Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Transkript

1 Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg,

2 Audit & Enterprise Risk Services Tax & Legal As One Corporate Finance Consulting Mitarbeiter weltweit ,7% 2014 Vorteil unserer weltweiten Präsenz: wir bündeln enormes länderspezifisches Know-how und arbeiten global auf einheitlich hohem Niveau. Das bedeutet für Sie: jederzeit an jedem Ort exzellente Qualität, ausgeprägter Teamgeist im globalen Netzwerk, grenzüberschreitende Zusammenarbeit und interdisziplinäre Lösungen. 2

3 Agenda Warum Compliance Management? 5 IDW Prüfungsstandard Projektbeispiel DTAG 13 Fragen 16 3

4 Warum Compliance Management? 4

5 Regulatorische Anforderungen AktG Aktiengesetz Im Rahmen seiner allgemeinen Sorgfaltspflicht hat der Vorstand Maßnahmen zur Sicherstellung der Einhaltung gesetzlicher Bestimmungen und unternehmensinterner Regeln zu etablieren vgl. AktG 93 1)). Dem Aufsichtsrat obliegt die Überwachungspflicht AktG 111 1)). Konkretisiert wird dies in AktG 107 3) über die Bildung eines Prüfungsausschusses. DCGK Deutscher Corporate Governance Kodex Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin DCGK, Tz ). Der Vorstand informiert den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen der Strategie, der Planung, der Geschäftsentwicklung, der Risikolage, des Risikomanagements und der Compliance. DCGK, Tz. 3.4). Der Aufsichtsrat soll einen Prüfungsausschuss Audit Committee) einrichten, der sich insbesondere mit Fragen der Rechnungslegung, des Risikomanagements und der Compliance, [.] befasst DCGK, Tz ). 5

6 Praktische Notwendigkeit Unternehmensstruktur Mehrere hundert Tochterunternehmen im In- und Ausland,sechsstellige Anzahl Mitarbeiter, häufige Änderungen der Unternehmensstruktur Verpflichtung nach 5 BDSG? Ketten von Auftragsverhältnissen zur Datenverarbeitung Kanadischer Kunde beauftragt Sie mit Kundendatenanalyse, Bearbeitung mit niederländischem Subunternehmer, dessen Systeme werden in Malaysia betrieben Vereinbarung zur Datenverarbeitung im Auftrag nach 11 BDSG? Weltweite Regulatorik Aktivitäten in 27 Ländern auf drei Kontinenten Verfolgung aller wesentlichen Rechtsgrundlagen? 6

7 Compliance Management System Planen [ ]die[ ]eingeführten Grundsätze und Maßnahmen [ ], die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens [ ] abzielen, d.h. auf die Einhaltung bestimmter Regeln und damit auf die Verhinderung von wesentlichen Verstößen [ ]. Steuern Überwachen 7

8 Stakeholder Betriebsräte: Wird angemessen mit Mitarbeiterdaten umgegangen? Verbraucherschützer: Sind Kundendaten vor missbräuchlicher Nutzung geschützt? Geschäftspartner: Können wir uns auf Ihre Datenschutzmaßnahmen verlassen? Aufsichtsrat: Wie sichern wir unsere Reputationsrisiken beim Thema Datenschutz ab? Wirtschaftsprüfer: Können Sie einen Nachweis zum Umgang mit regulatorischen Risiken erbringen? 8

9 IDW Prüfungsstandard 980 9

10 Anwendungsbereiche Geldwäsche Umweltschutz Korruption Produkthaftung Insiderhandel Datenschutz Besonderheiten im Datenschutz - Risiken i.d.r. nicht quantifizierbar - Beauftragter mit direkter Berichtslinie zu Vorstand bzw. Geschäftsführung 10

11 Sieben Kernelemente Kultur CMS - Beschreibung Programm Kommunikation Ziele Risiken Organisation Überwachung und Verbesserung - Systemischer Ansatz - Risikoorientierung - skalierbar durch CMS 11

12 Prüfungsvorgehen / Prüfungsurteil Wirksamkeit zeitliche Komponente durchgängige Wirksamkeit im Berichts-zeitraum nachgelagerte Betrachtung Konzeption Angemessenheit - Angemessenheit tatsächliche Regelverstöße mit hinreichender Sicherheit aufzudecken bzw. zu verhindern - tatsächliche Implementierung CMS - Grundsätze und Eignung der dargestellten Maßnahmen - innere Logik - Prüfungsgegenstand 12

13 Projektbeispiel DTAG 13

14 Ausgangssituation BRANCHE UND REGION Telekommunikation, weltweite Aktivitäten BESTAND PERSONENBEZOGENER DATEN DATENSCHUTZ- ORGANISATION WAHRNEHMUNG VORAB Kommunikationsinhalte und metadaten, Nutzungsdaten, Geolokalisationsdaten, besondere Arten von pbd nach 3 9) BDSG sehr groß Absolut Integrität Erstklassige Leistung Gegenseitige Nach 2009: VorreiterrolleUnterstützung im Datenschutz als Bestandteil der Kulturelle Vielfalt Geschäftsstrategie PRÜFUNGSAUFTRAG Erster IDW PS980 Typ 3 für Datenschutz im DAX30, Konzeption, Implementierung und Wirksamkeit 14

15 Organisation Vorstand Datenschutzbeauftragter Expertengremium BCR Datenschutzkoordinatoren national / international Grundlagen Mitarbeiterdatenschutz Kundendatenschutz Datenschutz -audit BCR = Binding Corporate Rules 15

16 Fragen? 16

17 Vielen Dank! 17

18 Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg,

19 Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited DTTL ), eine private company limited by guarantee Gesellschaft mit beschränkter Haftung nach britischem Recht), ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL auch Deloitte Global genannt) erbringt selbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie auf Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern und Gebieten verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und steht Kunden so bei der Bewältigung ihrer komplexen unternehmerischen Herausforderungen zur Seite. To be the Standard of Excellence für mehr als Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Diese Veröffentlichung enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen des Einzelfalls gerecht zu werden und ist nicht dazu bestimmt, Grundlage für wirtschaftliche oder sonstige Entscheidungen zu sein. Weder die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited, noch ihre Mitgliedsunternehmen oder deren verbundene Unternehmen insgesamt das Deloitte Netzwerk ) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft