Datenschutz-Managementsystem: Prüfung bringt Sicherheit

Wie Sie Ihre DSGVO-Compliance nachweisen.

Keyfacts

  • Unternehmen müssen nachweisen, dass sie die Datenschutzgrundsätze der EU-Datenschutz-Grundverordnung (DSGVO) einhalten
  • Die Einrichtung eines Datenschutz-Managementsystems (DSMS) ist dafür erforderlich
  • Zum Nachweis der Angemessenheit und Wirksamkeit des DSMS hat das Institut der Wirtschaftsprüfer (IDW) einen neuen Prüfungshinweis veröffentlicht
Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Die Aufregung war groß, als die DSGVO im Mai dieses Jahres zur Anwendung kam. Auch Sie bekamen sicherlich Mail um Mail, in denen Unternehmen noch rasch über die neuen Datenschutzbestimmungen informierten. Die Mail-Flut war nur der sichtbarste Teil der gestiegenen Anforderungen und sie hatte ihren guten Grund: Mit der DSGVO und dem Bundesdatenschutzgesetz (BDSG) drohen Unternehmen aller Größen und Branchen erhebliche Sanktionen.

Schlimmstenfalls können Bußgelder von bis zu vier Prozent des weltweit erzielten Konzernumsatzes des Vorjahres erhoben werden. Angesichts dieses scharfen Schwerts ist es unerlässlich, die Einhaltung von DSGVO und BDSG sicherzustellen.

Das Datenschutz-Managementsystem als Basis der DSGVO-Compliance

Diesbezüglich müssen Unternehmen, verankert in der Aufbau- und Ablauforganisation, zahlreiche Prozesse und Maßnahmen konzipieren und implementieren. Die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Datenschutzgrundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit) muss nachgewiesen werden können. Man spricht von der Rechenschaftspflicht des Verantwortlichen, also des Unternehmens vertreten durch die Geschäftsleitung.

„Die sich hieraus ergebenden Anforderungen an Regelprozesse, Transparenz und Dokumentation erfordern die Einrichtung eines Datenschutz-Managementsystems“, erklärt Barbara Scheben, Head of Data Protection Compliance, bei KPMG.

Angemessenheit und Wirksamkeit des DSMS sicherstellen

Zum Nachweis der Angemessenheit und Wirksamkeit des DSMS hat das Institut der Wirtschaftsprüfer (IDW) einen neuen Prüfungshinweis, IDW PH 9.860.1 „Prüfung der Grundsätze, Verfahren und Maßnahmen nach EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz“, veröffentlicht. Dieser beinhalte Beispiele geeigneter Grundsätze, Verfahren und Maßnahmen zur Gewährleistung der DSGVO-Compliance sowie mögliche Prüfungshandlungen, so Scheben.

Abgedeckt werden die Angemessenheits- und Wirksamkeitsprüfung mit Blick auf die Erklärung der gesetzlichen Vertreter eines Unternehmens zu den Grundsätzen, Verfahren und Maßnahmen nach der DSGVO und des BDSG sowie die direkte Angemessenheits- und Wirksamkeitsprüfung dieser Grundsätze, Verfahren und Maßnahmen.

Welchen Nutzen hat eine solche Prüfung?

Gegenstand einer Prüfung nach IDW PH 9.860.1 sind die Kriterien der aus dem Geschäftsmodell des Unternehmens abgeleiteten Datenschutzziele, der Datenschutzkultur, seine Aufbau- und Ablauforganisation, das Rahmenregelwerk nebst Risikoanalysen, Schulungs- und Sensibilisierungsmaßnahmen sowie Maßnahmen zur Überwachung und Verbesserung des Systems.

Hierdurch erhalten Unternehmen ein belastbares Urteil zur Angemessenheit und Wirksamkeit Ihres DSMS und Transparenz über dessen Umsetzungsgrad. Darüber hinaus werden eventuelle Handlungsbedarfe identifiziert und adressiert.

„Dies sind entscheidende Aspekte der von der DSGVO postulierten Rechenschaftspflicht. Zudem ist das Unternehmen auf Basis der Prüfung gegenüber Aufsichtsbehörden, Dienstleistern, Betroffenen, Aufsichtsgremien und sonstigen Stakeholdern stets umfassend nachweisfähig“, sagt Scheben und ergänzt: „Nicht zuletzt fördert ein funktionierendes DSMS das Vertrauen in das Unternehmen und gibt wertvolle Einblicke in die rechtmäßige Verwendung der gespeicherten Daten im Rahmen der Digitalisierung – ein nicht zu unterschätzender Vorteil.“

Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.