Der Praktische Leitfaden „Auditing Privacy Risks” (Prüfung von Datenschutzrisiken) gehört zu den dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.
Für den Begriff des Datenschutzes gibt es viele verschiedene Definitionen, wobei sich der Begriff im heutigen Geschäftsumfeld auf die folgenden Möglichkeiten eines Individuums bezieht:
Persönliche Informationen sind Daten, mit denen ein Individuum direkt oder indirekt identifiziert werden kann. Einige persönliche Informationen sind als sensibel zu betrachten (z.B. gesundheitliche und finanzielle Daten sowie Daten über Rasse oder politische Ansichten).
Folgende Risiken können sich bei Organisationen ergeben, bei denen Mängel im Datenschutz vorhanden sind:
Eine Organisation sollte ein effektives Datenschutzprogramm entwickeln, um solche Risiken zu minimieren; dieses könnten z.B. die folgenden Punkte enthalten:
Im Praktischen Leitfaden werden zudem verschiedene Rahmenwerke und Richtlinien mit Bezug zum Datenschutz erläutert. Die einzelne Organisation muss jedoch selber entscheiden, welches der Rahmenwerke und Richtlinien angemessen ist. Es ist nicht die Intention des Praktischen Leitfadens, bei der Entscheidung für ein spezielles Rahmenwerk zu unterstützen.
Bei der Beurteilung des Rahmenwerks und der Richtlinien mit Bezug zum Datenschutz sollte die Interne Revision z.B. folgende Aspekte berücksichtigen:
Der Praktische Leitfaden gibt Beispiele zu Datenschutz-Thematiken in verschiedenen Sektoren, wie z.B.:
Typische Bereiche die bei einer Datenschutz-Prüfung berücksichtigt werden können, sind u.a. die folgenden:
Daten sollten nach ihrer Schutzwürdigkeit in verschiedenen Klassen unterteilt sein. Dies hilft dabei, besonders wichtige Geschäftsdaten zu identifizieren. Der Interne Revisor sollte die verschiedenen Klassen und das Rahmenwerk, welches zur Klassifizierung bestimmt wird, überprüfen.
Folgende Fragen können z.B. bei der Durchführung eine Prüfung von Datenschutzrisiken behilflich sein:
Bei der Planung der Prüfung von Datenschutzrisiken sollte insb. auf die folgenden vier Risikoarten Wert gelegt werden:
Nach der Risikobeurteilung sollten generelle Sicherheits- und Anwendungskontrollen durchgeführt werden wobei Tests denkbar sind, die das normale Prüfungsspektrum übersteigen und besonderes Fachwissen benötigen wie z.B.:
Bei der Kommunikation der Prüfungsergebnisse ist darauf zu achten, dass beinahe alle Abteilungen in das Datenschutzprogramm eingebunden sind, so dass die Berichte in einer für alle Verantwortlichen verständlichen Sprache verfasst sein sollten. Zudem sollte sowohl der Prüfungsplan als auch der finale Bericht von der Rechtsabteilung überprüft worden sein, damit die Regeleinhaltung gewährleistet ist.
Der Praktische Leitfaden „Auditing Privacy Risks” (Prüfung von Datenschutzrisiken) ersetzt den bisherigen Praktische Leitfaden „GTAG 5: Managing and Auditing Privacy Risks“ (Steuerung und Prüfung von Datenschutzrisiken). Für den vollständigen Text des Praktischen Leitfadens zur Prüfung von Datenschutzrisiken vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: