Probleme beim Einloggen

Informationsforum Bundesdatenschutzgesetz

Die Gruppe bietet eine Plattform für Diskussionen und Beiträge rund um den Datenschutz, insbesondere der DSGVO und des BDSG_neu

Nur für XING Mitglieder sichtbar Frage: Welches DSGVO Audits sind üblich bzw. parallel notwendig?
Dieser Inhalt ist nur für eingeloggte Mitglieder sichtbar.
RA Michael Seidlitz
+10 weitere Kommentare
Letzter Kommentar:
Volker Caumanns
Grundlage ist meines Wissen (bin kein Wirtschaftsprüfer) § 249 HGB, nach dem Rückstellungen für ungewisse Verbindlichkeiten zu bilden sind. Lücken in der Umsetzung der datenschutzrechtlichen Anforderungen können ein absehbares Bußgeldrisiko darstellen, dass mit der DS-GVO durch den darin deutlich erweiterten Bußgeldrahmen nun als signifikant und damit bilanzrelevant erachtet wird. Deshalb haben die Wirtschaftsprüfer das Thema Datenschutz jetzt auf ihrer Agenda, als eines der großen Compliance-Themen. Über den IDW PS 980 wird schon lange Compliance-Management geprüft. Der ist als Prüfstandard, soweit ich das beurteilen kann, auch sehr brauchbar, ist aber eben kein Implementierungsstandard (wie etwa die ISO 19600, die jedoch bislang nur Leitlinien enthält und daher an sich nicht zertifizierbar und daher nicht besonders populär ist). Der IDW PS 980 wird auch schon seit längerem beworben, um mit ihm Datenschutzmanagement gemäß DS-GVO in Unternehmen einzuführen. Kurz, die Wirtschaftsprüfer sind da sehr rührig und stoßen mit ihren (etablierten) Prüfstandards geschäftstüchtig in die Lücke, die ihnen DAkkS, Aufsichtsbehörden, andere Standardgeber und Zertifizierungsgesellschaften großzügig (um nicht zu sagen transusig) überlassen. Das soweit als Präambel.
Ja, je nach Unternehmensgröße können 15 Tage für die Überprüfung der Datenschutz-Compliance angebracht sein, um die Dinge bis in die kapillare Endstufe zu betrachten. Das zu pauschalisieren halte ich aber für ungerechtfertigt, denn es kommt ganz darauf an, welche personenbezogenen Daten, welcher Betroffener, in welchem Umfang verarbeitet werden. Meines Erachtens muss sich ein Angebot für ein Datenschutz-Audit am Verarbeitungsverzeichnis orientieren (vorausgesetzt freilich, dass ein ordentliches vorhanden ist). Viele produzierende Unternehmen etwa, wird man sicher auch in deutlich weniger als 15 Tagen ordentlich auf Datenschutzkonformität prüfen können.
In der DS-GVO und auch im BDSG steht zu dem Thema nichts. Es gibt lediglich Vorgaben, dass technische und organisatorische Maßnahmen erforderlichenfalls zu überprüfen und zu aktualisieren sind (Art. 24 Abs. 1 DS-GVO) bzw. ein "Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit" der Datenschutzmaßnahmen eingerichtet sein muss, sofern angemessen (Art. 32 Abs. 1 lit. d), und schließlich den allgemeinen Überwachungsauftrag der Datenschutzbeauftragten (Art. 39 Abs. 1 lit. b), sofern berufen. Wie, wie oft, in welchem Umfang, in welcher Weise überprüft werden muss, ist nicht vorgeschrieben. Über die Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) ist allerdings klar vorgegeben, dass durchgängige Datenschutz-Compliance (irgendwie) nachgewiesen werden können muss. Die Wirtschaftsprüfer sind, soweit mir bekannt, hier zurzeit (leider) die einzigen, die dazu eine standardbasierte Lösung im Angebot haben.

Moderatoren

Infos zu den Moderatoren

Über die Gruppe "Informationsforum Bundesdatenschutzgesetz"

  • Gegründet: 27.01.2006
  • Mitglieder: 790
  • Sichtbarkeit: offen
  • Beiträge: 319
  • Kommentare: 141