Ihr Warenkorb ist leer
Sie sind Gast
DIIR
INTERNE REVISIONdigital Partner
INTERNE REVISIONdigital Partner
Nachgefragt bei: Ralf Herold
18.09.2018
Herold: „Beschäftigtendatenschutz hat traditionell eine besondere Sensitivität und Bedeutung”
ESV-Redaktion INTERNE REVISIONdigital
Fortsetzung des Interviews. Den ersten Teil lesen Sie auf ESV.info.
Welche Rolle spielen personenbezogene Daten auch bspw. von Mitarbeitern?
Ralf Herold: Das Wesen und Schutzziel der DSGVO ist genau das: Schutz personenbezogener Daten bzw. die dispositive Hoheit des Datensubjektes über seine Daten als Ausfluss des Persönlichkeitsrechts. Der Leitsatz dabei ist: Jede Verarbeitung personenbezogener Daten bedarf zuvor immer einer legitimen rechtlichen Basis. Die DSGVO sieht bezüglich des einzuhaltenden Schutzniveaus vergleichbare Regeln, wie die im Bundesdatenschutzgesetz - BDSG alt - ausgeführten, vor. Beispiel: andere gesetzliche Grundlagen, Betriebsvereinbarungen oder Einwilligungserklärung.
Insoweit ergeben sich materiell zunächst keine wirklichen Veränderungen, vorausgesetzt, die erweiterten Informations-, Auskunfts- und Dokumentationspflichten werden sachlich angemessen erfüllt.
Gibt es insoweit Konsens in der EU?
Ralf Herold: In der Entstehungsgeschichte der DSGVO hat sich herauskristallisiert, dass insbesondere für Deutschland das Thema Beschäftigtendatenschutz traditionell eine besondere Sensitivität und Bedeutung besitzt. Andere EU-Mitgliedsstaaten haben zu dieser Fragestellung durchaus eine abweichende Sicht.
Es ist daher wesentlich, die Themen Datenschutz und Mitbestimmung sachlich klar voneinander abzugrenzen und deren Einhaltung im jeweiligen europäischen und/oder nationalen Kontext sicherzustellen.
Aus Sicht des Prüfers stellt sich daher immer als erstes die Frage: Was sind die jeweils relevanten Rechtsgrundlagen, auf deren Basis zu prüfen ist und eine professionelle Risikoabschätzung und „Assurance” vorzunehmen ist?
In welcher Weise betrifft die DSGVO die Innenrevisionen?
Ralf Herold: Durch das Inkrafttreten der EU-Datenschutz-Grundverordnung bekommt der Datenschutz aktuell eine nochmals erhöhte Relevanz. Das Thema hat aber für die Interne Revision seit jeher eine globale Dimension. Deutsche beziehungsweise europäische Regeln und deren Interpretation können in der Regel nicht einfach eins zu eins global adaptiert und angewandt werden. Aus Prüfersicht kommt es daher immer auf den konkreten Kontext und Einzelfall der Prüfung an. Der relevante Prüfungsrahmen wird dabei durch die jeweils gültigen lokalen, regionalen und globalen gesetzlichen Vorschriften, unternehmensinternen Regelungen und berufsständischen Standards determiniert.
Dies ist integraler Bestandteil einer risikobasierten Prüfung bezüglich Compliance mit dem jeweils relevanten Regelwerk – und dies gilt eben auch in dieser Klarheit für die DSGVO als Teil des Prüfungsuniversums der Internen Revision.
Der DIIR-Arbeitskreis Interne Revision & Datenschutz hat einen Leitfaden entwickelt, der im Internet zur Verfügung steht. Wie können Revisoren profitieren?
Ralf Herold: Der Leitfaden verbindet Wissen zum methodischen und regulatorischen Überbau mit konkreten Beispielen und Handlungsempfehlungen aus der betrieblichen Prüfungspraxis. Der Schwerpunkt liegt dabei auf dem konkreten „How-to?”, so dass Prüferkollegen bei Bedarf unmittelbaren Zugriff auf das jeweilige aktuelle Wissen zu einem bestimmen Risiko haben.
Und: Das Wissen und das Dokument leben. Aus der Prüfungspraxis gesammelte Erkenntnisse werden strukturiert über den Leitfaden der Prüfergemeinschaft zur Kenntnis und Nutzung gebracht – und vice versa hilft der Leitfaden, die jeweils aktuellen Risiken noch besser zu erkennen und in die Prüfungshandlungen angemessen einzubauen.
Was raten Sie Unternehmen und Organisationen in puncto Weiterbildung?
Ralf Herold: Beim Datenschutz sind Weiterbildung und Schulungen zu den aktuellen Entwicklungen sehr empfehlenswert, da es eine Vielzahl von Fragen und Herausforderungen in der Praxis gibt und diese Themen zum Teil höchst sensibel sind. Das DIIR bietet deshalb seit Jahren kontinuierlich neue und aktuelle Seminare zum Thema an.
Der diesjährige DIIR-Datenschutztag am 23. Oktober in Berlin bietet beispielsweise ein optimales Programm, um sich aus Sicht des Prüfers in den unterschiedlichsten Themen auf den aktuellsten Stand zu bringen. Aus erster Hand erhalten die Fach- und Führungskräfte der Revision Informationen und Praxistipps zu den neuen datenschutzrechtlichen Anforderungen.
Aber auch für den Austausch mit den Kollegen ist die Fachtagung wertvoll. Die Erfahrungen aus der Praxis und weiterführende Tipps sind äußerst hilfreich. Oft treten in den unterschiedlichsten Unternehmen die gleichen Fragen auf – und die Umsetzung kann durchaus, unternehmensspezifisch berechtigt, sehr vielfältig sein. Die Frage ist nur: Ist die Umsetzung risikoeffektiv – und wie kann die Interne Revision durch angemessene Prüfungshandlungen eine professionelle Aussage zur Effektivität und Effizienz des jeweiligen unternehmensspezifischen Datenschutz-Management-Systems leisten.
Bei dieser durchaus komplexen Frage ist es daher extrem hilfreich, auf das gebündelte und aktuelle Schwarmwissen des Berufsstandes unmittelbar zurückgreifen zu können.
(ESV/ps)
Welche Rolle spielen personenbezogene Daten auch bspw. von Mitarbeitern?
Ralf Herold: Das Wesen und Schutzziel der DSGVO ist genau das: Schutz personenbezogener Daten bzw. die dispositive Hoheit des Datensubjektes über seine Daten als Ausfluss des Persönlichkeitsrechts. Der Leitsatz dabei ist: Jede Verarbeitung personenbezogener Daten bedarf zuvor immer einer legitimen rechtlichen Basis. Die DSGVO sieht bezüglich des einzuhaltenden Schutzniveaus vergleichbare Regeln, wie die im Bundesdatenschutzgesetz - BDSG alt - ausgeführten, vor. Beispiel: andere gesetzliche Grundlagen, Betriebsvereinbarungen oder Einwilligungserklärung.
Insoweit ergeben sich materiell zunächst keine wirklichen Veränderungen, vorausgesetzt, die erweiterten Informations-, Auskunfts- und Dokumentationspflichten werden sachlich angemessen erfüllt.
Gibt es insoweit Konsens in der EU?
Ralf Herold: In der Entstehungsgeschichte der DSGVO hat sich herauskristallisiert, dass insbesondere für Deutschland das Thema Beschäftigtendatenschutz traditionell eine besondere Sensitivität und Bedeutung besitzt. Andere EU-Mitgliedsstaaten haben zu dieser Fragestellung durchaus eine abweichende Sicht.
Es ist daher wesentlich, die Themen Datenschutz und Mitbestimmung sachlich klar voneinander abzugrenzen und deren Einhaltung im jeweiligen europäischen und/oder nationalen Kontext sicherzustellen.
Aus Sicht des Prüfers stellt sich daher immer als erstes die Frage: Was sind die jeweils relevanten Rechtsgrundlagen, auf deren Basis zu prüfen ist und eine professionelle Risikoabschätzung und „Assurance” vorzunehmen ist?
In welcher Weise betrifft die DSGVO die Innenrevisionen?
Ralf Herold: Durch das Inkrafttreten der EU-Datenschutz-Grundverordnung bekommt der Datenschutz aktuell eine nochmals erhöhte Relevanz. Das Thema hat aber für die Interne Revision seit jeher eine globale Dimension. Deutsche beziehungsweise europäische Regeln und deren Interpretation können in der Regel nicht einfach eins zu eins global adaptiert und angewandt werden. Aus Prüfersicht kommt es daher immer auf den konkreten Kontext und Einzelfall der Prüfung an. Der relevante Prüfungsrahmen wird dabei durch die jeweils gültigen lokalen, regionalen und globalen gesetzlichen Vorschriften, unternehmensinternen Regelungen und berufsständischen Standards determiniert.
Dies ist integraler Bestandteil einer risikobasierten Prüfung bezüglich Compliance mit dem jeweils relevanten Regelwerk – und dies gilt eben auch in dieser Klarheit für die DSGVO als Teil des Prüfungsuniversums der Internen Revision.
| DIIR-Datenschutztag |
| Der Datenschutz wird als Thema für die Interne Revision immer relevanter und gleichzeitig auch komplexer. Das DIIR veranstaltet deshalb zur Information und zum Austausch zwischen den Fach- und Führungskräften am 23. Oktober 2018 erneut einen Datenschutztag in Berlin. Die wichtigsten Themen sind die Auswirkungen des neuen Datenschutzrechts auf die Interne Revision. Dabei wird es insbesondere um die Anwendung der Datenschutzgrundverordnung (DSGVO) in der Praxis gehen und welche Relevanz der Datenschutz für die IT im eigenen Unternehmen besitzt. Zudem informieren die Experten die Teilnehmer über die Umsetzung der DSGVO. Das ausführliche Programm zum DIIR-Datenschutztag und die Anmeldungsunterlagen finden Sie hier. |
Der DIIR-Arbeitskreis Interne Revision & Datenschutz hat einen Leitfaden entwickelt, der im Internet zur Verfügung steht. Wie können Revisoren profitieren?
Ralf Herold: Der Leitfaden verbindet Wissen zum methodischen und regulatorischen Überbau mit konkreten Beispielen und Handlungsempfehlungen aus der betrieblichen Prüfungspraxis. Der Schwerpunkt liegt dabei auf dem konkreten „How-to?”, so dass Prüferkollegen bei Bedarf unmittelbaren Zugriff auf das jeweilige aktuelle Wissen zu einem bestimmen Risiko haben.
Und: Das Wissen und das Dokument leben. Aus der Prüfungspraxis gesammelte Erkenntnisse werden strukturiert über den Leitfaden der Prüfergemeinschaft zur Kenntnis und Nutzung gebracht – und vice versa hilft der Leitfaden, die jeweils aktuellen Risiken noch besser zu erkennen und in die Prüfungshandlungen angemessen einzubauen.
Was raten Sie Unternehmen und Organisationen in puncto Weiterbildung?
Ralf Herold: Beim Datenschutz sind Weiterbildung und Schulungen zu den aktuellen Entwicklungen sehr empfehlenswert, da es eine Vielzahl von Fragen und Herausforderungen in der Praxis gibt und diese Themen zum Teil höchst sensibel sind. Das DIIR bietet deshalb seit Jahren kontinuierlich neue und aktuelle Seminare zum Thema an.
Der diesjährige DIIR-Datenschutztag am 23. Oktober in Berlin bietet beispielsweise ein optimales Programm, um sich aus Sicht des Prüfers in den unterschiedlichsten Themen auf den aktuellsten Stand zu bringen. Aus erster Hand erhalten die Fach- und Führungskräfte der Revision Informationen und Praxistipps zu den neuen datenschutzrechtlichen Anforderungen.
Aber auch für den Austausch mit den Kollegen ist die Fachtagung wertvoll. Die Erfahrungen aus der Praxis und weiterführende Tipps sind äußerst hilfreich. Oft treten in den unterschiedlichsten Unternehmen die gleichen Fragen auf – und die Umsetzung kann durchaus, unternehmensspezifisch berechtigt, sehr vielfältig sein. Die Frage ist nur: Ist die Umsetzung risikoeffektiv – und wie kann die Interne Revision durch angemessene Prüfungshandlungen eine professionelle Aussage zur Effektivität und Effizienz des jeweiligen unternehmensspezifischen Datenschutz-Management-Systems leisten.
Bei dieser durchaus komplexen Frage ist es daher extrem hilfreich, auf das gebündelte und aktuelle Schwarmwissen des Berufsstandes unmittelbar zurückgreifen zu können.
 |
Die Interne Revision Erscheinungstermin: September 2018 Autor: Prof. Dr. Marc EulerichIm Spannungsfeld von wirtschaftlichen Chancen und Risiken spielt die Arbeit der Internen Revision eine zentrale Rolle bei der Verbesserung und Absicherung unternehmerischer Aktivitäten und Geschäftsprozesse. |
(ESV/ps)