Corinna Kulp
Partnerin, IT & Controls Assurance
Datenschutz-Compliance schafft Transparenz und Vertrauen
IT-Dienstleister sind mit einer der zentralen Innovatoren im digitalen Raum. Sie bieten ihren Kunden vielfältige digitale Lösungen, mit denen sich IT-Infrastrukturen und Geschäftsprozesse zukunftssicher gestalten lassen. Hierbei sind die Anbieter gefordert, ihren Kunden sowohl Transparenz hinsichtlich der Betriebsprozesse und der eingesetzten Technologien als auch ein hohes Niveau an Datenschutz- und Informationssicherheit zu bieten. Dies sind strategische Erfolgsfaktoren für IT-Dienstleister.
IT-Anbieter stehen vor der Herausforderung, ihren Kunden die Angemessenheit und vor allem die Wirksamkeit der eingerichteten Sicherheits-, Compliance und datenschutzrechtlichen Maßnahmen zu demonstrieren. Ein allgemein akzeptierter sowie effizienter und effektiver Weg hierfür sind Nachweise z.B. in Form von Berichten, die von unabhängigen Wirtschaftsprüfungsgesellschaften erstellt werden.
Unsere IT & Controls Assurance Expertise für Ihren Erfolg
Wie effektiv und transparent sind Ihre Prozesse, um die Einhaltung gesetzlicher und kundenspezifischer Datenschutzvorgaben kontinuierlich zu überprüfen und deren Erfüllung nachzuweisen?
- Unser Assessment gibt Ihnen eine ganzheitliche Einschätzung zum Reifegrad Ihrer Datenschutz-Prozesse und zeigt dem Management konkrete Handlungsfelder auf.
Wer kann für Sie die Prüfung gemäß etablierter Standards übernehmen und Ihnen dabei helfen, Ihren Kunden gegenüber eine Datenschutz-Compliance nachzuweisen?
- Wir führen Prüfungen gemäß etablierter Prüfungsstandards z.B. wie SOC 1, ISAE 3402, SOC 2 durch.
- Zudem unterstützen wir Sie durch IT-bezogene Standards des Instituts der Wirtschaftsprüfer (IDW) wie bspw. PS 951 n.F. (Prüfung Outsourcing) und im Bereich des Datenschutzes mit dem IDW Prüfungshinweis 9.860.1: Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz.
- Unser bewährter Ansatz ermöglicht es uns zudem, Prüfungen gemäß mehrerer Standards zu kombinieren, sodass aus einer einzigen integrierten Prüfung mehrere Berichte hervorgehen.
Zielsetzung des Dienstleister-Assessments
Im Rahmen unser Prüfungshandlungen erfolgt beim IT-Dienstleister eine Untersuchung und Bewertung des derzeit vorliegenden Datenschutzniveaus. Hierbei werden die datenschutzrechtlichen Anforderungen, die sich aus den Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) ergeben (Soll-Zustand), mit dem zum Zeitpunkt der Überprüfung vorliegenden Ist-Zustand verglichen. Durchgeführte Prüfungshandlungen werden u.a. zu den folgenden Themenbereichen, die durch den BDO Audit-Trail im Detail behandelt werden, zusammengefasst:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Verwendungszweckkontrolle
- Organisationskontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
Im Fokus der Prüfungshandlungen stehen vor allem die technisch-organisatorischen Maßnahmen (TOM) und dazugehörige informationssicherheitsrelevante Unterstützungsprozesse. Bei der Prüfung gehen wir anhand der einschlägigen Prüfungsmethodiken vor, die sich in eine Prüfung der Dokumentenlage (ToD – Test of Design) und eine Wirksamkeitsprüfung (ToE – Test of operating Effectiveness) aufteilt.
Unsere Erfolgsfaktoren für ihre Datenschutz-Auditierung
- Kompetente und gemäß der einschlägigen berufsständischen Zertifizierungen qualifizierte Auditoren (IT-, ISMS- und Datenschutzerfahrung)
- Unabhängigkeit
- Vertraulichkeit aller Informationen
- Offene Kommunikation mit dem Auftraggeber
- Langfristige und frühzeitig abgestimmte Auditplanung
- Verfügbarkeit der Ansprechpartner
- Nachvollziehbare und standardisierte Vorgehensweise
- Vollständige Dokumentation (auch von Nachweisen)
- Qualitätssicherung gemäß der Vorgaben des Berufsstandes der Wirtschaftsprüfer