IT-Prüfung
Aufbau und Prüfung der Datenschutzorganisation - der IDW PH 9.860.1 als geeignetes Rahmenwerk
Jan Schrulle
Abstract
Mit Inkrafttreten der EU-Datenschutzgrund-Verordnung (EU-DSGVO) zum 25. Mai 2018 bekommt der Datenschutz einen neuen Stellenwert in der Unternehmenspraxis. Neben den stark gestiegenen Bußgeldern begründet insbesondere die Rechenschaftspflicht über die Einhaltung der Datenschutzgrundsätze den Aufbau eines geordneten Datenschutzmanagements. Da der Verantwortliche zukünftig die Angemessenheit und Wirksamkeit der ergriffenen Maßnahmen belegen muss und die ergriffenen Maßnahmen bei der Bestimmung von Sanktionen berücksichtigt werden sollen, werden durch die Praxis Rahmenwerke zur Gestaltung der Datenschutzorganisation eingefordert. Das Institut der Wirtschaftsprüfer (IDW) hat im Sommer 2018 als ersten Prüfungshinweis (PH) zum IDW PS 860 den PH 9.860.1 "Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz" veröffentlicht, der Grundlage einer Prüfung der Angemessenheit und Wirksamkeit der ergriffenen Datenschutzmaßnahmen ist und auch als Orientierungsrahmen zur Gestaltung eines strukturierten Datenschutzmanagements als Teil des internen Kontrollsystems herangezogen werden kann.
In der Beratungspraxis zeigt sich weiterhin eine hohe Nachfrage für Hilfestellungen zur Ausgestaltung der Datenschutzorganisation sowie von Datenschutzkernprozessen. Darüber hinaus nimmt der Bedarf von Unternehmen in Bezug auf eine Bewertung der Angemessenheit und Wirksamkeit der eigenen Datenschutzorganisation zu. Hinzu kommt in manchen Bereichen die Notwendigkeit einer externen Bestätigung der Angemessenheit und Wirksamkeit der Tätigkeit von Auftragsverarbeitern.
Der nachfolgende Beitrag stellt den neuen Prüfungshinweis kurz vor und dient als Einstieg in das Thema.