Die Aufregung war groß, als die DSGVO im Mai dieses Jahres zur Anwendung kam. Auch Sie bekamen sicherlich Mail um Mail, in denen Unternehmen noch rasch über die neuen Datenschutzbestimmungen informierten. Diese Mail-Flut war nur der sichtbarste Teil der gestiegenen Anforderungen, und sie hatte ihren guten Grund: Mit der DSGVO und dem Bundesdatenschutzgesetz (BDSG) drohen Unternehmen aller Größen und Branchen erhebliche Sanktionen.
Schlimmstenfalls können Bußgelder von bis zu vier Prozent des weltweit erzielten Konzernumsatzes des Vorjahres erhoben werden. Angesichts dieses scharfen Schwerts ist es unerlässlich, die Einhaltung von DSGVO und BDSG sicherzustellen.
Das Datenschutz-Managementsystem als Basis der DSGVO-Compliance
Diesbezüglich müssen Unternehmen zahlreiche Prozesse und Maßnahmen konzipieren und implementieren. Diese sind in der Aufbau- und Ablauforganisation zu verankern. Unternehmen müssen nachweisen können, dass sie die in Art. 5 Abs. 1 DSGVO genannten Datenschutzgrundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit) einhalten. Man spricht von der Rechenschaftspflicht des Verantwortlichen, also des Unternehmens, vertreten durch die Geschäftsleitung.
„Die sich hieraus ergebenden Anforderungen an Regelprozesse, Transparenz und Dokumentation erfordern die Einrichtung eines Datenschutz-Managementsystems (DSMS)“, erklärt Barbara Scheben, Head of Data Protection Compliance bei KPMG.
Angemessenheit und Wirksamkeit des DSMS sicherstellen
Zum Nachweis der Angemessenheit und Wirksamkeit des DSMS hat das Institut der Wirtschaftsprüfer (IDW) einen neuen Prüfungshinweis, IDW PH 9.860.1 „Prüfung der Grundsätze, Verfahren und Maßnahmen nach EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz“, veröffentlicht. Dieser Prüfungshinweis beinhalte Beispiele geeigneter Grundsätze, Verfahren und Maßnahmen zur Gewährleistung der DSGVO-Compliance sowie mögliche Prüfungshandlungen, so Scheben.
Abgedeckt werden die Angemessenheits- und Wirksamkeitsprüfung mit Blick auf die Erklärung der gesetzlichen Vertreter eines Unternehmens zu den Grundsätzen, Verfahren und Maßnahmen nach der DSGVO und des BDSG sowie die direkte Angemessenheits- und Wirksamkeitsprüfung dieser Grundsätze, Verfahren und Maßnahmen.
Welchen Nutzen hat eine solche Prüfung?
Gegenstand einer Prüfung nach IDW PH 9.860.1 sind die Kriterien der aus dem Geschäftsmodell des Unternehmens abgeleiteten Datenschutzziele, der Datenschutzkultur, seine Aufbau- und Ablauforganisation, das Rahmenregelwerk nebst Risikoanalysen, Schulungs- und Sensibilisierungsmaßnahmen sowie Maßnahmen zur Überwachung und Verbesserung des Systems.
Hierdurch erhalten Unternehmen ein belastbares Urteil zur Angemessenheit und Wirksamkeit ihres DSMS und Transparenz über dessen Umsetzungsgrad. Darüber hinaus werden eventuelle Handlungsbedarfe identifiziert und adressiert.
„Dies sind entscheidende Aspekte der von der DSGVO postulierten Rechenschaftspflicht. Zudem ist das Unternehmen auf Basis der Prüfung gegenüber Aufsichtsbehörden, Dienstleistern, Betroffenen, Aufsichtsgremien und sonstigen Stakeholdern stets umfassend nachweisfähig“, sagt Scheben und ergänzt: „Nicht zuletzt fördert ein funktionierendes DSMS das Vertrauen in das Unternehmen und gibt wertvolle Einblicke in die rechtmäßige Verwendung der gespeicherten Daten im Rahmen der Digitalisierung – ein nicht zu unterschätzender Vorteil.“