Themen Unternehmensberatung Wirtschaftsprüfung

Datenschutzaudit - eine Präventivmaßnahme vor hohen Bußgeldern?

Die Einhaltung der neuen datenschutzrechtlichen Regelungen stellt für die meisten Unternehmen eine große Herausforderung da. Ein Datenschutz-Audit kann helfen, Risiken zu entdecken und Verbesserungen umzusetzen.

Das Jahr 2018 steht im Zeichen des Datenschutzes – kaum ein anderes Thema ist so häufig in den Medien diskutiert worden wie die EU-Datenschutz-Grundverordnung (DSGVO). Die Kanzlerin selbst, Angela Merkel, und der Innenminister, Horst Seehofer, meldeten sich zu Wort, als der Druck der Industrie – insbesondere des Mittelstands – größer wurde. Zu groß seien die bürokratischen und dokumentarischen Anforderungen und zu aufwendig sei es, eine vollständige Compliance mit der DSGVO herzustellen.

Prüfung des Datenschutzes als Prävention vor Bußgeldern

Die DSGVO wurde nur insoweit „entschärft“, als „in der Anfangsphase des neuen Rechts die langjährig geübte Praxis von verhältnismäßigen Sanktionen mit Augenmaß fortgesetzt werden sollte“. Diese Pressemitteilung des Bundesministeriums des Inneren änderte jedoch nichts am Umfang und an der Komplexität der DSGVO.


Ganz konkret ergeben sich für Unternehmen aus der DSGVO hohe finanzielle Risiken in Form von Bußgeldzahlungen, die bei schwerwiegenden Verstößen bis zu 4 % des Gesamtkonzernumsatzes des Vorjahres erreichen können. Aus diesem Grunde wird die DSGVO auch sehr ernst genommen. Der Fachausschuss für Informationstechnologie des IDW (IDW FAIT) hat das Thema DSGVO aufgenommen und ausgehend von dem IDW PS 860 „IT-Prüfung außerhalb der Jahresabschlussprüfung“ mit dem IDW PH 9.860.1 einen Prüfungshinweis entwickelt, der eine Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz vorsieht. Eine solche Prüfung kann helfen, Datenschutzlücken proaktiv zu erkennen, um Abmahnungen und Anzeigen zuvorzukommen.

Ziel des Prüfungshinweises

Der IDW PH 9.860.1 konkretisiert die für eine Anwendung des IDW PS 860 zugrunde zu legenden Kriterien, die für eine Prüfung der Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) benötigt werden. Er enthält geeignete Grundsätze, Verfahren und Maßnahmen zur Einhaltung der Kriterien und Beispiele für Prüfungshandlungen zur Beurteilung der Angemessenheit und Wirksamkeit der Grundsätze, Verfahren und Maßnahmen.


Der Anforderungskatalog

Die Anlage 1 des Prüfungshinweises enthält einen umfassenden Anforderungskatalog, der die Regelungen der DSGVO und des BDSG konkretisiert. Dabei findet der Standard nur insoweit Anwendung, als dass es sich um die Prüfung der Grundsätze, Verfahren und Maßnahmen nach der DSGVO und dem BDSG im Zusammenhang mit der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen handelt. Sind im Einzelfall weitere Gesetze und Vorschriften über den Datenschutz zu berücksichtigen (z. B. branchenbezogene regulatorische Anforderungen), richtet sich deren Anwendung nach der in der Auftragsvereinbarung getroffenen Abgrenzung. In diesen Fällen ist der Anforderungskatalog entsprechend zu erweitern.


Gegenstand der Prüfung und Auftragsarten

Gegenstand einer Prüfung gemäß IDW PH 9.860.1 kann einerseits eine „Prüfung einer Erklärung der gesetzlichen Vertreter“ zu den „Grundsätzen, Verfahren und Maßnahmen nach der DSGVO und dem BDSG“ oder eine „direkte Prüfung der Grundsätze, Verfahren und Maßnahmen nach der DSGVO und dem BDSG“ sein.

Zusammenfassung und Ausblick

Der IDW PH 9.860.1 bietet die Möglichkeit, die Prüfung datenschutzrechtlicher Anforderungen anhand eines beispielhaften Anforderungskatalogs in Form der Prüfung einer Erklärung oder in Form einer direkten Prüfung durchzuführen. Hierbei kann die Angemessenheit oder gar die Wirksamkeit je nach Auftragsvereinbarung geprüft werden. Das Unternehmen erhält einen standardisierten Bericht und kann bei entdeckten Abweichungen von Verordnung und Gesetz gezielte Maßnahmen zur Risikovermeidung beschließen.

Ihr Ansprechpartner

Jonas Tritschler

E-Mail: Jonas.Tritschler@falk-itcs.de

Tel: +49 6211 399 4111


Johannes Hug

E-Mail: johannes.hug@falk-itcs.de

Tel: 06221 399 4111


Diese Website verwendet Cookies zu Analysezwecken und um sicherzustellen, dass Sie unsere Website optimal nutzen können. Weitere Informationen finden Sie in unserer Datenschutzerklärung.