Nach § 25a Kreditwesengesetz muss ein Kreditinstitut über eine ordnungsgemäße Geschäftsorganisation verfügen. Dazu gehört u. a. auch die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision. Häufig haben Wohnungsgenossenschaften mit Spareinrichtung die Innenrevision an einen externen Dienstleister ausgelagert, weil es wegen zu geringer Betriebsgröße nicht sinnvoll und wirtschaftlich ist, eine eigene Stabsstelle "Innenrevision" vorzuhalten. Es ist nicht auszuschließen, dass die Innenrevision im Rahmen ihrer Prüfungstätigkeit auch in die personenbezogenen Daten der Sparer und Mitglieder Einsicht nimmt.
Die Einsichtnahme in die personenbezogenen Daten bei Genossenschaften mit Spareinrichtung durch eine externe Innenrevision erfolgt auf gesetzlicher Grundlage (KWG) und ist dementsprechend zulässig. In den abzuschließenden Verträgen ist darauf zu achten, dass der Dienstleister zur Verschwiegenheit und zur Einhaltung der datenschutzrechtlichen Normen verpflichtet wird.
Da nach den Mindestanforderungen an das Risikomanagement (MaRisk) die Innenrevision nicht weisungsgebunden ist, liegt keine Auftragsverarbeitung vor.
In den Informationen bei der Datenerhebung sollte auf die externe Durchführung der Revision hingewiesen werden (vgl. Informations- und Auskunftspflichten bei der Datenerhebung).
Das ist nur ein Ausschnitt aus dem Produkt VerwalterPraxis. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen