UIMCert: Datenschutzprüfungen können mit Hilfe der CC qualifizierter durchgeführt werden
rt: Datenschutzprüfungen können mit Hilfe der CC qualifizierter durchgeführt werden
Das Datenschutzauditgesetz ist bei der Novellierung des BDSG wieder einmal zurückgestellt worden, so dass in dieser Legislaturperiode eine Verabschiedung dieses Gesetzes nicht mehr zu erwarten ist. Hieraus ergibt sich die Frage, ob damit nicht nur das Gesetz sondern auch das Problem der Datenschutzauditierung auf die lange Bank geschoben wurde, beziehungsweise nach welchen Kriterien ordnungsgemäße Systeme gestaltet und evaluiert/geprüft werden sollen. Unter Fachleuten ist diese Frage schon seit längerem entschieden: Die Common Criteria (CC), ein international geltender Standard, erlauben die Möglichkeit, Protection Profiles zu konstruieren, sie für die spezifischen Belange des Datenschutzes zu modifizieren und als Prüfkriterien zu nutzen. Reicht das aber aus, um den Forderungen an Ordnungsmäßigkeit zu genügen und Audits von Anwendungen und Systemen durchzuführen, die ordnungsgemäß gestaltet wurden?
Interessant in diesem Zusammenhang ist, dass Datenschutz als Ordnungsmäßigkeitskriterium für den Wirtschaftsprüfer als externen Prüfer eigentlich schon seit längerem im Rahmen von Compliance-Prüfungen Gegenstand der Auditierung sein sollte. Hieran halten sich eine Anzahl von Wirtschaftsprüfern, das Gros sieht jedoch darüber hinweg. Zunehmend mehr lassen Unternehmen, die rechnungslegungsrelevante Software herstellen, im Rahmen einer Prüfung auf Ordnungsmäßigkeit auch die des Datenschutzes mit prüfen und sich gegebenenfalls bescheinigen. Hier ist zumindest vom Prüfkonzept her die Wirtschaftsprüfungspraxis der Datenschutzauditierungsgesetzgebung davongelaufen. Die UIMCert hat in einer Anzahl von Fällen bei Prüfungen nach dem Prüfungsstandard IDW PS 880 Datenschutzprüfungen mit vorgenommen und bei Vorliegen die Ordnungsmäßigkeit bescheinigt. Hierzu werden allerdings die komplexen Prüfvorgaben gemäß der CC nicht benötigt.
Die konkreten Möglichkeiten, die CC für die Gestaltung und Prüfung von Anwendungen und Systemen zu nutzen werden von Prof. Dr. R. Vossbein demnächst in zwei aufeinander folgenden Artikeln der Zeitschrift PRev (PRev, Zeitschrift für Revision, Boorberg-Verlag), davon einer unter der Co Autorenschaft von T. Collenberg, ausgeführt und für den Praktiker nachvollziehbar und nutzbar dargestellt. Nähere Informationen unter www.uimcert.de
Das Datenschutzauditgesetz ist bei der Novellierung des BDSG wieder einmal zurückgestellt worden, so dass in dieser Legislaturperiode eine Verabschiedung dieses Gesetzes nicht mehr zu erwarten ist. Hieraus ergibt sich die Frage, ob damit nicht nur das Gesetz sondern auch das Problem der Datenschutzauditierung auf die lange Bank geschoben wurde, beziehungsweise nach welchen Kriterien ordnungsgemäße Systeme gestaltet und evaluiert/geprüft werden sollen. Unter Fachleuten ist diese Frage schon seit längerem entschieden: Die Common Criteria (CC), ein international geltender Standard, erlauben die Möglichkeit, Protection Profiles zu konstruieren, sie für die spezifischen Belange des Datenschutzes zu modifizieren und als Prüfkriterien zu nutzen. Reicht das aber aus, um den Forderungen an Ordnungsmäßigkeit zu genügen und Audits von Anwendungen und Systemen durchzuführen, die ordnungsgemäß gestaltet wurden?
Interessant in diesem Zusammenhang ist, dass Datenschutz als Ordnungsmäßigkeitskriterium für den Wirtschaftsprüfer als externen Prüfer eigentlich schon seit längerem im Rahmen von Compliance-Prüfungen Gegenstand der Auditierung sein sollte. Hieran halten sich eine Anzahl von Wirtschaftsprüfern, das Gros sieht jedoch darüber hinweg. Zunehmend mehr lassen Unternehmen, die rechnungslegungsrelevante Software herstellen, im Rahmen einer Prüfung auf Ordnungsmäßigkeit auch die des Datenschutzes mit prüfen und sich gegebenenfalls bescheinigen. Hier ist zumindest vom Prüfkonzept her die Wirtschaftsprüfungspraxis der Datenschutzauditierungsgesetzgebung davongelaufen. Die UIMCert hat in einer Anzahl von Fällen bei Prüfungen nach dem Prüfungsstandard IDW PS 880 Datenschutzprüfungen mit vorgenommen und bei Vorliegen die Ordnungsmäßigkeit bescheinigt. Hierzu werden allerdings die komplexen Prüfvorgaben gemäß der CC nicht benötigt.
Die konkreten Möglichkeiten, die CC für die Gestaltung und Prüfung von Anwendungen und Systemen zu nutzen werden von Prof. Dr. R. Vossbein demnächst in zwei aufeinander folgenden Artikeln der Zeitschrift PRev (PRev, Zeitschrift für Revision, Boorberg-Verlag), davon einer unter der Co Autorenschaft von T. Collenberg, ausgeführt und für den Praktiker nachvollziehbar und nutzbar dargestellt. Nähere Informationen unter www.uimcert.de
Datum: 04.09.2009 - 12:06 Uhr
Sprache: Deutsch
News-ID 115830
Anzahl Zeichen: 0
pressrelations.de – ihr Partner für die Veröffentlichung von Pressemitteilungen und Presseterminen, Medienbeobachtung und Medienresonanzanalysen
Diese Pressemitteilung wurde bisher 312 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"UIMCert: Datenschutzprüfungen können mit Hilfe der CC qualifizierter durchgeführt werden"
steht unter der journalistisch-redaktionellen Verantwortung von
UIMCert
(Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).UIMCert bestätigt: Der Aktion Mensch e.V. ist die Transition des Informationssi ...
er Aktion Mensch e. V. ist die Transition des Informationssicherheits-Managementsystems auf ISO 27001:2013 erfolgreich gelungen
Die DAkkS-akkreditierte UIMCert GmbH konnte der Aktion Mensch im Juni/ Juli 2015 im Transitions- und Überwachungsau ...UIMCert bestätigt der FEV GmbH die erfolgreiche Transition des Informationssich ...
r FEV GmbH die erfolgreiche Transition des Informationssicherheits-Managementsystems auf ISO 27001:2013
Die UIMCert GmbH konnte im Rezertifizierungsaudit gemäß ISO 27001 der FEV GmbH im Februar 2015 erneut ein sicheres Informationssicherheits- ...UIMCert führt Datenschutzprüfung bei IT-Outsourcing-Dienstleister von Schneide ...
chutzprüfung bei IT-Outsourcing-Dienstleister von Schneider Electric erfolgreich durch
Evaluation der Auftragsdatenverarbeitung bei Capgemini fällt positiv aus
Spätestens seit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahre 2009 ...Alle Meldungen von UIMCert
