Ergebnis 1 bis 5 von 5

Thema: Revison und Datenschutz

  1. #1
    Registriert seit
    15.11.2010
    Beiträge
    44

    Standard Revison und Datenschutz

    Einen schönen guten Tag an das Forum,

    ich wäre interessiert von Erfahrungen zu hören, inwieweit die Revision bei durchzuführenden Audits datenschutzrechtliche Grundsätze zu beachten hat.
    Wenn es nicht um eine Prüfung, die aufgrund einer vermuteten "dolosen" Handlung aufgesetzt wurde, sondern um eine normale Prüfung eines IT-Prozesses, dann kann ich mir nicht vorstellen, dass es für die Revision einen Freibrief gibt, sich sämtliche Daten in aller Richtungen auswerten zu lassen. Oder liege ich da falsch und der Datenschutz spielt für Ergebnisfindung durch die Revision keine Rolle?
    Im konkreten Fall geht es um eine Prüfung, die von einer Konzerngesellschaft durchgeführt wird. Ich wurde von einem IT-Fachbereich angesprochen, ob sie die Anfrage eines Auditors nach einem Report über die User-ID Vergabe für Systemadministratoren herausgeben dürfen, wenn neben der USER-IDs dann jeweils auch konkret noch die Person zugeordnet werden soll.

    Ist es nicht in solchen Fällen z.B. auch wichtig, den Datenschutzgrundsatz der Zweckgebundenheit zu hinterfragen? Wer die Berichte letztlich alles zu sehen bekommt, kann ich nicht sagen und was dort letztlich inhaltlich veröffentlicht wird, ebenfalls nicht. Zumindest hat es keinerlei Rücksprache mit mir als DSB bzgl. der diversen Audit-Maßnahmen gegeben.
    Vielleicht ist das auch nicht erforderlich... oder?


    / typo-Korrekturen
    Geändert von mountjb (03.05.2012 um 09:23 Uhr)

  2. #2
    Registriert seit
    10.02.2011
    Beiträge
    1.926

    Standard

    Der Zweck ist der Audit, sprich die Überprüfung der ordnungsgemäßen Einhaltung der Prozesse. Also gibt es doch eine Zweckbindung.
    Wie soll überprüft werden, ob die User-ID Vergabe z.B. bei namentlich bekannt zu machenden Admins korrekt ist, wenn die Namen nicht überprüft werden können?
    Ich denke, es sollte auch im Sinne des Auditors sein, diese sicherheitsrelevanten Informationen nur dem berechtigten Personenkreis zur Verfügung zu stellen, wenn es überhaupt weitergegeben werden sollte. Normalerweise verbleibt das in der internen Doku und der Auditor vermerkt in seinem Bericht lediglich "Korrekt, siehe Dokument XYZ". Frag ihn/sie doch einfach?

  3. #3
    Registriert seit
    15.11.2010
    Beiträge
    44

    Standard

    Ja, anzolino, der Audit als genereller Zweck des Ganzen ist schon von mir erkannt. Meine Sicht der Dinge ist eher der konkrete Anlass/Auftrag des Audits, der ja den eigentlichen Zweck und das angestrebte Prüfungsziel beschreibt. Deshalb auch meine Frage inwieweit die mit der Durchführung des Audits beauftragte Revision hierbei datenschutzrechtliche Grundsätze zu berücksichtigen hat bzw. sich mit dem bDSB abstimmen müsste. Obwohl die Ergebnisse einer Revisionsprüfung meistens an den Vorstand oder die GF geht und man davon ausgehen kann, dass Ergebnisse nicht breit gestreut werden, kann ich mir vorstellen, dass der Auditor nicht ohne weiteres Reports erstellen lassen kann, die zu Leistungs- und Verhaltenskontrollen von Mitarbeitern herangezogen können. Insbesondere dann, wenn die Nutzung der beauskunftenden Systeme in einer BV explizit solch eine Nutzung ausschließt. Ich spreche hier eben nicht von Audits, die konkrete Verdachtsmomente von Mitarbeiterverfehlungen zum Inhalt haben.

    Es geht mir um das Zusammenspiel zwischen Revision und bDSB und möglichen Privilegien der Auditor bei ihren Prüfungen...

  4. #4
    Registriert seit
    10.02.2011
    Beiträge
    1.926

    Standard

    Moin. (vergessen heute früh )

    Du sprichst von einem ganz normalen Audit ohne besonderen Anlaß, schon klar.
    Ja, natürlich ist der Zweck prozess-/verfahrensorientiert. Wenn die Verfahren der Schließanlage/Kartenleser überprüft werden, braucht's keine User-ID-Vergabe der Rechner, die nicht in dem Verfahren eingebunden sind. Hatte mich zu allgemein ausgedrückt.
    Was hat ein Report über die User-ID-Vergabe mit Leistungs- und Verhaltenskontrolle zu tun? Zählt Datum und Unterschrift auf einem genehmigten Antrag zur Vergabe der ID dazu?

    Bei den Vorbereitungen des Audits und spätestens im Auditplan sollte ersichtlich sein, an welchen Stellen evtl. der DSB anwesend sein müßte, weil auf pb Daten zugegriffen wird.
    Sprich doch einfach mit dem Menschen, wie er/sie sich das vorstellt. Oder geht das nicht?

  5. #5
    Registriert seit
    19.06.2009
    Beiträge
    2.862

    Standard

    § 31 Besondere Zweckbindung

    Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
    Das gilt typischerweise auch für die Revision . Das ist bei der Abfassung und Verteilung der Berichte zu beachten. Die Empfänger sind darauf hinzuweisen.
    Ulrich Dammann
    Moderator - Administrator

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •