Der Praktische Ratschlag „2130.A1-2 Beurteilung des Datenschutzkonzeptes der Organisation“ (2130.A1-2 Evaluating an Organization’s Privacy Framework) unterstützt die Interne Revision bei der Anwendung des Standards „2130 Kontrollen“ (2130 Control), der zu den Ausführungsstandards der Internationalen Standards für die berufliche Praxis der Internen Revision gehört.

Das Versäumnis, personenbezogene Daten durch Kontrollen ausreichend zu schätzen, kann wesentliche Konsequenzen wie z.B. Haftungsrisiken oder Vertrauensverlust haben.

Die Definition von Datenschutz ist vielfältig. Datenschutzrisiken beinhalten die persönliche Unversehrtheit (physisch und psychisch), den Lebensraum (Freiheit von Überwachung), die Kommunikation (Abhörfreiheit) und den Schutz von Informationen (Erhebung, Nutzung und Offenlegung personenbezogener Informationen durch andere). Nach dem Praktischen Ratschlag 2130.A1-2 sind personenbezogene Informationen solche Informationen, die direkt oder unter Zuhilfenahme anderer verbundener Informationen einem bestimmbaren Individuum zuordnen sind.

Das Vorhalten wirksamer Kontrollen zum Schutz personenbezogener Informationen (z.B. wirksames Datenschutzkonzept) ist ein wesentliches Element von Führung, Risikomanagement und Kontrollprozessen und liegt im Verantwortungsbereich der Unternehmensführung. Die Interne Revision kann zur Wirksamkeit dieser Kontrollen beitragen und identifiziert die Art und die Angemessenheit der gesammelten Informationen. Hierfür sind Kenntnisse und Qualifikationen zur Beurteilung der Risiken und Kontrollen des Datenschutzsystems erforderlich. Zur Beurteilung von Risiken und Kontrollen sind Kenntnisse und Qualifikationen notwendig, da mehrere Aspekte berücksichtigt werden müssen:

• Gesetze und Vorschriften zum Schutz der Privatsphäre
• Zusammenarbeit mit der internen Rechtsabteilung und IT-Spezialisten
• Reifegrad der angewandten Datenschutzpraktiken

Für den vollständigen Text des Praktischen Ratschlags „2130.A1-2 Beurteilung des Datenschutzkonzeptes der Organisation“ (2130.A1-2 Evaluating the Organization’s Privacy Framework) sowie dem zugehörigen Standard „2130 Kontrollen“ (2130 Control) vgl. die Praktischen Ratschläge sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2011, Altamonte Springs, Florida, USA
• Deutsches Institut für Interne Revision (DIIR), Frankfurt am Main, Institut für Interne Revision Österreich (IIA Austria), Wien und Schweizerischer Verband für Interne Revision (IIA Switzerland), Zürich (Hrsg.): Internationale Standards und Praktische Ratschläge für die berufliche Praxis der Internen Revision 2011