close
Share with your friends

Datenschutz als Prüfungsthema für die Interne Revision

Datenschutz als wesentlicher Risikobereich im Audit Universe der Internen Revision 

Entsprechend den neuen Risiken steigen nicht nur die Anforderungen an das Management, sondern ebenso die Anforderungen an die Interne Revision, denn sie erfüllt eine wichtige Kontroll- und Transparenzfunktion im Unternehmen. Daher sollte das Thema Datenschutz auch auf der Agenda der Internen Revision stehen, in das Audit Universe einfließen und bei der Prüfungsplanung Berücksichtigung finden. Hierbei sollte nicht nur die Ausgestaltung des Datenschutz-Managementsystems geprüft werden, sondern insbesondere auch die konkrete Umsetzung der Datenschutzmaßnahmen in den Geschäftsprozessen.

Um Effektivität und Effizienz der Prüfungstätigkeiten in der Internen Revision zu steigern, ist eine risikoorientierte Prüfungsplanung in den Unternehmen unabdingbar (vgl. DIIR Revisionsstandard Nr.3, Mindeststandard 4; IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen (IDWPS 983), Mindeststandard 4).

Die risikoorientierte, im eigenen Ermessen der Internen Revision durchzuführende Planung umfasst das gesamte Prüfumfeld eines Unternehmens, also alle Geschäftsprozesse, und kann anhand folgender Schritte vorgenommen werden (vgl. Empfehlung des DIIR „Risikoorientierte Prüfung - Best Practice“):

Identifikation

Es gilt im ersten Schritt, die Gesamtheit aller Prüfungsobjekte (Projekte, Prozesse, Gesellschaften) im Audit Universe zu erfassen, um die Existenz revisionsfreier Räume auszuschließen. Die Strukturierung kann sich hierbei auf Organisationseinheiten und Prozesse beziehen und ist in einer Risikomatrix festzuhalten. Ein weiterer Aspekt der Strukturierung sollte die datenschutzrechtlichen Risiken umfassen. Demnach können unter Berücksichtigung der Organisationseinheiten und -prozesse, die mit datenschutzrechtlichen Fragestellungen konfrontiert sind, neue zusätzliche Prüfungsobjekte identifiziert werden. Die Identifikation der Prüfungsobjekte kann beispielsweise auf der Analyse des Verarbeitungsverzeichnisses basieren. Daraus lässt sich zum Beispiel ableiten, in welchen Geschäftsprozessen besonders schutzbedürftige, personenbezogene Daten verarbeitet werden. 

Bewertung

Anhand definierter Kriterien sind je nach Prüfungsobjekt möglichst objektive Risikobewertungen vorzunehmen, zum Beispiel durch Festlegung des Schadensausmaßes. Hierbei müssen nun auch datenschutzrelevante Kriterien wie beispielsweise die Häufigkeit der Verstöße in einer Organisationseinheit, Beschwerden, bereits aufgedeckte Verfehlungen oder Ähnliches als Risikokriterien berücksichtigt werden. Zudem können die Ergebnisse der Risikoanalyse im Rahmen des Datenschutz-Managementsystems (bis hin zur Datenschutzfolgenabschätzung) als Risikokriterien herangezogen werden, um für das Unternehmen und den jeweiligen Geschäftsprozess besonders kritische Verarbeitungen zu identifizieren und zu bewerten. 

Priorisierung

Ziel der Bewertung der Risiken ist eine Priorisierung der Prüfobjekte, um die durchzuführenden Prüfungen risikoorientiert und unter Berücksichtigung der verfügbaren Ressourcen planen zu können. So kann sich die Priorisierung unter Heranziehung der datenschutzrelevanten Bewertungskriterien verschieben und den Prüfungsplan der Internen Revision beeinflussen.

Prüfungsplan

Ergebnis der Priorisierung der Prüfungsobjekte ist der Prüfungsplan (zum Beispiel auf Jahresebene), der nun auch die Datenschutzrisiken berücksichtigt. 

Datenschutzrechtliche Aspekte sind nicht nur im eigenen Unternehmen zu beachten. Auch der Aspekt der Auftragsverarbeitung sollte nicht außer Acht gelassen werden (Abbildung 04). Hierbei verarbeitet ein externer Dienstleister für das Unternehmen weisungsgebunden personenbezogene Daten. Die Verantwortung für die ordnungsgemäße Datenverarbeitung obliegt dabei weiterhin dem Unternehmen, das hauptverantwortlich für den Datenschutz bleibt. Der externe Dienstleister wird bei der Auftragsverarbeitung nur unterstützend tätig. Werden dabei Datenschutzverstöße begangen, so sind sie dem auftraggebenden Unternehmen zuzurechnen. Denn die Haftung des Auftragsverarbeiters beschränkt sich auf Verstöße gegen Pflichten, die ihm speziell in seiner Funktion als externem Dienstleister auferlegt sind. Daher sollte die Interne Revision auch mögliche Verstöße solcher Dienstleister bei der Prüfung datenschutzrechtlicher Themen berücksichtigen. Je nach Ergebnis der Bewertung und Priorisierung des Risikos von Verarbeitungsfehlern durch externe Auftragsverarbeiter kann die Interne Revision abwägen, ob sie sie in ihre Prüfung einbezieht. 

Berücksichtigung von Datenschutzaspekten im Rahmen von Prozessprüfungen

Das obligatorische Verarbeitungsverzeichnis, das die Datenverarbeitung personenbezogener Daten in sämtlichen Geschäftsbereichen und -prozessen des Unternehmens darstellt, bietet bei Vollständigkeit eine valide Grundlage zur Berücksichtigung neuer datenschutzrelevanter Risiken in der Planung und in den Prüfprogrammen der Internen Revision. 

Das Verarbeitungsverzeichnis gewährt der Internen Revision Informationen darüber, welche personenbezogenen Daten je Prozess (beispielsweise Einkauf, Personal) verarbeitet werden. Anhand dieser Informationen kann die Interne Revision die geplanten Prüfungshandlungen auf datenschutzrechtliche Gesichtspunkte ausweiten oder anhand des Verarbeitungsverzeichnisses neue Prüffelder mit hohem Risikopotenzial identifizieren. 

Da im Verarbeitungsverzeichnis unter anderem auch aufgeführt wird, wie die Verarbeitung von personenbezogenen Daten stattfinden soll, kann die Interne Revision anhand des Verzeichnisses einen einfachen Abgleich der Soll- und Ist-Situation und der damit verbundenen Datenverarbeitungsschritte in den darunterliegenden Prozessen vornehmen. 

Des Weiteren kann die Interne Revision datenschutzrechtliche Aspekte einbeziehen, die sich an den Verarbeitungsgrundsätzen des Artikel 5 DSGVO orientieren. Artikel 5 lit. e DSGVO nennt beispielsweise den Grundsatz der Speicherbegrenzung. Demnach sind Unternehmen verpflichtet, personenbezogene Daten zu löschen, wenn sie nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen. Denn die DSGVO sieht klare Löschpflichten vor (unter anderem in Artikel 17 DSGVO „Recht auf Vergessenwerden"). 

Die Prüfungshandlung der Internen Revision kann auch in der Überprüfung des prozessspezifischen Löschkonzepts selbst bestehen und kontrollieren, ob es richtig angewandt wurde. Fragestellungen, mit der sich die Interne Revision typischerweise beschäftigen wird, sind: 

  •  Welche Datenart wurde verarbeitet? Beispiele für eine Datenart sind Stammdaten (Mitarbeiter, Kunden, Lieferanten), Vertragsdaten, Abrechnungsdaten, Buchhaltungsdaten (zum Beispiel Buchungsbelege, Zahlungsläufe) etc. 
  • Wo befinden sich die personenbezogenen Daten, wer hat Zugriff und an wen werden sie weitergegeben? 
  • Wann sind gemäß den gesetzlichen Vorgaben Daten zu löschen? 
  • Welche Löschfristen sind für die einzelnen Datenarten, unter Berücksichtigung der vertraglichen und rechtlichen Aufbewahrungsfristen, implementiert? 

Des Weiteren muss die Verarbeitung von personenbezogenen Daten durch technische und organisatorische Maßnahmen (TOM) geschützt werden. Die DSGVO verpflichtet Unternehmen in Artikel 32 dazu, „geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten" (vgl. DIIR-Arbeitskreis Interne Revision & Datenschutz, Leitfaden Interne Revision und Datenschutz, veröffentlicht im Oktober 2017 auf www.diir.de).

Prüfung des Datenschutz-Managementsystems durch die Interne Revision

Nach Artikel 5 Abs. 2 der DSGVO müssen Unternehmen über die Einhaltung der Datenverarbeitungsgrundsätze Rechenschaft ablegen. Das legt die Einführung eines Datenschutz-Managementsystems nahe, das die Einhaltung der Schutzziele der DSGVO (zum Beispiel Artikel 25 und 32) gewährleistet. Somit muss die Interne Revision nicht nur im Rahmen von Prozessprüfungen überwachen, ob die Anforderungen der EU-DSGVO umgesetzt werden, sie muss auch das Datenschutz-Managementsystem an sich in regelmäßigen Abständen überprüfen und entsprechende Kontrollen in der Prüfungsplanung berücksichtigen. 

Im Mittelpunkt einer Prüfung des Datenschutz-Managementsystems durch die Interne Revision sollten die zentral implementierten Prozesse und Richtlinien stehen. 

Bei der Erstellung des Prüfprogramms kann zur Orientierung die vom DIIR  - Deutsches Institut für Interne Revision e. V. herausgegebene „Checkliste zur Prüfung der Datenschutzorganisation" (vgl. DIIR-Arbeitskreis Interne Revision & Datenschutz, Checkliste zur Prüfung der Datenschutzorganisation, veröffentlicht im Oktober 2017auf www.diir.de) herangezogen werden. 

Hierbei wird auf folgende Prüfungsschwerpunkte eingegangen: 

  •  Datenschutzstrategie 
  • Vorgaben und Anforderungen 
  • Organisation 
  • Kommunikation und Prozesse 
  • Reporting 

Zusätzlich zu der bereits erwähnten DIIR-Checkliste kann der Prüfungshinweis IDW PH 9.860.1 „Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz" (vgl. Fachausschuss für Informationstechnologie (FAIT), Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz, verabschiedet am 17.05.2018, billigende Kenntnisnahme durch den Hauptfachausschuss (HFA) am 19.06.2018, veröffentlicht im IDW-Life -Heft8/2018) als weitere Grundlage herangezogen werden. Der Leitfaden schlägt Prüfungshandlungen für Grundsätze, Verfahren und Maßnahmen eines Unternehmens vor, die auf die Einhaltung der Anforderungen der DSGVO und des BDSG bei der Verarbeitung personenbezogener Daten gerichtet sind. Abbildung 06 zeigt dazu einen Überblick, auf welche Prüfungselemente der IDW PH 9.860.1 hierbei besonders eingeht. 

Für jedes der Prüfungselemente werden beispielhaft Prüfungshandlungen aufgezeigt, anhand derer ein Datenschutz-Managementsystem geprüft werden kann. Jedoch ist zu beachten, dass diese Beispiele nur ergänzend zu den Anforderungen des IDW PS 980 sowie IDW PS 860 gelten. 

Bei der Prüfung eines Datenschutz-Managementsystems kann sich die Interne Revision an folgenden beispielhaften Prüfungsfragen orientieren: 

  •  Wurden Datenschutzziele festgelegt, die sich nachvollziehbar aus der Unternehmensstrategie ableiten, besondere datenschutzrechtliche Faktoren berücksichtigen, die sich aus dem Geschäftsmodell ergeben, und die dokumentiert sind? 
  • Existiert eine Datenschutzorganisation, die Rollen und Verantwortlichkeiten klar festlegt? 
  • Sind Richtlinien und Anweisungen zum Datenschutz vorhanden, die die gesetzlichen und unternehmensinternen Anforderungen berücksichtigen? 
  • Ist ein Prozess implementiert, wie das Verzeichnis der Verarbeitungstätigkeiten zu erstellen und in welchen Abständen es zu überprüfen ist? 
  • Gibt es ein schriftlich dokumentiertes und geeignetes Löschkonzept und ist es implementiert? Existiert eine übergreifende Richtlinie zur Löschung und Sperrung personenbezogener Daten? 

Wurden bei der Erstellung der anwendungsbezogenen Löschkonzepte die IT-Abteilung und die Fachbereiche eingebunden?