Im August 2018 hat das IDW den Prüfungshinweise IDW PH 9.860.1 (Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz) veröffentlicht. Dieser Prüfungshinweis (PH) wurde unter Leitung des FAIT entwickelt, um Kriterien für die Beurteilung und Prüfbarkeit der Datenschutzorganisation auf Einhaltung der relevanten Anforderungen der EU-DSGVO und des BDSG zu definieren.
Die Beauftragung, Durchführung und Berichterstattung einer Prüfung der Datenschutzorganisation folgt den in PS 860 (IT.Prüfung außerhalb der Abschlussprüfung) niedergelegten Grundsätzen. Derartige IT-Prüfungen können entweder auf der Basis einer Erklärung der gesetzlichen Vertreter oder in Form einer direkten Prüfung durch Beurteilung der Erfüllung der Kriterien durch einen Wirtschaftsprüfer vorgenommen werden. Das Prüfungsergebnis ist in beiden Fällen, ob die in der Erklärung enthaltenen bzw. die vom Unternehmen nach Feststellung des Wirtschaftsprüfers verwendeten Kriterien geeignet sind, die im Prüfungshinweis definierten Kriterien einzuhalten, ob diese Kriterien zum Prüfungszeitpunkt implementiert sind und – im Falle einer Prüfung der Wirksamkeit – auch über den Prüfungszeitraum wirksam waren.
Die in Anlage 1 des PH dargestellten Grundsätze, Verfahren und Maßnahmen zur Erfüllung der Anforderungen an die Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen beziehen sich im wesentlichen auf die Verankerung des Datenschutzes in der Unternehmensorganisation und die zum Schutz der Daten erforderlichen technischen und organisatorischen Maßnahmen. Spezifiziert werden bspw. die Einrichtung eines den Datenschutz fördernden Kontrollumfelds, die Ausgestaltung der Datenschutzorganisation einschließlich eines Datenschutzbeauftragten oder die technisch-organisatorische Umsetzung der Vorschriften zur Erfassung, Verarbeitung, Speicherung, Beauskunftung oder Löschung von Daten.
Die Berichterstattung über die Ergebnisse der Prüfung erfolgen bei beiden Auftragsarten über formalisierte Prüfungsvermerke (Kurzform) oder Prüfungsberichte (Langform), um die Vergleichbarkeit der Vermerke / Berichte bei den Adressaten sicherzustellen.
Auch wenn dies im PH aus formalen Gründen nicht genannt wird, sind Vermerke bzw. Prüfungsberichte über die Erfüllung von Kriterien nach DS-GVO und dem BDSG nach Ansicht des Verfassers geeignet, den Nachweispflichten von Art. 24 Abs. 3 DSGVO nachzukommen.
Auftragsverarbeiter sollen gem. Art 28 Abs 3 (h) mit Kunden vertraglich vereinbaren, alle Informationen zum Nachweis der Einhaltung der Anforderungen der DSGVO zur Verfügung zu stellen und entsprechende Überprüfungen zuzulassen. Auch dieser Nachweis kann durch einen Prüfungsvermerk- bzw. -bericht nach PS 860 i.V.m. PH 9.860.1 erleichtert werden.