ob die angewandten Grundsätze, Verfahren und Maßnahmen geeignet sind, die durch das IDW erstellten Kriterien einzuhalten und ob sie zum relevanten Prüfzeitpunkt im Unternehmen implementiert sind. Ziel der Wirksamkeitsprüfung ist über die Angemessenheitsprüfung hinaus zu beurteilen, ob die in der Erklärung zum IT-System dargestellten Grundsätze, Verfahren und Maßnahmen des zu prüfenden IT-Systems in dem zu prüfenden Zeitraum wirksam gewesen sind.

 

Da sich das Datenschutz-Management-System des Unternehmens letztlich in der Gesamtheit dieser Grundsätze, Verfahren und Maßnahmen manifestiert, wird mit der Prüfung daher eine externe, unabhängige Aussage zur Angemessenheit, zum Stand der Implementierung sowie gegebenenfalls zur Wirksamkeit des Datenschutz-Management-Systems im Unternehmen getroffen. Sie kann daher ebenfalls ein wertvoller Baustein bei der Führung des Nachweises sein, den die DSGVO vom Verantwortlichen fordert.

 

Aufgrund der Ausrichtung des zugrundeliegenden IDW PS 860 für IT-Prüfungen sind Prüfungen nach diesem Standard naturgemäß besonders dafür geeignet, Sicherheit über die Angemessenheit und den Implementierungsstand der notwendigen Schutzmaßnahmen (technische und organisatorische Maßnahmen, TOMs) zu erlangen. Damit steht ein zusätzliches Werkzeug mit gegebenenfalls besonderem Schwerpunkt auf die TOMs und zur Erlangung einer entsprechenden Bescheinigung zur Verfügung.

 

Welche Kriterien im Rahmen einer Angemessenheitsprüfung heranzuziehen sind, ergibt sich zunächst aus den in der DSGVO sowie dem BDSG dargestellten Grundsätzen. Hierauf aufbauend hat das IDW einen Anforderungskatalog entwickelt, der diese Grundsätze im Zusammenhang mit der Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen konkretisiert. Im Ergebnis sind die von den gesetzlichen Vertretern des Unternehmens getroffenen Grundsätze, Verfahren und Maßnahmen den rechtlichen Kriterien gegenüberzustellen und auf ihre Angemessenheit und gegebenenfalls Wirksamkeit hin zu überprüfen. Diese Überprüfung kann durch eine geeignete Aufbau- und Funktionsprüfung erfolgen. Darüber hinaus ist eine Risikobeurteilung durchzuführen.

 

Bescheinigungen aufgrund von Prüfungen, die als CMS-Prüfungen (PS 980) oder auch als Systemprüfungen (PS 860) ausgestaltet sind, unterliegen, genau wie andere Testate und Bescheinigungen eines Wirtschaftsprüfers, der Berufspflicht der Unabhängigkeit. Gleichzeitig unterstützt der Prüfungsprozess oftmals beim Aufdecken und Beseitigen noch unbemerkter Schwachstellen und bietet damit im Anschluss an die Prüfung eine wesentlich verbesserte Ausgangslage, um den Nachweis der Einhaltung der Grundsätze der DSGVO zu führen.


Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu