IDW PS 980 und Art. 42 DSGVO


Hat hier der deutsche Prüfungsstandard für Compliance-Management-Systeme eine Zukunft?
Eine Prüfung nach IDW PS 980 kann besser auf das Unternehmen angepasst werden und ist unabhängig von Datenschutz-Behörden



Dr. Christian Schefold

Die Datenschutz-Grundverordnung1 (DS-GVO) sieht Datenschutz als Compliance-Management- System. Blickt man auf die Struktur der Verordnung, so enthält diese alle wesentlichen Elemente eines solchen. Da darf auch eine Zertifizierung eines Datenschutz-Compliance-Systems nicht fehlen. Art. 42 DSGVO befasst sich mit der Zertifizierung und Art. 43 DSGVO mit der Zulassung von Zertifizierern. Der entsprechende Erwägungsgrund Nr. 100 DSGVO hält sich äußerst kurz und bietet keine Interpretationshilfe. Zertifizierungsverfahren, Datenschutzsiegel und Datenschutzprüfzeichen benötigen eine Grundlage, idealerweise einen Standard.

Dieser Bericht stellt die erste EU-weit anerkannte Prüfungsgrundlage von Europrivacy vor. Trotz der Unterstützung von Europrivacy durch die Europäische Kommission und den Europäischen Datenschutzausschuss fremdeln die allermeisten Datenaufsichtsbehörden in der Europäischen Union noch mit Datenschutzstandards, Zertifizierungen und der Zulassung von Zertifizierern. Sind Wirtschaftsprüfer und der Prüfungsstandards IDW PS 980 eine Lösung?

Seit dem 25 Mai 2018 gilt in der gesamten Europäischen Union, wie aber auch in den Staaten des Europäischen Wirtschaftsraumes, die DSGVO. Selbst in Großbritannien findet sie auch nach dem Austritt des Vereinigten Königreichs noch Anwendung. Die Schweiz hat sich ein eigenes, an der DSGVO orientiertes Schweizer Datenschutzgesetz (revDSG) gegeben, das unlängst am 1. September 2023 in Kraft getreten ist. Art. 13 revDSG sieht ebenfalls eine Zertifizierung für Hersteller von Datenverarbeitungssystemen oder Datenverarbeitungsprogrammen sowie der Verantwortlichen und Auftragsverarbeiter vor.

Damit geht das Schweizer Recht trotz deutlich knapperem Gesetzeswortlaut mit dem Einbezug von System und Softwareherstellern über den Art. 42 DSGVO hinaus. Diese Erweiterung ist sinnvoll und pragmatisch, denn sie erlaubt den Verantwortlichen und Auftragsverarbeitern, die Zertifizierung der eigenen Datenverarbeitung auf bereits zertifizierte Systeme und Programme aufzubauen.

Dieser Beitrag aus der Zeitschrift Risk, Fraud & Compliance (ZRFC) (Ausgabe 1, 2024, Seite 18 bis 26) wurde von der Redaktion von Compliance-Magazin.de gekürzt.
In voller Länge können Sie ihn und weitere hier nicht veröffentliche Artikel im ZRFC lesen.


Zeitschrift Risk, Fraud & Compliance (ZRFC) - Prävention und Aufdeckung in der Compliance-Organisation

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Probe-Abo
Hier geht's zum Normal-Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [21 KB]
Hier geht's zum pdf-Bestellformular (Probe-Abo) [20 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [45 KB]
Hier geht's zum Word-Bestellformular (Probe-Abo) [40 KB]


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Im Überblick: ZRFC

Zeitschrift Risk, Fraud & Compliance (ZRFC)

  • Arbeitsschutz als Sorgfaltspflicht in Deutschland

    Am 15. März 2024 hat der Ausschuss der ständigen Vertreter der EU-Mitgliedstaaten der Europäischen Lieferkettenrichtlinie (CSDDD) den Weg bereitet. Es werden Sorgfaltspflichten auf bestimmte Unternehmen übertragen, um die Verantwortung einer nachhaltigen Entwicklung entlang der Chain of Activities zu stärken. Neben ökologischen Aspekten richtet sich der Fokus nunmehr auch auf die soziale Dimension - das Ziel, Menschenrechte zu beachten.

  • Transparenz börsennotierter Unternehmen

    Mit dem Aufstieg in die Riege börsennotierter Unternehmen geht zwangsläufig eine erhöhte Wahrnehmung durch die Öffentlichkeit einher. Insbesondere, wenn Compliance-Verstöße in den Fokus der medialen Öffentlichkeit geraten und mit öffentlich bekannten Unternehmensvertretern in Verbindung gebracht werden, kann die Reputation des Unternehmens nachhaltig Schaden nehmen.

  • Konzeption der Wertschöpfungsrechnung

    Die Wertschöpfungsrechnung ist ein seit langer Zeit bekanntes Rechenwerk, welches im Laufe der Zeit zu unterschiedlichen Zwecken verwendet wurde. Die wesentliche Besonderheit der Wertschöpfungsrechnung ist die Orientierung an den Stakeholder-Gruppen des Unternehmens, wodurch sie sich als aussagekräftiges Berichtsinstrument für das Corporate-Governance-Reporting anbietet.

  • Ausgangspunkt für Compliance ist die Risikoanalyse

    Compliance ist ein Thema, das häufig mit organisatorischem Aufwand verbunden ist. Positiv betrachtet ergeben sich in dieser Gestaltungsaufgabe aber viele Chancen, Regelkonformität im Unternehmen effektiv sicherzustellen und darüber hinaus auch eigene Akzente und Maßstäbe zu setzen.

  • Compliance-, Risiko- und Führungskultur

    In einer sich stetig wandelnden Arbeitswelt ist eine starke Compliance-Kultur entscheidend. Compliance-Kultur in Unternehmen ist mehr als Einhaltung von Vorschriften, sie ist Ausdruck ethischer Werte und organisatorischen Selbstverständnisses.

  • Anpassung des LkSG-Maßnahmenkatalogs

    Nach langem hin und her auf politischer Ebene wurde die Corporate Sustainability Due Diligence Directive (nachfolgend CS3D) am 13. Juni 2024 verabschiedet und trat am 25. Juli 2024 in Kraft. Für Unternehmen, die bereits vom Anwendungsbereich des Lieferkettensorgfaltspflichtengesetzes (nachfolgend LkSG) erfasst sind, ist von besonderer Bedeutung, welche Anpassungen am etablierten LkSG-Risikomanagement vorzunehmen sind und welche Tragweite die vorzunehmenden Änderungen entfalten werden.

  • Willenskraft kein Thema für Compliance-Officer

    Willensstärke wird in Unternehmen im Allgemeinen und in der Compliance im Speziellen kaum thematisiert. Darüber verfügten die Verantwortlichen in mehr als ausreichendem Maße, so die Selbsteinschätzung. Dennoch treten in der Realität immer wieder Situationen auf, in denen nicht Willensstärke, sondern Willensschwäche die Entscheidung des Einzelnen beeinflusst, ja prägt.

  • Compliance & ESG: Treiber & Getriebene

    In den Anfangstagen war die Übernahme von sozialer Verantwortung - besprochen unter der Abkürzung CSR (Corporate Social Responsibility) - Ausdruck von freiwilligen Bemühungen. Nach Verabschiedung des Green Deals ist die Europäische Union Vorreiter für die Verpflichtung zu Nachhaltigkeit geworden - jetzt diskutiert unter der Abkürzung ESG (Entvironment, Social, Governance).

  • XBRL & Nachhaltigkeitsberichterstattung nach CSRD

    Durch die Corporate Sustainability Reporting Directive (CSRD) wird für bestimmte kapitalmarktorientierte Unternehmen eine Berichterstattung über Umwelt-, Sozial- und Governance-Aspekte in deren (Konzern-)Lageberichten reguliert. Bestandteil dieser Regulierung ist ein einheitliches elektronisches Berichtsformat (ESEF) sowie eine Taxonomie, die als Hilfestellung Einsatz finden kann.

  • Prüfen im digitalen Zeitalter

    In unserer schnell digitalisierten Welt sind Revisoren mit neuen Herausforderungen und Chancen konfrontiert. Die fortschreitende Digitalisierung hat nicht nur die Betriebsführung von Unternehmen tiefgreifend verändert, sondern auch die Arbeitsweise der Revisoren revolutioniert.

Cyberrisiken und Versicherungen Urteile und Vorurteile in der Compliance

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen