INTERNE REVISIONdigital
  • Kontakt
  • |
  • Impressum
  • |
  • Datenschutz
  • |
  • AGB
  • |
  • Hilfe
Hilfe zur Suche
Ihr Warenkorb ist leer
Login | Registrieren
Sie sind Gast
  • Home
    • Nachrichten
    • Neu auf
    • Top Themen
  • Inhalt
    • eJournal
    • eBooks
    • Mediathek
    • Lexikon
    • Partner Know how
    • Standards/Methoden
  • Service
    • Infodienst
    • Kontakt
    • Stellen
    • Veranstaltungen
  • Bestellen
  • Über
    • Kurzporträt
    • Mediadaten
    • Benutzerhinweise
  • eJournal
  • eBooks
  • Mediathek
  • Lexikon
  • Partner Know how
  • Standards/Methoden
Lexikon

DIIR

Logo DIIR

INTERNE REVISIONdigital Partner

Logo RSM

INTERNE REVISIONdigital Partner

zum Puhnani Podcast

INTERNE REVISIONdigital

ist ein Angebot des

Erich Schmidt Verlag GmbH & Co. KG

Social Media

Twitter Facebook

Am häufigsten gesucht

IPPF Framework Standards marisk Risikotragfähigkeit IPPF Banken Management control öffentliche Verwaltung Revision Grundlagen der Internen Revision Interne Geschäftsordnung Interne Revision Checkliste Arbeitsanweisungen
  • Schreiben Sie uns!
  • Seite empfehlen
  • Druckansicht

Praktischer Leitfaden – Prüfung von Datenschutzrisiken (IPPF Practice Guide (PG))

  • Dr. Oliver Bungartz

Der Praktische Leitfaden „Auditing Privacy Risks” (Prüfung von Datenschutzrisiken) gehört zu den dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.

Für den Begriff des Datenschutzes gibt es viele verschiedene Definitionen, wobei sich der Begriff im heutigen Geschäftsumfeld auf die folgenden Möglichkeiten eines Individuums bezieht:

  • Kenntnis über den Umgang mit persönlichen Daten
  • Kontrolle über die gesammelten Informationen
  • Kontrolle des Zwecks der Nutzung von gesammelten Informationen
  • Kontrolle des Zugriffs auf Informationen
  • Ergänzung, Änderung oder Löschung der Informationen

Persönliche Informationen sind Daten, mit denen ein Individuum direkt oder indirekt identifiziert werden kann. Einige persönliche Informationen sind als sensibel zu betrachten (z.B. gesundheitliche und finanzielle Daten sowie Daten über Rasse oder politische Ansichten).

Folgende Risiken können sich bei Organisationen ergeben, bei denen Mängel im Datenschutz vorhanden sind:

  • Schädigung der Unternehmensreputation und des Markennamens
  • Finanzielle Verluste oder der Verlust von Investoren
  • Haftung und Sanktionen
  • Misstrauen von Kunden, Bürgern oder Angestellten
  • Verlust von Kunden und Umsatzrückgänge
  • Schädigung der Geschäftsbeziehungen

Eine Organisation sollte ein effektives Datenschutzprogramm entwickeln, um solche Risiken zu minimieren; dieses könnten z.B. die folgenden Punkte enthalten:

  • Datenschutz-Grundsätze und Rechenschaftspflichten
  • Festlegung von Rollen und Verantwortlichkeiten
  • Datenschutzerklärungen
  • Schriftliche Richtlinien und Prozesse für die Sammlung, Nutzung Veröffentlichung, Aufbewahrung und Löschung persönlicher Informationen
  • Informationssicherheitsmaßnahmen
  • Aus- und Fortbildung von Mitarbeiter
  • Risikobeurteilung zum Datenschutz und Reifegradmodel
  • Überwachung durch Kontrolle und Prüfung
  • Einhaltung von Datenschutzgesetzen und Richtlinien
  • Inventarisierung der Nutzungsgebiete und Arten von persönlichen Informationen
  • Klassifikation von Daten
  • Pläne zum Umgang mit Datenschutzrisiken für neue oder geänderte Geschäftsprozesse
  • Überwachung von externen Dienstleistern
  • Notfallpläne für den Fall der Verletzung persönlicher Informationen
  • Pläne zur Durchführung von Korrekturmaßnahmen

Im Praktischen Leitfaden werden zudem verschiedene Rahmenwerke und Richtlinien mit Bezug zum Datenschutz erläutert. Die einzelne Organisation muss jedoch selber entscheiden, welches der Rahmenwerke und Richtlinien angemessen ist. Es ist nicht die Intention des Praktischen Leitfadens, bei der Entscheidung für ein spezielles Rahmenwerk zu unterstützen.

Bei der Beurteilung des Rahmenwerks und der Richtlinien mit Bezug zum Datenschutz sollte die Interne Revision z.B. folgende Aspekte berücksichtigen:

  • Zusammenarbeit mit der Rechtsabteilung, um sich den Einfluss von Gesetzen und Richtlinien erläutert zu lassen
  • Zusammenarbeit mit der für den Datenschutz verantwortliche Person, um einen Überblick über die internen Regelungen zum Datenschutz zu erhalten und den Reifegrad der Kontrollen zum Datenschutz einschätzen zu können
  • Zusammenarbeit mit IT-Spezialisten und Prozessverantwortliche, um Sicherheitsanweisungen und Prozesse kennenzulernen sowie Informationen über das System zu erhalten

Der Praktische Leitfaden gibt Beispiele zu Datenschutz-Thematiken in verschiedenen Sektoren, wie z.B.:

  • Regierung und Bürger
  • Gemeinschaftsleben und soziale Dienste
  • Finanzdienstleistungen
  • Marketing und Einzelhandel
  • Kommunikation und soziale Netzwerke
  • Versorgungsunternehmen, Transport und Reise
  • Gesundheitswesen und Forschung
  • Internationale Geschäfte

Typische Bereiche die bei einer Datenschutz-Prüfung berücksichtigt werden können, sind u.a. die folgenden:

  • Führungs- und Überwachungsstruktur/Aufsicht durch das Management
  • Richtlinien und Kontrollen mit Bezug zum Datenschutz
  • Anwendbare Datenschutzhinweise
  • Arten und Angemessenheit von gesammelten Informationen
  • Systeme, die persönliche Informationen verarbeiten, speichern und übertragen
  • Methoden der Datensammlung
  • Methoden und Verfahren zur Einwilligung
  • Nutzung persönlicher Informationen zur Sicherstellung der Regeleinhaltung
  • Sicherheitsverfahren, Prozesse und technische Kontrollen zum Schutz persönlicher Daten
  • Aufbewahrungs- und Löschungsfristen für persönliche Informationen

Daten sollten nach ihrer Schutzwürdigkeit in verschiedenen Klassen unterteilt sein. Dies hilft dabei, besonders wichtige Geschäftsdaten zu identifizieren. Der Interne Revisor sollte die verschiedenen Klassen und das Rahmenwerk, welches zur Klassifizierung bestimmt wird, überprüfen.

Folgende Fragen können z.B. bei der Durchführung eine Prüfung von Datenschutzrisiken behilflich sein:

  • Hat die Organisation eine umfassende Richtlinie zur Klassifizierung von Daten?
  • Sind persönliche Daten klassifiziert und ist die Klassifizierung zum Schutz persönlicher Daten angemessen?
  • Ist der Datenbesitz zugewiesen und wurden angemessene Kontrollen eingeführt?
  • Welche Strafen gibt es für Datenmissbrauch?
  • Wie viel Schaden kann einem Individuum durch Weitergabe von Informationen an einen unberechtigten Dritten zugefügt werden?
  • In welchem Umfang würde eine Verletzung des Datenschutzes veröffentlicht werden?
  • Wer müsste informiert werden?
  • Wie teuer wäre es, Abhilfe zu schaffen?
  • Welchen Einfluss hätte eine Verletzung des Datenschutzes auf Kunde, Bürger oder die Investoren?

Bei der Planung der Prüfung von Datenschutzrisiken sollte insb. auf die folgenden vier Risikoarten Wert gelegt werden:

  • Rechtliche und organisatorische Risiken
  • Infrastrukturrisiken
  • Anwendungsrisiken
  • Geschäftsprozessrisiken

Nach der Risikobeurteilung sollten generelle Sicherheits- und Anwendungskontrollen durchgeführt werden wobei Tests denkbar sind, die das normale Prüfungsspektrum übersteigen und besonderes Fachwissen benötigen wie z.B.:

  • Schwachstellenanalyse
  • Penetrationstests
  • Physische Kontrollen
  • „Social Engineering“ Tests

Bei der Kommunikation der Prüfungsergebnisse ist darauf zu achten, dass beinahe alle Abteilungen in das Datenschutzprogramm eingebunden sind, so dass die Berichte in einer für alle Verantwortlichen verständlichen Sprache verfasst sein sollten. Zudem sollte sowohl der Prüfungsplan als auch der finale Bericht von der Rechtsabteilung überprüft worden sein, damit die Regeleinhaltung gewährleistet ist.

Der Praktische Leitfaden „Auditing Privacy Risks” (Prüfung von Datenschutzrisiken) ersetzt den bisherigen Praktische Leitfaden „GTAG 5: Managing and Auditing Privacy Risks“ (Steuerung und Prüfung von Datenschutzrisiken). Für den vollständigen Text des Praktischen Leitfadens zur Prüfung von Datenschutzrisiken vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

  • The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2013, Altamonte Springs, Florida, USA
  • IPPF – Practice Guide Auditing Privacy Risks, 2nd Edition, July 2012, Altamonte Springs, Florida, USA

  • Kontakt
  • |
  • Impressum
  • |
  • Datenschutz
  • |
  • Cookie-Einstellung
  • |
  • AGB
  • |
  • Hilfe
© 2022 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        CONSULTINGBAY        Zeitschrift Interne Revision

Wir verwenden Cookies.

Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies. Das sind zum einen notwendige für den technischen Betrieb. Zum anderen Cookies zur komfortableren Benutzerführung, zur verbesserten Ansprache unserer Besucherinnen und Besucher oder für anonymisierte statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Notwendige | Komfort | Statistik


Zur Aktivierung dieser Kategorie werden auch die Kategorien Statistik und Komfort aktiviert.
Cookie-Einstellungen individuell konfigurieren | Nur notwendige Cookies und eingeschränkte Funktionalität auswählen und annehmen

Cookie-Einstellungen individuell konfigurieren

Bitte wählen Sie aus folgenden Optionen:


unterstützen uns bei der Analyse und Optimierung unserer Verlagsangebote. Sie werden anonymisiert aktiviert und geschrieben, beispielsweise durch unseren Anzeigenserver oder AWStats. Externe Analysetools wie Google-Analytics speichern Ihre Daten in den USA. Der Europäische Gerichtshof hat entschieden, dass die USA kein ausreichendes Datenschutzniveau besitzen. Ein behördlicher Zugriff auf Ihre Daten kann somit nicht ausgeschlossen werden. Es besteht kein sogenannter Angemessenheitsbeschluss der EU-Kommission und auch geeignete Garantien, etwa eine gerichtliche Überprüfung der vorgenannten Maßnahmen, sind nicht gegeben.

umfassen bei uns z.B. die reibungslose Einbindung von Session IDs oder externen Service-Anwendungen für unsere Besucherinnen und Besucher (z.B. Maps, Social Media, Video-Player, Stellenmarkt),

stellen sicher, dass Ihre Sitzung technisch (z.B. über den ESV-Sitzungs-Cookie) und rechtlich einwandfrei (z.B. durch die Speicherung dieser Ihrer Cookie-Konfiguration) abläuft. Ihr Einverständnis wird schon vorausgesetzt.

zurück