Der Praktische Leitfaden „Auditing Privacy Risks” (Prüfung von Datenschutzrisiken) gehört zu den dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.

Für den Begriff des Datenschutzes gibt es viele verschiedene Definitionen, wobei sich der Begriff im heutigen Geschäftsumfeld auf die folgenden Möglichkeiten eines Individuums bezieht:

• Kenntnis über den Umgang mit persönlichen Daten
• Kontrolle über die gesammelten Informationen
• Kontrolle des Zwecks der Nutzung von gesammelten Informationen
• Kontrolle des Zugriffs auf Informationen
• Ergänzung, Änderung oder Löschung der Informationen

Persönliche Informationen sind Daten, mit denen ein Individuum direkt oder indirekt identifiziert werden kann. Einige persönliche Informationen sind als sensibel zu betrachten (z.B. gesundheitliche und finanzielle Daten sowie Daten über Rasse oder politische Ansichten).

Folgende Risiken können sich bei Organisationen ergeben, bei denen Mängel im Datenschutz vorhanden sind:

• Schädigung der Unternehmensreputation und des Markennamens
• Finanzielle Verluste oder der Verlust von Investoren
• Haftung und Sanktionen
• Misstrauen von Kunden, Bürgern oder Angestellten
• Verlust von Kunden und Umsatzrückgänge
• Schädigung der Geschäftsbeziehungen

Eine Organisation sollte ein effektives Datenschutzprogramm entwickeln, um solche Risiken zu minimieren; dieses könnten z.B. die folgenden Punkte enthalten:

• Datenschutz-Grundsätze und Rechenschaftspflichten
• Festlegung von Rollen und Verantwortlichkeiten
• Datenschutzerklärungen
• Schriftliche Richtlinien und Prozesse für die Sammlung, Nutzung Veröffentlichung, Aufbewahrung und Löschung persönlicher Informationen
• Informationssicherheitsmaßnahmen
• Aus- und Fortbildung von Mitarbeiter
• Risikobeurteilung zum Datenschutz und Reifegradmodel
• Überwachung durch Kontrolle und Prüfung
• Einhaltung von Datenschutzgesetzen und Richtlinien
• Inventarisierung der Nutzungsgebiete und Arten von persönlichen Informationen
• Klassifikation von Daten
• Pläne zum Umgang mit Datenschutzrisiken für neue oder geänderte Geschäftsprozesse
• Überwachung von externen Dienstleistern
• Notfallpläne für den Fall der Verletzung persönlicher Informationen
• Pläne zur Durchführung von Korrekturmaßnahmen

Im Praktischen Leitfaden werden zudem verschiedene Rahmenwerke und Richtlinien mit Bezug zum Datenschutz erläutert. Die einzelne Organisation muss jedoch selber entscheiden, welches der Rahmenwerke und Richtlinien angemessen ist. Es ist nicht die Intention des Praktischen Leitfadens, bei der Entscheidung für ein spezielles Rahmenwerk zu unterstützen.

Bei der Beurteilung des Rahmenwerks und der Richtlinien mit Bezug zum Datenschutz sollte die Interne Revision z.B. folgende Aspekte berücksichtigen:

• Zusammenarbeit mit der Rechtsabteilung, um sich den Einfluss von Gesetzen und Richtlinien erläutert zu lassen
• Zusammenarbeit mit der für den Datenschutz verantwortliche Person, um einen Überblick über die internen Regelungen zum Datenschutz zu erhalten und den Reifegrad der Kontrollen zum Datenschutz einschätzen zu können
• Zusammenarbeit mit IT-Spezialisten und Prozessverantwortliche, um Sicherheitsanweisungen und Prozesse kennenzulernen sowie Informationen über das System zu erhalten

Der Praktische Leitfaden gibt Beispiele zu Datenschutz-Thematiken in verschiedenen Sektoren, wie z.B.:

• Regierung und Bürger
• Gemeinschaftsleben und soziale Dienste
• Finanzdienstleistungen
• Marketing und Einzelhandel
• Kommunikation und soziale Netzwerke
• Versorgungsunternehmen, Transport und Reise
• Gesundheitswesen und Forschung
• Internationale Geschäfte

Typische Bereiche die bei einer Datenschutz-Prüfung berücksichtigt werden können, sind u.a. die folgenden:

• Führungs- und Überwachungsstruktur/Aufsicht durch das Management
• Richtlinien und Kontrollen mit Bezug zum Datenschutz
• Anwendbare Datenschutzhinweise
• Arten und Angemessenheit von gesammelten Informationen
• Systeme, die persönliche Informationen verarbeiten, speichern und übertragen
• Methoden der Datensammlung
• Methoden und Verfahren zur Einwilligung
• Nutzung persönlicher Informationen zur Sicherstellung der Regeleinhaltung
• Sicherheitsverfahren, Prozesse und technische Kontrollen zum Schutz persönlicher Daten
• Aufbewahrungs- und Löschungsfristen für persönliche Informationen

Daten sollten nach ihrer Schutzwürdigkeit in verschiedenen Klassen unterteilt sein. Dies hilft dabei, besonders wichtige Geschäftsdaten zu identifizieren. Der Interne Revisor sollte die verschiedenen Klassen und das Rahmenwerk, welches zur Klassifizierung bestimmt wird, überprüfen.

Folgende Fragen können z.B. bei der Durchführung eine Prüfung von Datenschutzrisiken behilflich sein:

• Hat die Organisation eine umfassende Richtlinie zur Klassifizierung von Daten?
• Sind persönliche Daten klassifiziert und ist die Klassifizierung zum Schutz persönlicher Daten angemessen?
• Ist der Datenbesitz zugewiesen und wurden angemessene Kontrollen eingeführt?
• Welche Strafen gibt es für Datenmissbrauch?
• Wie viel Schaden kann einem Individuum durch Weitergabe von Informationen an einen unberechtigten Dritten zugefügt werden?
• In welchem Umfang würde eine Verletzung des Datenschutzes veröffentlicht werden?
• Wer müsste informiert werden?
• Wie teuer wäre es, Abhilfe zu schaffen?
• Welchen Einfluss hätte eine Verletzung des Datenschutzes auf Kunde, Bürger oder die Investoren?

Bei der Planung der Prüfung von Datenschutzrisiken sollte insb. auf die folgenden vier Risikoarten Wert gelegt werden:

• Rechtliche und organisatorische Risiken
• Infrastrukturrisiken
• Anwendungsrisiken
• Geschäftsprozessrisiken

Nach der Risikobeurteilung sollten generelle Sicherheits- und Anwendungskontrollen durchgeführt werden wobei Tests denkbar sind, die das normale Prüfungsspektrum übersteigen und besonderes Fachwissen benötigen wie z.B.:

• Schwachstellenanalyse
• Penetrationstests
• Physische Kontrollen
• „Social Engineering“ Tests

Bei der Kommunikation der Prüfungsergebnisse ist darauf zu achten, dass beinahe alle Abteilungen in das Datenschutzprogramm eingebunden sind, so dass die Berichte in einer für alle Verantwortlichen verständlichen Sprache verfasst sein sollten. Zudem sollte sowohl der Prüfungsplan als auch der finale Bericht von der Rechtsabteilung überprüft worden sein, damit die Regeleinhaltung gewährleistet ist.

Der Praktische Leitfaden „Auditing Privacy Risks” (Prüfung von Datenschutzrisiken) ersetzt den bisherigen Praktische Leitfaden „GTAG 5: Managing and Auditing Privacy Risks“ (Steuerung und Prüfung von Datenschutzrisiken). Für den vollständigen Text des Praktischen Leitfadens zur Prüfung von Datenschutzrisiken vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2013, Altamonte Springs, Florida, USA
• IPPF – Practice Guide Auditing Privacy Risks, 2nd Edition, July 2012, Altamonte Springs, Florida, USA