Artikel

Internal Audit – Insights

Nr 4 – Datenschutz

Sind Sie bereit für die EU-Datenschutzgrundverordnung? Am 25. Mai 2018 tritt die neue Regelung in allen EU-Mitgliedsstaaten in Kraft. Ziel der Neuerung ist es, die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der EU zu vereinheitlichen.

Wer ist von der EU-DSGVO betroffen?
Betroffen sind alle Unternehmen, die personenbezogene Daten im Rahmen der Tätigkeiten einer Niederlassung in der EU verarbeiten (dies gilt auch, wenn die Verarbeitung räumlich nicht in der EU erfolgt). Unternehmen mit Sitz außerhalb Europas müssen ebenfalls die DSGVO befolgen, wenn sie personenbezogene Daten von EU-Bürgern verarbeiten. Eingrenzungen in Bezug auf Unternehmensbranche oder –größe gibt es nicht.

Warum ist Datenschutz ein Thema der Internen Revision?
Eine zentrale Anforderung der neuen EU-DSGVO ist die Implementierung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen in Bezug auf Datenschutz (Artikel 32 der EU-DSGVO). Die Prüfung dieses Verfahrens durch eine prozessunabhängige Stelle, wie bspw. durch die Interne Revision, ist empfehlenswert.

Unsere Empfehlungen:
Nun heißt es, die kommenden 11 Monate bis zur Anwendbarkeit der EU-DSGVO effizient zu nutzen. Durch strukturierte Analysen können Prozesse systematisch und im Hinblick auf die jeweiligen Anforderungen überprüft, angepasst und wenn nötig zeitnah neu eingeführt werden. Die Aufsichtsbehörden in den EU-Staaten (in Österreich ist dies die Datenschutzbehörde) bereiten sich aktuell für den Zeitpunkt ab 25. Mai 2018 vor. Machen Sie das auch! Der erhöhte Bußgeldrahmen von bis zu 20 Mio. € oder bis zu 4% des gesamten, weltweiten Jahresumsatzes eines Unternehmens verstärkt den Druck auch aus Sicht des Risikomanagements.

Folgende Aspekte der EU-DSGVO sind von zentraler Bedeutung:

1. Informationspflichten
Allen Betroffenen – beispielsweise Kunden, Werbeempfänger, Mitarbeiter, Bewerber – müssen umfangreiche Auskünfte über die Herkunft, die Art und die mögliche Weitergabe ihrer Daten an Dritte gegeben werden.

2. Privacy by Design & Privacy by Default
Datenschutzanforderungen müssen bereits bei der Entwicklung von Produkten und Dienstleistungen nachweisbar berücksichtigt werden. Außerdem sind die Standardeinstellungen der Systeme stets so zu wählen, dass die geringstmögliche Datenmenge erfasst wird und diese als datenschutzfreundlich zu verstehen sind.

3. Privacy Impact Assessment
Alle Datenverarbeitungen mit erhöhtem Risiko müssen vorab einer formellen und dokumentierten Abwägung von Zweck, Notwendigkeit, Risiken und Verhältnismäßigkeit unterzogen werden. Das Ergebnis des Assessments kann eine zwingende Konsultation der Datenschutzbehörde zur Folge haben.

4. Benachrichtigung von Datenschutzvorfällen
Sollte es beim Verarbeiter zu einem Datenschutzvorfall kommen, so ist dieser innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Wenn der Vorfall ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen mit sich bringt, so ist dieser auch an den Betroffenen zu melden. Die Meldung hat neben einer Beschreibung des Vorfalls auch voraussichtliche Folgen und Maßnahmen zur Behebung bzw. Abmilderung zu beinhalten.

5. Dokumentationspflicht
Alle Verarbeiter sind verpflichtet, die Einhaltung der Bestimmungen zu dokumentieren und auf Verlangen der Aufsicht vorzulegen.

Unternehmen sollten sich rechtzeitig und strukturiert mit dem Thema befassen, damit eine ressourcenschonende Anpassung möglich ist. Eine begleitende Prüfung oder abschließende Evaluierung durch die Interne Revision sollte jedenfalls vorgesehen sein – wir unterstützen Sie gerne.

War der Artikel hilfreich?