1. Home
  2. Datenschutz,...
DataAgenda

Datenschutz, Informationssicherheit und KI als integriertes Prüffeld der Internen Revision

Interne Revision und Datenschutz

Der DIIR-Arbeitskreis „Datenschutz & Data Governance“ hat seinen bewährten Leitfaden zur Internen Revision und Datenschutz sowie die begleitende Checkliste zur Prüfung der Datenschutzorganisation grundlegend überarbeitet und als Version 3.0 veröffentlicht. Beide Dokumente reagieren auf die erheblich veränderten regulatorischen und technologischen Rahmenbedingungen der letzten Jahre.

Erweiterter Themenrahmen: KI und Informationssicherheit neu integriert

Datenschutz ist längst kein isoliertes Rechtsthema mehr. Cyberrisiken, hybride IT-Landschaften, datengetriebene Geschäftsmodelle und der zunehmende Einsatz von KI-Systemen erfordern ein integriertes Verständnis und die Verzahnung von Datenschutz, Informationssicherheit und Data Governance. Der Leitfaden trägt dem Rechnung, indem er diese Themen erstmals systematisch zusammenführt. Datenschutz schützt dabei die Privatsphäre natürlicher Personen, während Informationssicherheit auf die Verfügbarkeit, Integrität und Vertraulichkeit aller Unternehmensdaten zielt. Beide Disziplinen überschneiden sich insbesondere bei den technischen Schutzmaßnahmen nach Art. 32 DS-GVO und den Anforderungen der ISO 27001.

Bezug zu den Global Internal Audit Standards

Auch die Global Internal Audit Standards tragen der Relevanz dieser Themen Rechnung, insbesondere in den Standards 5.2 (Schutz von Informationen) und 10.3 (Technologische Ressourcen). Standard 5.2 betont die Verantwortung der Internen Revision, Prüfungsinformationen angemessen zu schützen und damit sowohl den Anforderungen des Datenschutzes als auch des Informationsschutzes über den gesamten Prüfungsprozess hinweg Rechnung zu tragen.

Relevanz für den betrieblichen Datenschutzbeauftragten

Der Leitfaden widmet der Rolle des Datenschutzbeauftragten (DSB) ein eigenes Kapitel (mit Ausführungen zu seiner Stellung im Unternehmen, seinen Aufgaben und dem internationalen Kontext). Für DSBe ist die Publikation in zweifacher Hinsicht bedeutsam: Einerseits definiert sie, wie die Interne Revision datenschutzkonform prüfen soll, was unmittelbar die Zusammenarbeit zwischen DSB und Revisionsabteilung betrifft. Andererseits liefert die begleitende Checkliste einen strukturierten Prüf- und Orientierungsrahmen, der auch für die eigene Überwachungsfunktion des DSB nach Art. 39 DS-GVO nutzbar ist. Die Einhaltung der DSGVO-Grundsätze obliegt dem Verantwortlichen und muss anhand einer entsprechenden Dokumentation nachgewiesen werden können. Das legt nahe, dass im Unternehmen ein Datenschutzmanagementsystem etabliert sein sollte, das die Einhaltung der Schutzziele der DSGVO gewährleistet.

Beide Dokumente sind kostenlos über die DIIR-Website abrufbar.

(Foto: Amith – stock.adobe.com)

Letztes Update:27.06.26

Das könnte Sie auch interessieren

  • Social Media Policy Behörde öffentliche Stelle

    Social Media: LfDI aktualisiert Handlungsrahmen

    Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat seinen Handlungsrahmen für die Nutzung von Social Media durch öffentliche Stellen in aktualisierter Fassung veröffentlicht. Das Dokument trägt der gewachsenen Realität Rechnung, dass Plattformen wie Facebook, TikTok oder X längst zu regulären Kommunikationskanälen von Behörden geworden sind — und schafft dafür klare datenschutzrechtliche Leitplanken.

    Mehr erfahren
  • Auskunftsrecht Wettanbieter

    LG Freiburg stärkt Auskunftsrecht von (Wett-)Spielern

    Das Landgericht Freiburg hat in einem Teilurteil den datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DS-GVO in einem Kontext bestätigt (LG Freiburg, Teilurteil vom 29. Mai 2026 – 8 O 203/24): Ein Spieler klagte gegen zwei maltesische Online-Glücksspielanbieter auf vollständige Auskunft über seine Spiel- und Zahlungshistorie – als Vorstufe zur Rückforderung verlorener Einsätze von geschätzt 100.000 Euro.

    Mehr erfahren
  • DSB und Kontreolle des Betriebsrats

    Prüfkompetenzen des DSB bezüglich des Betriebsrats

    Das Landesarbeitsgericht Hamburg (LAG Hamburg, Beschluss vom 27. Januar 2026 – 4 TaBV 3/25) hat in einem Beschluss klargestellt, dass die interne Revision einer Rundfunkanstalt die Gesamtschwerbehindertenvertretung nicht im Rahmen der regulären Revisionsjahresplanung prüfen darf. Die anlasslose, systematische Kontrolle der Amtstätigkeit, insbesondere auf Zweckmäßigkeit, verstößt gegen das Behinderungsverbot des § 179 Abs. 2 SGB IX.

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner