Prüfungen von Datenschutz-Managementsystemen

Attestierung nach ISAE 3000 / IDW PH 9.860.1 

Die Datenschutz-Grundverordnung (DSGVO) verlangt die korrekte Umsetzung der geltenden Vorschriften für Datenschutz und Datensicherheit in Unternehmen. Gleichzeitig wird auch die Einhaltung der DSGVO zunehmend als wichtige Grundlage einer vertrauensvollen Geschäftsbeziehung gesehen. Deshalb ist der Aufbau eines Datenschutz-Managementsystems, aber auch dessen regelmäßige Prüfung, zur Erfüllung und Überwachung der gesetzlichen Vorgaben unumgänglich.

Unsere Herangehensweise  

Wir bieten ein detailliertes Prüfungsprogramm an, das die Einhaltung der geltenden datenschutzrechtlichen Vorschriften in Ihrem Unternehmen bestätigt. Die Prüfung von Datenschutz-Managementsystemen kommt dabei für alle Unternehmen, Serviceorganisationen oder Rechenzentren in Betracht, die Bedarf an einer unabhängigen Attestierung über die Implementierung und Wirksamkeit von datenschutzspezifischen Maßnahmen haben.
Unser Ansatz beginnt mit der Festlegung, welcher Standard oder Kontrollrahmen für Ihr Unternehmen geeignet ist. Wir richten uns nach den üblichen Rahmenwerken wie dem IDW PH 9.860.1 und dem international anerkannten Standard ISAE 3000. Eine Attestierung nach diesen Standards stellt einen Qualitätsnachweis für den ordnungsgemäßen Umgang mit personenbezogenen Daten dar und bezeugt, dass Ihr Unternehmen über Prozesse verfügt, die den Anforderungen der DSGVO entsprechen. Ziel der Prüfung von Datenschutz-Managementsystemen ist, deren Eignung und/oder Wirksamkeit sicherzustellen und die Ergebnisse in einem Bericht festzuhalten. 

Der Vorteil für Ihr Unternehmen

  • Testat nach (international) anerkannten Rahmenwerken
  • Zusicherung/Bestätigung durch einen unabhängigen externen Prüfer
  • Nachweis für die Implementierung von Prozessen und Kontrollen zum Schutz personenbezogener Daten
  • Qualitätsnachweis gegenüber Dritten
  • Basis für zukünftige Zertifizierungen


Attestierung nach ISAE 3000 

Der ISAE 3000 ist ein international anerkannter Prüfstandard, mit dem unter anderem die Ausgestaltung und die Wirksamkeit von internen Datenschutzprozessen und Kontrollen durch einen unabhängigen externen Prüfer geprüft und beurteilt werden.
Wir unterstützen Sie dabei, die Kontrollziele und internen Kontrollen Ihrer Organisation anhand einer risikobasierten Betrachtung in Bezug auf die datenschutzrechtlichen Vorgaben zu identifizieren, um den endgültigen Kontrollrahmen für die Prüfung nach ISAE 3000 festzulegen. Anschließend bewerten wir die ausgewählten Kontrollen auf Grundlage der von Ihnen vorgelegten Nachweise und informieren Sie über Erkenntnisse und notwendige Verbesserungen.

Nach erfolgter Prüfung des Datenschutz-Managementsystems in Ihrem Unternehmen erhalten Sie einen Bericht, der den angemessenen Aufbau eines Datenschutz-Managementsystems und/oder die Einhaltung der definierten Kontrollen bestätigt.
Entsprechend des von Ihnen gewünschten Prüfungsausmaßes kann sich eine Attestierung nach ISAE 3000 auf folgenden Umfang erstrecken:

               

ISAE 3000 „TYP 1“-Bericht:
Eine Attestierung nach ISAE 3000 Typ 1 umfasst die Prüfung  des dienstleistungsbezogenen internen Datenschutz-Kontrollsystems bezüglich Konzeption und Umsetzung der eingerichteten Kontrollen zu einem bestimmten Zeitpunkt. Zur Wirksamkeit der Kontrollen ergeht dabei keine Aussage.
               

ISAE 3000 „TYP 2“-Bericht:
Eine Attestierung nach ISAE 3000 Typ 2 geht über die Attestierung nach ISAE 3000 Typ 1 hinaus und enthält zusätzlich eine Aussage des externen Prüfers über die operative Wirksamkeit der Kontrollen für einen definierten Zeitraum.

 

Attestierung nach IDW PH 9.860.1 

Mit dem IDW PH 9.860.1, einem vom Institut der Wirtschaftsprüfer in Deutschland entwickelter Prüfungshinweis, kann eine externe und unabhängige Aussage zur Angemessenheit, zum Stand der Implementierung sowie zur Wirksamkeit des Datenschutz-Managementsystems getroffen werden. 
Der Prüfungshinweis enthält einen Anforderungskatalog, der die DSGVO-Anforderungen sowie die vom Unternehmen einzurichtenden Grundsätze, Verfahren und Maßnahmen definiert, um den gesetzlichen Anforderungen gerecht zu werden. Dabei werden im Rahmen der Prüfung die von Ihrem Unternehmen getroffenen Grundsätze, Verfahren und Maßnahmen den rechtlichen Kriterien gegenübergestellt. 

Mit einer Attestierung nach IDW PH 9.860.1 erhalten Sie einen Bericht und ein Urteil zur Angemessenheit und/oder Wirksamkeit des Datenschutz-Managementsystems in Ihrem Unternehmen sowie mögliche Verbesserungsempfehlungen. 
Entsprechend des von Ihnen gewünschten Prüfungsausmaßes kann sich eine Attestierung nach IDW PH 9.860.1 auf folgenden Umfang erstrecken:

Angemessenheitsprüfung:
Eine Angemessenheitsprüfung umfasst die Beurteilung, ob die angewandten Grundsätze, Verfahren und Maßnahmen geeignet und sie zum relevanten Prüfzeitpunkt im Unternehmen implementiert sind.
             

Wirksamkeitsprüfung:
Eine Wirksamkeitsprüfung umfasst über die Beurteilung der Angemessenheit hinaus, ob die dargestellten Grundsätze, Verfahren und Maßnahmen für einen definierten Zeitraum wirksam gewesen sind.