Ralf Herold, Vorstandsmitglied des DIIR e.V. (Foto: DIIR)
Nachgefragt bei: Ralf Herold
Herold: „Was hat sich materiell wirklich durch die Einführung der DSGVO geändert?”
ESV-Redaktion INTERNE REVISIONdigital
18.09.2018
Im Interview mit der ESV-Redaktion standen für Ralf Herold, Leiter Corporate Audit bei BASF und Vorstandsmitglied des DIIR e.V., die neuen Herausforderungen durch die DSGVO in der Internen Revision im Mittelpunkt.
Herr Herold, was sind aktuell die größten Herausforderungen der Internen Revision beim Datenschutz?
Ralf Herold: Hier gilt es verschiedene Aspekte zu betrachten. Bei der DSGVO geht es primär um die Frage: Was hat sich materiell wirklich durch die Einführung der DSGVO geändert? Und dies jetzt explizit auf hohem Datenschutzniveau für alle EU-Mitgliedstaaten einheitlich.
Aus Prüfersicht steht dabei die Fähigkeit im Vordergrund, die relevanten Datenschutzrisiken zu erkennen und durch angemessene Prüfungshandlungen, unter Einsatz zielführender Prüfmethoden und -techniken, zu bewerten. Diese Risikoeinschätzung bildet die gemeinsame Verständnisbasis für Prüfer und Geprüften, auf der die geprüften Einheiten dann auf eine effektive Mitigation der Risiken hinwirken müssen.
Zum anderen werden Prüfer in der betrieblichen Praxis zunehmend mit Aussagen konfrontiert, dass Prüfungen wegen Datenschutz- oder auch Mitbestimmungsregelungen nicht zulässig wären. Dieses inhärente Spannungsverhältnis als solches ist nichts Neues, die DSGVO dient lediglich als aktueller Anlass und Resonanzboden, die bisherige Abwägung berechtigter Interessen neu zu diskutieren – mit dem Ziel, die Gewichte neu auszutarieren.
Was bedeutet das in der betrieblichen Praxis?
Ralf Herold: Im Kern stellt sich in solchen Fällen die Grundsatzfrage, ob das aus der Verantwortung der Leitungsorgane des Unternehmens zur Sicherstellung eines ordentlichen Geschäftsbetriebs abgeleitete Prüfrecht durch andere schutzwürdige Interessen materiell eingeschränkt werden kann. Und: Falls ja, was bedeutet dies sowohl für die Effizienz und Effektivität des Internen Kontrollsystems eines Unternehmens als auch für die persönliche Haftung der Leitungsorgane?
Durch die Gültigkeit der DSGVO stellt sich diese Frage aber nicht mehr individuell für die EU-Mitgliedsstaaten, sondern bezüglich des Datenschutzes für alle EU-Mitgliedstaaten gleich, mit dem Anspruch, darauf eine konsistente Antwort für Europa zu erreichen.
Was ist in der Praxis bei den Prüfungen zu beachten?
Ralf Herold: Die Einhaltung der relevanten Datenschutzgesetze, hier die DSGVO, ist wie jede andere gesetzliche Regelung auch integraler Bestandteil des einzuhaltenden rechtlichen Rahmens für jede unternehmerische Tätigkeit. In diesem Sinne ist die rechtliche Compliance als Struktur durch die verantwortlichen Leitungsorgane in der jeweiligen Organisation nachhaltig sicherzustellen. Bezüglich der DSGVO umfasst der Anwendungsbereich alle EU-Mitgliedstaaten, weshalb ein unternehmensspezifisches Datenschutzmanagement-System diese europaweite Anforderung angemessen und effektiv abbilden muss.
Gibt es Analogien zu anderen Prüfsystemen?
Ralf Herold: Für die Prüfpraxis ergibt sich dabei materiell durchaus eine Analogie zu Prüfungen des Compliance-Management-Systems eines Unternehmens. Die Interne Revision muss durch zielführende Prüfungshandlungen eine risikobasierte Aussage hinsichtlich Angemessenheit und Ordnungsmäßigkeit des geprüften Compliance-Management-Systems vornehmen können. Grundvoraussetzung dafür ist die Fähigkeit, das Aufkommen neuer Risiken rechtzeitig zu erkennen, und eine angemessene Risikoeinschätzung aller identifizierten Risiken vornehmen zu können.
Welche datenschutzrechtlichen Vorgaben müssen umgesetzt werden?
Ralf Herold: Einheitliche Grundlage für alle EU-Mitgliedstaaten sind die Regeln der DSGVO, ggfs. ergänzt durch sogenannte Öffnungsklauseln pro EU-Mitgliedstaat, sofern davon Gebrauch gemacht wird. Dabei geht es um die in der DSGVO für definierte Sachverhalte vorgesehene Möglichkeit, nationale Ergänzungen umsetzen zu können, die die Besonderheiten des jeweiligen Lands angemessen berücksichtigen, ohne die EU-Datenschutzregeln als solches im Kern zu verändern.
Und wie schätzen sie die Auswirkungen der DSGVO ein?
Ralf Herold: Als Daumenregeln für Unternehmen lässt sich indikativ festhalten, dass durch die DSGVO die Rechte der Datensubjekte mittels Auskunfts- und Informationsrechten gestärkt wurden. Für die Unternehmen ergeben sich daraus potenziell umfängliche Auskunfts-, Informations- und Dokumentationspflichten mit in der Regel vordefinierten und durchaus ambitionierten Fristen.
Unter Risikobetrachtung muss der Prüfer diese Veränderungen und deren effektive Implementierung in die Ablauf- und Aufbauorganisation eines Unternehmens sehr zeitnah erkennen und bewerten. Dies insbesondere unter Beachtung des Risikos der jetzt analog dem Kartellrecht gesetzlichen möglichen sehr hohen Sanktionen.
Die Fortsetzung des Interviews finden Sie auf der Seite der ESV-Datenbank INTERNE REVISIONdigital.
(ESV/ps)
Ralf Herold: Hier gilt es verschiedene Aspekte zu betrachten. Bei der DSGVO geht es primär um die Frage: Was hat sich materiell wirklich durch die Einführung der DSGVO geändert? Und dies jetzt explizit auf hohem Datenschutzniveau für alle EU-Mitgliedstaaten einheitlich.
Aus Prüfersicht steht dabei die Fähigkeit im Vordergrund, die relevanten Datenschutzrisiken zu erkennen und durch angemessene Prüfungshandlungen, unter Einsatz zielführender Prüfmethoden und -techniken, zu bewerten. Diese Risikoeinschätzung bildet die gemeinsame Verständnisbasis für Prüfer und Geprüften, auf der die geprüften Einheiten dann auf eine effektive Mitigation der Risiken hinwirken müssen.
Zum anderen werden Prüfer in der betrieblichen Praxis zunehmend mit Aussagen konfrontiert, dass Prüfungen wegen Datenschutz- oder auch Mitbestimmungsregelungen nicht zulässig wären. Dieses inhärente Spannungsverhältnis als solches ist nichts Neues, die DSGVO dient lediglich als aktueller Anlass und Resonanzboden, die bisherige Abwägung berechtigter Interessen neu zu diskutieren – mit dem Ziel, die Gewichte neu auszutarieren.
Was bedeutet das in der betrieblichen Praxis?
Ralf Herold: Im Kern stellt sich in solchen Fällen die Grundsatzfrage, ob das aus der Verantwortung der Leitungsorgane des Unternehmens zur Sicherstellung eines ordentlichen Geschäftsbetriebs abgeleitete Prüfrecht durch andere schutzwürdige Interessen materiell eingeschränkt werden kann. Und: Falls ja, was bedeutet dies sowohl für die Effizienz und Effektivität des Internen Kontrollsystems eines Unternehmens als auch für die persönliche Haftung der Leitungsorgane?
Durch die Gültigkeit der DSGVO stellt sich diese Frage aber nicht mehr individuell für die EU-Mitgliedsstaaten, sondern bezüglich des Datenschutzes für alle EU-Mitgliedstaaten gleich, mit dem Anspruch, darauf eine konsistente Antwort für Europa zu erreichen.
Was ist in der Praxis bei den Prüfungen zu beachten?
Ralf Herold: Die Einhaltung der relevanten Datenschutzgesetze, hier die DSGVO, ist wie jede andere gesetzliche Regelung auch integraler Bestandteil des einzuhaltenden rechtlichen Rahmens für jede unternehmerische Tätigkeit. In diesem Sinne ist die rechtliche Compliance als Struktur durch die verantwortlichen Leitungsorgane in der jeweiligen Organisation nachhaltig sicherzustellen. Bezüglich der DSGVO umfasst der Anwendungsbereich alle EU-Mitgliedstaaten, weshalb ein unternehmensspezifisches Datenschutzmanagement-System diese europaweite Anforderung angemessen und effektiv abbilden muss.
Gibt es Analogien zu anderen Prüfsystemen?
Ralf Herold: Für die Prüfpraxis ergibt sich dabei materiell durchaus eine Analogie zu Prüfungen des Compliance-Management-Systems eines Unternehmens. Die Interne Revision muss durch zielführende Prüfungshandlungen eine risikobasierte Aussage hinsichtlich Angemessenheit und Ordnungsmäßigkeit des geprüften Compliance-Management-Systems vornehmen können. Grundvoraussetzung dafür ist die Fähigkeit, das Aufkommen neuer Risiken rechtzeitig zu erkennen, und eine angemessene Risikoeinschätzung aller identifizierten Risiken vornehmen zu können.
| DIIR-Datenschutztag |
| Der Datenschutz wird als Thema für die Interne Revision immer relevanter und gleichzeitig auch komplexer. Das DIIR veranstaltet deshalb zur Information und zum Austausch zwischen den Fach- und Führungskräften am 23. Oktober 2018 erneut einen Datenschutztag in Berlin. Die wichtigsten Themen sind die Auswirkungen des neuen Datenschutzrechts auf die Interne Revision. Dabei wird es insbesondere um die Anwendung der Datenschutzgrundverordnung (DSGVO) in der Praxis gehen und welche Relevanz der Datenschutz für die IT im eigenen Unternehmen besitzt. Zudem informieren die Experten die Teilnehmer über die Umsetzung der EU-DSGVO. Das ausführliche Programm zum DIIR-Datenschutztag und die Anmeldungsunterlagen finden Sie hier. |
Welche datenschutzrechtlichen Vorgaben müssen umgesetzt werden?
Ralf Herold: Einheitliche Grundlage für alle EU-Mitgliedstaaten sind die Regeln der DSGVO, ggfs. ergänzt durch sogenannte Öffnungsklauseln pro EU-Mitgliedstaat, sofern davon Gebrauch gemacht wird. Dabei geht es um die in der DSGVO für definierte Sachverhalte vorgesehene Möglichkeit, nationale Ergänzungen umsetzen zu können, die die Besonderheiten des jeweiligen Lands angemessen berücksichtigen, ohne die EU-Datenschutzregeln als solches im Kern zu verändern.
Und wie schätzen sie die Auswirkungen der DSGVO ein?
Ralf Herold: Als Daumenregeln für Unternehmen lässt sich indikativ festhalten, dass durch die DSGVO die Rechte der Datensubjekte mittels Auskunfts- und Informationsrechten gestärkt wurden. Für die Unternehmen ergeben sich daraus potenziell umfängliche Auskunfts-, Informations- und Dokumentationspflichten mit in der Regel vordefinierten und durchaus ambitionierten Fristen.
Unter Risikobetrachtung muss der Prüfer diese Veränderungen und deren effektive Implementierung in die Ablauf- und Aufbauorganisation eines Unternehmens sehr zeitnah erkennen und bewerten. Dies insbesondere unter Beachtung des Risikos der jetzt analog dem Kartellrecht gesetzlichen möglichen sehr hohen Sanktionen.
Die Fortsetzung des Interviews finden Sie auf der Seite der ESV-Datenbank INTERNE REVISIONdigital.
 |
INTERNE REVISIONdigitalDiese Datenbank bündelt das maßgebliche Expertenwissen für die Interne Revision in elektronischer Form und versorgt Sie laufend mit den wesentlichen Informationen für die professionelle Berufsausübung.
Konkreter Nutzen für Sie:
|
Programmbereich: Management und Wirtschaft