Anmelden Registrieren leer  Ihr Warenkorb ist leer
Juris Allianz ESV Akademie ESV Campus ESV Open Der ESV auf Twitter
 
Nachgefragt bei: Ralf Herold
Twitter weiterempfehlen  18.09.2018

Herold: „Was hat sich materiell wirklich durch die Einführung der DSGVO geändert?”

ESV-Redaktion INTERNE REVISIONdigital
Ralf Herold, Vorstandsmitglied des DIIR e.V. (Foto: DIIR)
Im Interview mit der ESV-Redaktion standen für Ralf Herold, Leiter Corporate Audit bei BASF und Vorstandsmitglied des DIIR e.V., die neuen Herausforderungen durch die DSGVO in der Internen Revision im Mittelpunkt.
Herr Herold, was sind aktuell die größten Herausforderungen der Internen Revision beim Datenschutz?

Ralf Herold: Hier gilt es verschiedene Aspekte zu betrachten. Bei der DSGVO geht es primär um die Frage: Was hat sich materiell wirklich durch die Einführung der DSGVO geändert? Und dies jetzt explizit auf hohem Datenschutzniveau für alle EU-Mitgliedstaaten einheitlich. 

Aus Prüfersicht steht dabei die Fähigkeit im Vordergrund, die relevanten Datenschutzrisiken zu erkennen und durch angemessene Prüfungshandlungen, unter Einsatz zielführender Prüfmethoden und  -techniken, zu bewerten. Diese Risikoeinschätzung bildet die gemeinsame Verständnisbasis für Prüfer und Geprüften, auf der die geprüften Einheiten dann auf eine effektive Mitigation der Risiken hinwirken müssen.

Zum anderen werden Prüfer in der betrieblichen Praxis zunehmend mit Aussagen konfrontiert, dass Prüfungen wegen Datenschutz- oder auch Mitbestimmungsregelungen nicht zulässig wären. Dieses inhärente Spannungsverhältnis als solches ist nichts Neues, die DSGVO dient lediglich als aktueller Anlass und Resonanzboden, die bisherige Abwägung berechtigter Interessen neu zu diskutieren – mit dem Ziel, die Gewichte neu auszutarieren. 

Was bedeutet das in der betrieblichen Praxis?

Ralf Herold: Im Kern stellt sich in solchen Fällen die Grundsatzfrage, ob das aus der Verantwortung der Leitungsorgane des Unternehmens zur Sicherstellung eines ordentlichen Geschäftsbetriebs abgeleitete Prüfrecht durch andere schutzwürdige Interessen materiell eingeschränkt werden kann. Und: Falls ja, was bedeutet dies sowohl für die Effizienz und Effektivität des Internen Kontrollsystems eines Unternehmens als auch für die persönliche Haftung der Leitungsorgane?  

Durch die Gültigkeit der DSGVO stellt sich diese Frage aber nicht mehr individuell für die EU-Mitgliedsstaaten, sondern bezüglich des Datenschutzes für alle EU-Mitgliedstaaten gleich, mit dem Anspruch, darauf eine konsistente Antwort für Europa zu erreichen. 

Was ist in der Praxis bei den Prüfungen zu beachten?

Ralf Herold: Die Einhaltung der relevanten Datenschutzgesetze, hier die DSGVO, ist wie jede andere gesetzliche Regelung auch integraler Bestandteil des einzuhaltenden rechtlichen Rahmens für jede unternehmerische Tätigkeit. In diesem Sinne ist die rechtliche Compliance als Struktur durch die verantwortlichen Leitungsorgane in der jeweiligen Organisation nachhaltig sicherzustellen. Bezüglich der DSGVO umfasst der Anwendungsbereich alle EU-Mitgliedstaaten, weshalb ein unternehmensspezifisches Datenschutzmanagement-System diese europaweite Anforderung angemessen und effektiv abbilden muss. 

Gibt es Analogien zu anderen Prüfsystemen?

Ralf Herold: Für die Prüfpraxis ergibt sich dabei materiell durchaus eine Analogie zu Prüfungen des Compliance-Management-Systems eines Unternehmens. Die Interne Revision muss durch zielführende Prüfungshandlungen eine risikobasierte Aussage hinsichtlich Angemessenheit und Ordnungsmäßigkeit des geprüften Compliance-Management-Systems vornehmen können. Grundvoraussetzung dafür ist die Fähigkeit, das Aufkommen neuer Risiken rechtzeitig zu erkennen, und eine angemessene Risikoeinschätzung aller identifizierten Risiken vornehmen zu können. 

DIIR-Datenschutztag
Der Datenschutz wird als Thema für die Interne Revision immer relevanter und gleichzeitig auch komplexer. Das DIIR veranstaltet deshalb zur Information und zum Austausch zwischen den Fach- und Führungskräften am 23. Oktober 2018 erneut einen Datenschutztag in Berlin.

Die wichtigsten Themen sind die Auswirkungen des neuen Datenschutzrechts auf die Interne Revision. Dabei wird es insbesondere um die Anwendung der Datenschutzgrundverordnung (DSGVO) in der Praxis gehen und welche Relevanz der Datenschutz für die IT im eigenen Unternehmen besitzt. Zudem informieren die Experten die Teilnehmer über die Umsetzung der EU-DSGVO.

Das ausführliche Programm zum DIIR-Datenschutztag und die Anmeldungsunterlagen finden Sie hier.

Welche datenschutzrechtlichen Vorgaben müssen umgesetzt werden?

Ralf Herold: Einheitliche Grundlage für alle EU-Mitgliedstaaten sind die Regeln der DSGVO, ggfs. ergänzt durch sogenannte Öffnungsklauseln pro EU-Mitgliedstaat, sofern davon Gebrauch gemacht wird. Dabei geht es um die in der DSGVO für definierte Sachverhalte vorgesehene Möglichkeit, nationale Ergänzungen umsetzen zu können, die die Besonderheiten des jeweiligen Lands angemessen berücksichtigen, ohne die EU-Datenschutzregeln als solches im Kern zu verändern. 

Und wie schätzen sie die Auswirkungen der DSGVO ein?

Ralf Herold: Als Daumenregeln für Unternehmen lässt sich indikativ festhalten, dass durch die DSGVO die Rechte der Datensubjekte mittels Auskunfts- und Informationsrechten gestärkt wurden. Für die Unternehmen ergeben sich daraus potenziell umfängliche Auskunfts-, Informations- und Dokumentationspflichten mit in der Regel vordefinierten und durchaus ambitionierten Fristen. 
 
Unter Risikobetrachtung muss der Prüfer diese Veränderungen und deren effektive Implementierung in die Ablauf- und Aufbauorganisation eines Unternehmens sehr zeitnah erkennen und bewerten. Dies insbesondere unter Beachtung des Risikos der jetzt analog dem Kartellrecht gesetzlichen möglichen sehr hohen Sanktionen.

Die Fortsetzung des Interviews finden Sie auf der Seite der ESV-Datenbank INTERNE REVISIONdigital.

INTERNE REVISIONdigital

Diese Datenbank bündelt das maßgebliche Expertenwissen für die Interne Revision in elektronischer Form und versorgt Sie laufend mit den wesentlichen Informationen für die professionelle Berufsausübung.

Umfassendes Know-how für Sie:

  • Erstklassige, qualitätsgeprüfte Fachinformationen und Arbeitshilfen für die tägliche Revisionspraxis.
  • Gebündeltes Fachwissen über die gesamte Bandbreite der Thematik: Interne Revision, Risikomanagement, Fraud, Corporate Governance, Compliance und mehr.
  • Per Link zu den aktuell gültigen nationalen und internationalen Standards und Modellen.
  • Mit News u. a. Service-Rubriken aktuelle Änderungen und Empfehlungen immer im Blick.
  • Kontinuierlicher Ausbau des Inhalte-Pools – stets aktuell und auf dem Laufenden!

Konkreter Nutzen für Sie:

  • Mit der Datenbank INTERNE REVISIONdigital greifen Sie auf mehr als 3000 Dokumente zu: über 140 eBooks renommierter Herausgeber und Verfasser – komplett oder kapitelweise – sowie das eJournal der ZIR, der maßgeblichen Fachzeitschrift "Zeitschrift Interne Revision".
  • Die treffsichere Suchfunktion führt Sie schnell und zielgerichtet zu den gesuchten Informationen.
  • Sie erhalten gut lesbare, druck- und zitierfähige Fachinformationen sowie Arbeitshilfen, Checklisten oder Muster – bereit für die Übernahme in Ihre eigenen Unterlagen.
  • Unbegrenzter Zugriff, Download und Ausdruck sämtlicher Volltext-Dokumente im günstigen Jahresabonnement – alternativ im Einzeldokumente-Bezug.
  • Hochwertige Gratis-Informationen: Zusammenfassungen der Fachartikel, aktuelle Studien und Publikationen der Partner, Nachrichten und Service-Rubriken der ESV-Redaktion sowie der Newsletter und ein aktueller Stellenmarkt - alles kostenlos.
  • Frei verfügbares „Lexikon Interne Revision”.
(ESV/ps)

Programmbereich: Management und Wirtschaft

 
Zurück
 
Als Nettopreise angegebene Preise verstehen sich zuzüglich Umsatzsteuer. Alle Nettopreise, also auch die Monatspreise, wurden aus den Bruttopreisen errechnet. Daher kann es wegen Rundungsungenauigkeiten bei einer Rückrechnung zu Abweichungen um wenige Cent kommen.




© 2019 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon (030) 25 00 85-0 | Telefax (030) 25 00 85-305 | E-Mail: ESV@ESVmedien.de