ADV Compliance Audit. Fragenkatalog mit Erläuterungen Version 1.1 vom 14.Januar

Transkript

1 ADV Compliance Audit Fragenkatalog mit Erläuterungen Version 1.1 vom 14.Januar

2 Erschienen Januar 2012 Herausgegeben von der Privacy Stiftung c/o Fa. Privacy Audit Bonner Logsweg Bonn Privacy Stiftung 2012

3 Einleitung Jeder Auftraggeber einer Auftragsdatenverarbeitung (ADV) hat gemäß 11 Bundesdatenschutzgesetz (BDSG) eine vorangehende, und hernach regelmäßige, unmittelbare Pflicht zur Prüfung der Zuverlässigkeit seines Auftragsnehmers im Sinne des Datenschutzes. Auszug BDSG: 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. (2) Der Auftragsnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragsnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Bei Nichteinhaltung droht ein Ordnungsgeld von bis zu Euro. Auftragsdatenverarbeitung findet in der Praxis in vielfältiger Form statt. Vereinfachend kann man jedes Auftragsverhältnis der Datenhaltung, Pflege oder Nutzung als Auftragsdatenverarbeitung Seite 1

4 einordnen, bei dem eine rechtlich selbständige Stelle Daten im Namen ihres Auftraggebers behandelt. Dies ist regelmäßig bei Vertriebspartnern, Handelsvertretern, Callcenter- und Lettershop-Dienstleister, IT-Dienstleistern und Webhostern der Fall. Das ADV Compliance Audit ermöglicht es dem ADV Auftragsnehmer, sich von einem Datenschutz-Sachverständigen überprüfen zu lassen, und sich auf dieser Basis seine Zuverlässigkeit durch Privacy Audit als unabhängige Stelle bestätigen zu lassen. In diesem Handbuch finden Sie die der Prüfung zu Grunde liegenden Fragen, sowie eine Erläuterung der bei dieser Frage zu erfüllenden Erwartungen. Wir haben uns bemüht, die dabei angesprochenen rechtlichen Bestimmungen allgemein verständlich zu halten, wodurch es zwangsläufig zum Verlust der Genauigkeit kommt. Für eine konkrete Würdigung nehmen Sie bitte die Beratung Ihres Datenschutzbeauftragten oder eines zugelassenen Anwalts in Anspruch. Mathias Reinis Bonn, den 14.Januar 2012 Seite 2

5 Fragensegment 1 Transparenz über die Vertragslage Im ersten Segment des Fragenkatalogs soll der Auditor ein Bild darüber erhalten, in wieweit das zu prüfende Unternehmen für die im Auftrag durchgeführte Datenverarbeitung vertraglich hingewirkt hat. Frage 1.1 Kann das Unternehmen die im Auftrag durchgeführten Verarbeitungen benennen? Verfahren, die im Auftrag durchgeführt werden, sind nicht eigene Verfahren des Auftragsnehmers sondern Verfahren des Auftragsgebers. Sie sind nicht zwingend im Verfahrensverzeichnis aufzulisten. Es wird erwartet, dass die Verantwortlichen auch die im Auftrag ausgeführten Verarbeitungen vollständig benennen können. Frage Führt das Unternehmen eine Vertragsliste oder ein vergleichbares Verzeichnis? Es wird erwartet, dass im Unternehmen Transparenz zu den geltenden Verträgen insbesondere der Auftragsdatenverarbeitung herrscht. Seite 3

6 Frage 1.3 Ist das Verzeichnis der Verträge vollständig? Dabei wird neben dem reinen Vorhandensein des Verzeichnisses auch dessen Vollständigkeit erwartet. Frage 1.4 Ist das Verzeichnis der Verträge inhaltlich aktuell? Schließlich wird erwartet, dass Änderungen und Neuverträge zeitnah eingepflegt werden. Fragensegment 2 Die Datenschutz-Organisation des Auftragsnehmers Von einem Unternehmen, dass seine Zuverlässigkeit für die Verarbeitung von personenbezogenen Daten belegen möchte, darf erwartet werden, dass es im eigenen Verantwortungsbereich über seine Pflichten Bescheid weiss und diese angemessen erfüllt. Das zweite Segment widmet sich daher den Schlüsselfragen der Datenschutz-Organisation des Auftragsnehmers. Seite 4

7 Frage 2.1 Existiert das interne Verfahrensverzeichnis? Die Pflicht zur Aufstellung des Verfahrensverzeichnisses ergibt sich aus 4g Abs. 2 BDSG. Ist kein Datenschutzbeauftragter bestellt, tritt an die Stelle des Verfahrensverzeichnisses die Pflicht zur Meldung der Verfahren bei der zuständigen Aufsichtsbehörde nach 4d BDSG. Der Inhalt von Verfahrensverzeichnis bzw. Meldung ergibt sich aus 4e BDSG. Ausnahmen von der Meldepflicht ergeben sich für Unternehmen mit weniger als 10 Beschäftigten, sofern die Verarbeitung für eigene Zwecke und dabei mit Einwilligung des Betroffenen oder rein zur Vertragsabwicklung erfolgt. Frage 2.2 Ist ein angemessen fachkundiger Datenschutzbeauftragter bestellt? Ob ein Datenschutzbeauftragter bestellt sein muss ergibt sich zunächst aus der Größe des Unternehmens. Dies ist in der Regel ab 10 Beschäftigten der Fall. Daneben ist ein Datenschutz-beauftragter stets dann zu bestellen, wenn besondere Arten personenbezogener Daten verarbeitet werden. Hierauf geht das Fragensegment drei ein. Wenn ein Datenschutzbeauftragter bestellt ist, muss er zudem über die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Seite 5

8 Zuverlässigkeit verfügen. Dies ist in 4f Abs. 2 BDSG gefordert. Frage 2.3 Sind die Mitarbeiter auf den Datenschutz verpflichtet? Gemäß 5 BDSG gilt: Allen bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Es wird erwartet, dass diese Verpflichtung für alle Mitarbeiter ausnahmslos und schriftlich erfolgt ist. Seite 6

9 Fragensegment 3 Art und Umfang der personenbezogenen Daten Unter die besonderen Arten personenbezogener Daten gemäß 3 (9) BDSG fallen Angaben über: rassische und ethnische Herkunft; politische Meinungen; religiöse oder philosophische Überzeugungen; Gewerkschaftszugehörigkeit; Gesundheit oder Sexualleben. Frage 3.1 Werden besondere Arten personenbezogener Daten gemäß 3 (9) BDSG verarbeitet? Sofern besondere Arten personenbezogener Daten verarbeitet werden, müssen die Maßnahmen zum Schutz vor unbefugter Kenntnisnahme, Nutzung oder Manipulation besonders sicher ausgelegt werden. Der Auditor ist gehalten, beim Auffinden von Daten dieser Datenkategorien in den weiteren Segmenten auf deren besonderen Schutzbedarf zu achten. Seite 7

10 Fragensegment 4 Bei zusätzlich vorliegender Funktionsübertragung In Abgrenzung zur Auftragsdatenverarbeitung ist die Funktionsübertragung zu sehen, bei der auf Basis eines Auftrages Daten zur Ausübung einer Aufgabe übermittelt werden, die Aufgabe sodann durch den Empfänger der Daten im eigenen Namen für den beauftragten Zweck weiter genutzt werden. Dies ist zum Beispiel im Rahmen eines Inkasso-Auftrages der Fall. Das Fragensegment vier wendet sich dem Fall zu, dass neben der ADV auch Verarbeitungen aus einer Funktionsübertragung erfolgen. Die Funktionsübertragung ist ein eigenes Verfahren des Auftragsnehmers. Damit ist er selbst für die Einhaltung der Bedingungen verantwortlich, die an eine Übermittlung personenbezogener Daten gestellt sind. Das Verfahren soll auch im internen Verfahrensverzeichnis ausgewiesen sein. Frage 4.1 Ist der Zweck der Übertragung festgelegt? Grundbedingung für eine erlaubte Verarbeitung personenbezogener Daten ist stets, dass der Zweck der Verarbeitung vor Aufnahme hin- Seite 8

11 reichend genug definiert ist. Vom Zweck leiten sich die Bedingungen ab, weswegen eine spätere Zweckänderung verboten ist. Frage 4.2 Sind die Betroffenen hinsichtlich der Übertragung vorab informiert worden und wurden erforderliche Zustimmungen eingeholt? Das Bundesdatenschutzgesetz sieht in 28 bis 32 eine Reihe von Bedingungen vor, die für eine Nutzung bzw. Übermittlung erfüllt sein müssen. Der Auftragsnehmer der Funktionsübertragung muss in der Lage sein, die Einhaltung der in seinem Fall gelten Bedingungen zu belegen. Frage 4.3 Werden Daten der Funktionsübertragung und der ADV strikt getrennt gehalten und verarbeitet? Im Datenschutz besteht das Gebot der Trennung von Daten, die zu unterschiedlichen Zwecken erhoben sind. Hierauf geht Fragensegment 7.8 noch speziell ein. Dieses Trennungsgebot gilt in besonderer Weise bei der Abgrenzung von eigenen Zwecken (Funktionsübertragung) und den Zwecken ihres Auftraggebers aus der ADV. Seite 9

12 Frage 4.4 Sind die erforderlichen Maßnahmen zur Wahrung der Betroffenenrechte getroffen? Wer Daten für eigene Zwecke verarbeitet, hat für die Rechte der Betroffenen aus 33 bis 35 BDSG Sorge zu tragen. Es wird erwartet, dass entsprechende Verfahren und Maßnahmen festgelegt wurden und im Tagesgeschäft auch Anwendung finden. Fragensegment 5 Ort der Verarbeitung Das Bundesdatenschutzgesetz geht grundsätzlich davon aus, dass der Auftraggeber einer ADV nur dann einen Einfluss auf den Schutz der Daten nehmen kann, wenn sich Speicherung und Verarbeitung im Hoheitsbereich des Deutschen Rechtes befindet. Nach enger Auslegung kann das Privileg der besonderen Behandlung von Auftragsdatenverarbeitung selbst im europäischen Ausland nicht gelten. Vielmehr ist dann von einer Funktionsübertragung auszugehen. Seite 10

13 Frage 5.1 Falls die personenbezogenen Daten oder ein Teil von Ihnen im Ausland verarbeitet werden, hat der Ort der Verarbeitung ein angemessenes Datenschutzniveau? Eine Verlagerung der Verarbeitung in andere Regionen darf nur erfolgen, sofern diese nach maßgeblicher Einschätzung über ein angemessenes Datenschutzniveau verfügen. Als maßgebliche Einschätzung ist insbesondere die Genehmigung einer zuständigen Datenschutz-Aufsichtsbehörde anzusehen. Frage 5.2 Sofern eine Verarbeitung im Ausland erfolgt, ist dies auch von den betroffenen Auftraggebern gewünscht oder mindestens gebilligt (muss im Vertrag stehen)? Von einem zuverlässigen Partner erwarten wir, dass er für den Auftraggeber Risiko trächtige Sachverhalte aktiv mitteilt und in den mit ihm geschlossenen Verträgen niederlegt. Seite 11

14 Fragensegment 6 Unterauftragsverhältnisse Der Einsatz von Unterauftragsnehmern im Rahmen einer ADV ist als besonders sensibel anzusehen, da er die Gefahr birgt, dass Personen Zugang zu den Daten erhalten, die dem für die Verarbeitung verantwortlichen Auftraggeber der ADV gegenüber Unbekannte sind. Frage 6.1 Werden Unterauftragsnehmer eingesetzt? Da der Auftraggeber für die Verarbeitung verantwortlich ist, muss er auch über Art und Umfang des Einsatzes von Unterauftragsnehmern informiert werden. Sofern seine Verarbeitung direkt betroffen ist, hat dies unter Nennung der Namen und der Adressen zu erfolgen. Der Auftragsnehmer der ADV muss selbst sicherstellen, dass er zur Nennung dieser Informationen berechtigt ist. Frage 6.2 Sind Unterauftragsnehmer mit den gleichen Pflichten gebunden wie der Auftragsnehmer selbst? Sollten Unterauftragsnehmer im Umfeld der ADV eingesetzt sein, so müssen für sie die gleichen Pflichten gelten wie für den Auftrags- Seite 12

15 nehmer selbst. Gegebenenfalls sind mit dem Unterauftragsnehmer hierfür projektspezifische Zusatzvereinbarungen zu treffen. Frage 6.3 Sind die durch den Unterauftragsnehmer eingesetzten Personen auf das Datengeheimnis verpflichtet? Es liegt in der Verantwortung des Auftragsnehmers, über die Verpflichtung der Mitarbeiter des Unterauftraggebers auf den Datenschutz selbst Nachweis führen zu können. Siehe auch Frage 2.3 Seite 13

16 Fragensegment 7 Organisatorische und technische Schutzmaßnahmen Dieses Segment befasst sich mit den Anforderungen an die Sicherheit der datentechnischen Einrichtungen. Sie sind in der Anlage 2 zum BDSG erfasst. Die getroffenen Maßnahmen müssen angemessen sein, womit sie einer Abwägung aus Schutzbedarf, technischen Möglichkeiten und Aufwand unterworfen sind. Sofern im Einzelnen technische Lösungen Einsatz finden, haben sich diese zumindest am aktuellen Stand der Technik messen zu lassen. Hinter dem Stand der Technik zurückbleibende Lösungen lassen sich in der Interessenabwägung nicht aus Gründen der Wirtschaftlichkeit rechtfertigen. Wenn eine Verarbeitung der mit Frage 3 festgestellten besonderen Arten von Daten vorliegt, müssen sich die Maßnahmen technisch am bestmöglichen Schutz orientieren. Frage 7.1 Sind die Anlagen der Datenverarbeitung angemessen gegen unbefugten Zutritt gesichert? Das BDSG fordert Maßnahmen.., die geeignet sind Unbefugten den Seite 14

17 Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle). Konkret erwartet der Auditor, dass zentrale Datenverarbeitungsanlagen in zusätzlich verschlossenen Räumen untergebracht sind. Der Zutritt zu diesem Raum wird protokolliert. Büroräume werden nach dem Verlassen verschlossen. Das Gebäude ist nach Geschäftsschluss verschlossen, oder ein permanenter Wachdienst sichert den Zutritt rund um die Uhr ab. Besucher werden am Empfang registriert und innerhalb des Betriebes ständig von internen Mitarbeitern begleitet. Frage 7.2 Sind die Gerätschaften der Datenverarbeitung mit einer angemessenen Sicherung gegen unbefugten Zugang versehen, und wird diese angewendet? Das BDSG fordert Maßnahmen.., die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). Konkret erwartet der Auditor, dass zentrale Datenverarbeitungsanlagen in einer 3 Ebenen IT-Architektur angelegt, mit Firewalls gesichert und nur mit Geheimnis basierten Zugangskennungen erreichbar sind. Arbeitsplatzsysteme sind mit einem Passwortschutz gesichert, der bei Verlassen des Platzes aktiviert wird. Mobile Daten- Seite 15

18 Verarbeitungsanlagen sind zudem mit einem Plattenpasswort verschlüsselt und haben eine lokale Firewall. Kommunikation über öffentliche Netze erfolgt nur verschlüsselt. Fragenuntersegment 7.3 Rollen- und Rechtekonzept (Authentisierungsverfahren) Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle) Frage Liegt ein Konzept zur Zugriffsbeschränkung vor und wird es eingesetzt? Konkret erwartet der Auditor, dass ein Rechte- und Rollenmodell definiert ist, das auch konsequent eingesetzt wird. Zugriffe zu personenbezogenen Daten und zu Anwendungen, die diese verarbeiten, erfolgen nur Passwort basiert. Das Passwort folgt einer strengen Sicherheitsregel und wird regelmäßig geändert. Seite 16

19 Frage Folgt dieses Konzept dem "Need-to-Know" Prinzip? Konkret erwartet der Auditor, dass das Prinzip Daten nur den Nutzerkreisen bereitzustellen, die es für ihre Aufgaben brauchen, konsequent angewandt ist. Fragenuntersegment 7.4 Weitergabekontrolle Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle). Frage Erfolgt die Weitergabe angemessen verschlüsselt? Konkret erwartet der Auditor, dass personenbezogene Daten, die das Unternehmen verlassen, konsequent verschlüsselt, oder behelfsweise nur über eine gesicherte Ende-zu-Ende Verbindung übertragen wer- Seite 17

20 den. Sofern ein synchrones Passwortverfahren genutzt wird, wird das Passwort über einen getrennten Kommunikationsweg ausgetauscht. Frage Wird die Weitergabe administriert und der ordnungsgemäße Empfang geprüft? Konkret erwartet der Auditor, dass eine Liste geführt wird, aus der alle Datenweitergaben mit Personenbezug nach Übermittlungsweg, Ausgangsdatum und Zeit, Bereitsteller, ggf. Einschreiben-Referenz, Empfangsdatum und Empfänger durchgehend aufgezeichnet werden. Ersatzweise kann die elektronische und die physische Übermittlung in getrennten Listen geführt werden. Frage 7.5 Kann nachträglich festgestellt werden, von wem personenbezogene Daten in der Verarbeitung eingegeben, verändert oder entfernt wurden? Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). Konkret erwartet der Auditor, dass sofern personenbezogen Daten Seite 18

21 mit besonderem Schutzbedarf erfasst oder genutzt werden, jede Änderung am Datensatz mit Angabe des geänderten Feldes, des Ändernden und dem Zeitstempel dokumentiert werden. In allen anderen Fällen ist mindestens eine durchgängige Änderungshistorie durch vom Ändernden abgezeichnete Erfassungsbelege nachweisbar. Eine Erleichterung gilt hier, wenn eine eigene Änderung an personenbezogenen Daten aus den Umständen der Nutzung ausgeschlossen werden kann. Dies ist zum Beispiel der Fall, wenn der Nutzer die Datensätze lediglich mit Leseberechtigung bezieht und keine eigenen Kopien anlegt. Frage 7.6 Ist gewährleistet, dass personenbezogene Daten im Rahmen der ADV nur im Rahmen der Weisungen des Auftraggebers verarbeitet werden können? Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle). Konkret erwartet der Auditor, dass eine fachliche Weisung hinsichtlich der Verarbeitung stets schriftlich erfolgt oder vor Ausführung schriftlich rückbestätigt wird oder die mündliche Anweisung Seite 19

22 schriftlich hinreichend dokumentiert wird. Unangewiesene Verarbeitungen finden nicht statt. Frage 7.7 Sind die personenbezogenen Daten im Rahmen der ADV angemessen vor Zerstörung oder Verlust geschützt? Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Konkret erwartet der Auditor, dass zum Schutz der Daten in den produktiven Systemen durchgängig Virenscanner eingesetzt werden. Regelmäßige Datensicherungen werden durchgeführt, und es erfolgen regelmäßige Tests zur Wiederherstellbarkeit der Sicherungen. Fragenuntersegment 7.8 Trennungsgebot Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Seite 20

23 Frage Wird die getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten sichergestellt? Konkret erwartet der Auditor, dass für unterschiedliche Zwecke erhobene Daten in getrennten Datenpools gehalten werden. Eine gelegentliche Kontrolle von Datenverbundlisten (Tabellenverarbeitungsdokumente) auf den Datenverarbeitungs-Systemen ist dokumentiert und hat keine Auffälligkeiten hinsichtlich eines Zweckübergangs erbracht. Frage Wird die getrennte Verarbeitung von personenbezogenen Daten unterschiedlicher Auftraggeber sichergestellt? Konkret erwartet der Auditor, dass die Daten verschiedener Auftraggeber konsequent in nach Mandanten getrennten Verarbeitungsinstanzen der eingesetzten Programme verarbeitet werden. Wenn Programme keine Mandantentrennung bieten, erfolgt die Bearbeitung entweder durch verschiedene Bearbeiter oder sequentielle Bearbeitung durch einen Benutzer, oder die Daten werden konsequent auf getrennten Maschinen oder Maschinen- Seite 21

24 Partitionen gehalten. Fragensegment 8 Eigenkontrolle Neben den getroffenen Maßnahmen hat der Auftragnehmer auch für deren Wirksamkeit Sorge zu tragen. Dies erfolgt zumindest in Form von eigener Kontrolle, die unterjährig durchgeführt und mindestens rudimentär dokumentiert ist. Frage 8.1 Wird die Einhaltung und Wirksamkeit der organisatorischen und technischen Maßnahmen durch den Auftragsnehmer selbst regelmäßig kontrolliert? Seite 22

25 Fragensegment 9 Prüfungsabschluss Der Auditor hat eine besondere Sachverständigenfunktion. Es ist daher unerlässlich, dass er sich den aus der Befragung gewonnen Eindruck teilweise durch eigene in Augenscheinnahme bestätigen lässt. Frage 9.1 Sind ungewöhnliche Datenkategorien aufgefallen, und wurden diese angemessen behandelt? Neben der Verarbeitung von besonderen personenbezogenen Daten gemäß Fragesegment 3 gibt es eine Reihe von Anwendungen, für die besondere Anforderungen an die Datensicherheit gelten. Hierzu zählen Informationen aus dem elektronischen Zahlungsverkehr und Systeme, die geeignet sind von Nutzern Bewegungsprofile zu erstellen. Beispiele hierfür sind Customer Loyalty Karten, Kantinenkarten, Videoüberwachung, Satellitenortung oder netzbasierte Standortbestimmung, Produktkennzeichnung mit RFID oder Soziale Netzwerke. Seite 23

26 Frage 9.2 Konnte sich der Auditor durch in Augenscheinnahme einen persönlichen Eindruck von der Datenverarbeitung des Auftragnehmers verschaffen? Eine in Augenscheinnahme kann nur aus Verfügbarkeitsgründen oder den rechtlich besonders unterlegten Gründen von Geheimschutz oder Amtsträger-Geheimnis verwehrt werden. Jede nicht hinreichend begründete Verweigerung stellt eine Einschränkung der Offenheit des geprüften Unternehmens und damit eine Störung des Prüfverfahrens dar. Seite 24

27 Seite 25

28 Treuhänderische Stiftung zur Förderung der informationellen Selbstbestimmung und der Datenschutz konformen Gestaltung in der Informationsgesellschaft. Privacy Audit Inhaber Mathias Reinis Bonner Logsweg Bonn Telefon: (0228) Telefax: (0228)