Datenschutzaudit

Der Datenschutz ist ein immer wichtiger werdender Teil nicht nur der Rechtsrealität, sondern auch des täglichen Lebens. Der Datenschutz ist dabei jedoch nicht allein für natürliche Personen äußerst bedeutsam – grade im Wirtschaftsleben ist es wichtig, dass Unternehmen die datenschutzrechtlichen Regelungen einhalten. Werden Normen des Datenschutzes verletzt, so können sogar Geldstrafen folgen.

Doch nicht immer kann schnell und zweifelsfrei festgestellt werden, ob die Maßnahmen, die hinsichtlich des Datenschutzes ergriffen werden, überhaupt ausreichen, um die rechtlichen Vorgaben einzuhalten. Um dieser Unsicherheit entgegen zu wirken, findet sich im Gesetz die Möglichkeit des sog. Datenschutzaudit. In Deutschland regelt auf Bundesebene das Bundesdatenschutzgesetz (BDSG) den Datenschutz, sodass die Regelung sodann auch im BDSG gefunden werden kann.

Grundlage des Datenschutzaudits: § 9a BDSG

  • 9a BDSG regelt, dass zur Verbesserung des Datenschutzes und der Datensicherheit Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen können. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter sollen dabei durch besonderes Gesetz geregelt werden.

Genau genommen ermöglicht § 9a BDSG damit nicht die Durchführung eines Datenschutzaudits, sondern stellt lediglich die bloße Möglichkeit eines solchen Verfahrens vor, verweist jedoch für die nähere Ausführung auf besondere Gesetze. Ein solches hätte das Datenschutz-Audit-Gesetz werden können, welches zunächst auf Bundesebene angedacht war. Der Deutsche Bundestag beschloss jedoch im Jahr 2009, das Gesetz nicht zu verabschieden. Trotz dass § 9a BDSG damit lediglich eine Programmnorm ist, wird auf dessen Grundlage von verschiedener Stelle ein Datenschutzaudit angeboten (dazu noch unten).

Was ist der Datenschutzaudit?

Einfach gesagt ist das Datenschutzaudit damit eine förmliche Prüfung des Datenschutzkonzepts. § 9a BDSG differenziert hier jedoch zwischen verschiedenen Möglichkeiten. Auf der einen Seite können die technischen Einrichtungen der zu überprüfenden Stelle überprüft werden, auf der anderen Seite das gesamte Datenschutzkonzept. Je nachdem, was im Datenschutzaudit überprüft werden soll, divergieren die Verfahren des Audits: Für die Überprüfung der technischen Einrichtungen ist ein sog. Produkt-Audit, für das Datenschutzkonzept ein sog. System-Audit erforderlich. Im Ergebnis wird demnach geprüft, ob das Vorgehen einer datenverarbeitenden Stelle mit den Regelungen des Datenschutzes konform ist.

Welche Rolle spielt der Datenschutzbeauftragte?

Das BDSG verlangt u.a. vom Datenschutzbeauftragten, dass die gesetzlichen Anforderungen des Datenschutzes sichergestellt werden und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme überwacht wird. Der Datenschutzbeauftragte soll dafür grundsätzlich eine Bestandsaufnahme im Sinne einer Risikoanalyse vornehmen, um ein Datenschutz-Managementsystems zu erstellen. Grundsätzlich kann damit auch der Datenschutzbeauftragte einen solchen Datenschutzaudit vornehmen. Das Datenschutzaudit kann aber auch durch andere, auch externe Stelle durchgeführt werden (welche Stellen einen Datenschutzaudit anbieten wird unten noch dargestellt).

Doch auch bei einem externen Datenschutzaudit spielt der Datenschutzbeauftragte eine ganz zentrale Rolle. Dieser ist aufgrund seiner Zuständigkeit und Verantwortung als interner Auftraggeber anzusehen und begleitet den Datenschutzaudit auch durch externe Stellen. Er kann mit seinen weitergehenden Kenntnisse über das konkrete Unternehmen erst dafür sorgen, dass das Datenschutzaudit sinnvoll durchgeführt werden kann. Die Datenschutzgesetze stellen an den Datenschutzbeauftragten hohe Anforderungen an dessen Eignung und Fachkunde, weswegen der Datenschutzbeauftragte als Mittler zwischen dem zu überprüfenden Unternehmen und der externen Stelle, welche die Auditierung vornimmt, agieren kann.

Ziel des Datenschutzaudits

Natürlich ist das vornehmliche Ziel eines Datenschutzaudits, etwaige Datenschutzverstöße oder Schwächen des Datenschutzkonzepts und der technischen Einrichtungen aufzudecken und in der Folge abzustellen. Das hauptsächliche Ziel des Datenschutzaudits ist daher die kontinuierliche Verbesserung des Datenschutzniveaus und der Datensicherung im Unternehmen.

Dies ist bisher jedoch alles andere als verpflichtend. Keine datenverarbeitende Stelle muss sich einem Datenschutzaudit unterziehen geschweige denn dessen Ergebnisse offenlegen. Das sorgt jedoch auch dafür, dass es bisher keine Notwendigkeit bei den datenverarbeitenden Stellen gibt, aus eigenem Antrieb heraus das Datenschutzniveau zu kontrollieren oder sogar zu erhöhen und die Datensicherung sicherzustellen.

Das Datenschutzaudit ermöglicht es jedoch, diese Maßnahmen zu dokumentieren, wenn sie vorgenommen werden. Durch ein freiwilliges Datenschutzaudit kann ein Siegel erworben werden, das als „Prämierung“ verstanden werden kann. Es schafft damit nicht nur Anreize, das vorgegebene Datenschutzniveau einzuhalten, sondern dieses sogar zu übertreffen, denn das Datenschutzaudit kann als freiwillige Maßnahme zunehmend als Werbemaßnahme einer datenverarbeitenden Stelle angesehen werden. Ein positives Prüfungsergebnis kann mit der Öffentlichkeit geteilt werden, woraus entscheidende Wettbewerbsvorteile gezogen werden können. Die Öffentlichkeit sorgt dabei zunächst erst über die Marktnachfrage dafür, dass das Unternehmen an einem Datenschutzaudit teilnimmt. Das Datenschutzaudit ist daher grade keine externe Fremdregulierung, sondern soll eine freiwillige, unternehmensinterne Selbstregulierung anstoßen.

Unternehmen werden damit in einen freiwilligen Wettbewerb gedrängt, denn wenn Konkurrenten ein Datenschutzaudit vornehmen lassen und das Ergebnis vorlegen können, so hat dies Signalwirkung auf andere Marktteilnehmer. Konkurrenten werden nachziehen und versuchen, das Ergebnis sogar zu übertreffen. In der Folge soll mit dem Datenschutzaudit erreicht werden, dass das Datenschutzniveau als Ganzes ansteigt und die Datensicherheit verbessert wird. Durch Werbung und Wettbewerb soll damit die freiwillige Selbstregulierung als Mechanismus für einen effektiven Datenschutz fruchtbar gemacht werden.

Das System-Audit als vorzugswürdige Auditierung

Um tatsächlich ein erhöhtes Datenschutzniveau bzw. zumindest die Einhaltung der gesetzlichen Datenschutzvorschriften und die Datensicherheit zu gewährleisten, sollte ein Datenschutz-Managementsystem eingeführt werden, welches in regelmäßigen Abständen durch interne und externe Stellen überprüft und bei Bedarf weiter optimiert und angepasst wird. Daher ist ein komplettes System-Audit einem Produkt-Audit vorzuziehen. Während beim System-Audit wie bereits dargestellt das gesamte Datenschutzkonzept überprüft wird, werden beim Produkt-Audit nur einzelne Aspekte der technischen Einrichtungen überprüft. Das System-Audit ist damit deutlich weitgehender und für die Zielsetzung des § 9a BDSG gewinnbringender. Auch für Unternehmen hat ein System-Audit einen höheren Wert, da sie damit werben können, dass das gesamte Konzept des Unternehmens überprüft und positiv bescheidet wurde und nicht nur einzelne Aspekte.

Durch ein System-Audit kann im Gegensatz zu einem statischen Produkt-Audit, welches objektbezogen durchgeführt wird, auch ein gewisser Lernprozess angestoßen werden, welcher auf lange Sicht ebenfalls der Erhöhung des Datenschutzniveaus zuträglich ist. Durch ein Datenschutzaudit in Form des System-Audits kann neben dem grundsätzlichen Datenschutzkonzept und der Einhaltung der relevanten Normen auch die Fähigkeit eines Unternehmens überprüft und prämiert werden, flexibel auf Veränderungen zu reagieren. Die ständige Neujustierung zur Einhaltung aller datenschutzrechtlich relevanten Regelungen erfordert ein extrem hohes Maß an Verständnis und Flexibilität und stellt eine große Herausforderungen für das Unternehmen dar. Im Rahmen des System-Audits werden daher nicht einmalige Prozesse durchlaufen und kontrolliert, sondern ständig neue Lösungen vom Unternehmen gefordert. Das gesamte Datenschutzkonzept wird daher als Datenschutz-Managementsystem begriffen, mit welchem auf alle auftretenden Eventualitäten reagiert werden kann. Ein solches Siegel hat am Markt natürlich eine dementsprechend höhere Signalwirkung als die ledigliche Auszeichnung, dass ein einzelnes Produkt zu einem bestimmten Zeitpunkt datenschutzkonform war.

Ablauf des Datenschutzaudits

Das Datenschutzaudit durchläuft mehrere Stufen zwischen der unternehmerischen Entscheidung, ein solches durchführen zu lassen und der letztendlichen Siegelvergabe und dadurch anzustoßende Werbemaßnahmen. Diese sollen in aller Kürze dargestellt werden, um zu erläutern, wie der Prozess rund um die Auditierung für gewöhnlich aussieht.

Zunächst wird eine Datenschutzprüfung durchgeführt, wodurch der momentane Status einer Bestandsaufnahme unterworfen wird. Hierdurch kann festgehalten werden, inwieweit die Verarbeitung personenbezogener Daten und die im Unternehmen geregelten Datenschutzregeln den datenschutzrechtlichen Vorgaben entsprechen. Nachdem diese erste Datenschutzprüfung durchgeführt worden ist, wird von der überprüfenden Stelle eine Datenschutzpolitik aufgestellt, zu der sich verpflichtet wird und auf deren Grundlage das nachfolgende Datenschutzkonzept inklusive konkreter Datenschutzziele erstellt wird. Teil hiervon ist auch eine Aufstellung von gezielten Maßnahmen, die ergriffen werden sollen sowie ein Fristenplan zur Umsetzung der Datenschutzpolitik.

Schon während der Erstellung des Datenschutzprogramms wird das Datenschutzmanagementsystem implementiert. In diesem System werden die Organisationsstruktur und die Zuständigkeiten geregelt. Außerdem wird das Verfahren, mit allen Abläufen festgelegt. Dazu gehört auch die Aufstellung sämtlicher Mittel, die zur Verwirklichung der Vorgaben des Datenschutzkonzepts nötig sind.

Sind all diese Schritte erledigt, muss sichergestellt werden, dass das Datenschutz-Managementsystem und das Konzept auch dauerhaft erfolgreich ist. Hierfür werden periodische Datenschutzbetriebsprüfungen eingeführt, welche die Wirksamkeit der ergriffenen Mittel analysieren. In diesen periodischen Prüfungen wird unter anderem beleuchtet, ob die Organisation, das Datenschutz-Management und die Betriebsabläufe so ablaufen, wie es vorher in in der Datenschutzpolitik und im Datenschutzkonzept festgelegt wurde. Die periodischen Prüfungen sind dann erfolgreich, wenn festgestellt werden kann, dass die angestrebte Verbesserung des Datenschutzes erreicht wurde bzw. alle datenschutzrechtlich relevanten Normen eingehalten werden. Nach jeder Betriebsprüfung wird sodann eine Datenschutzerklärung des Unternehmens verfasst, welche durch einen zugelassenen unabhängigen Datenschutzgutachter geprüft und zertifiziert wird.

Kommt der externe Datenschutzgutachter zu dem Schluss, dass die Datenschutzprüfung positiv verlaufen ist, wird die Datenschutzerklärung veröffentlicht. Darüber hinaus wird sie an die zuständige Behörde zur Registrierung im Verzeichnis der am Datenschutz-Audit teilnehmenden Unternehmen übermittelt. Die Registrierung in das Audit-Verzeichnis ist dabei die Voraussetzung, damit ein Unternehmen berechtigt ist, das “Datenschutzgütesiegel” zu führen. Dies kann unter anderem natürlich für Werbezwecke und Marketing genutzt werden.

Wann ist ein Datenschutzaudit sinnvoll?

Es kann mitunter schwierig zu beantworten sein, ob ein datenschutzaudit im eigenen Unternehmen sinnvoll ist oder nicht. Schließlich soll ein Datenschutzaudit möglichst großen Nutzen bringen, dabei jedoch keinen unverhältnismäßig großen Aufwand erfordern. Auch ist mit dem unternehmerischen Blick darauf zu achten, dass keine zu hohen Kosten verursacht werden.

Dabei ist darauf hinzuweisen, dass sich die Kosten und der Aufwand meist daran orientieren, wie viel Aufwand die auditierende Stelle selbst hat. Wird der Datenschutzaudit schon im Vorfeld bestmöglich vorbereitet, sind Aufwand und Kosten für das Unternehmen vergleichsweise gering. Es kann sich also selbst für kleinere Unternehmen lohnen, einen Datenschutzaudit vorzunehmen.

Bei weiteren Zweifeln über die Sinhaftigkeit eines Datenschutzaudits kann die folgende Checkliste helfen:

  • Möchte die Daten verarbeitende Stelle ein in Datenschutzfragen positives Image pflegen und damit wenn möglich Marketing betreiben?
  • Ist das Niveau des Datenschutzes und die Datensicherheit im Unternehmen bereits hoch?
  • Ist das Unternehmen flexibel hinsichtlich der Maßnahmen und Änderungen, die nötig sein können, um den Datenschutz und die Datensicherheit optimal zu gewährleisten?
  • Ist ein ausreichend qualifizierter Fachmann als Datenschutzbeauftragter im Unternehmen involviert und als Ansprechpartner für den Datenschutzaudit vorhanden?
  • Hat das Unternehmen bereits Ziele formuliert, wie der Datenschutz im Unternehmen verbessert werden kann?

Sollten Sie mehrere dieser Fragen positiv beantworten können, so ist die Wahrscheinlichkeit groß, dass der Datenschutzaudit ebenfalls positiv verlaufen wird. Ein positives Datenschutzaudit kann hernach wie dargestellt durchaus als werbewirksames Marketingmittel eingesetzt werden, um sich am Markt von der Konkurrenz abzuheben, das Vertrauen potentieller neuer Kunden zu erwerben und dadurch höhere Umsätze und Gewinne zu generieren.

Sollten Sie sich bei einigen Fragen oder generell nicht sicher sein, ob ein Datenschutzaudit für ihr Unternehmen sinnvoll ist, können Sie sich ebenfalls an uns wenden. Wir besprechen mit Ihnen gerne ihre konkrete Lage und raten Ihnen zu den sinnvollen Maßnahmen, die sie ergreifen können oder sogar sollten.

Wer bietet ein Datenschutzaudit an?

Die Möglichkeit der Durchführung eines Datenschutzaudits ist bei verschiedenen Stellen möglich. So bietet beispielsweise das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein eine Auditierung an, jedoch in erster Linie für öffentliche Behörden in Schleswig-Holstein. Darüber hinaus ist es jedoch für Unternehmen in ganz Deutschland möglich, beim TÜV Rheinland ein Datenschutzaudit unternehmen zu lassen. Abseits davon gibt es auch reine Audit-Unternehmen, die sich auf die Vornahme eines solchen Datenschutzaudits spezielisiert haben. Hierzu gehört beispielsweise DQS (https://de.dqs-ul.com).

Als Experten für den Datenschutz helfen auch wir Ihnen gerne weiter, wenn Sie Fragen bezüglich des Datenschutzes in Ihrem Unternehmen haben. Zögern Sie nicht und wenden Sie sich vertrauensvoll an uns. Wir stehen Ihnen gerne mit Rat und Tat zur Seite.

Zusammenfassung

Rechtsanwalt Beratung Kanzlei Hannover

Ihr Ansprechpartner
Rechtsanwalt Thomas Feil

Durch das Auditing gewinnen alle Seiten: Die Allgemeinheit profitiert von einem höheren Datenschutzniveau, die Unternehmen können mit positiven Ergebnissen werben und aktives Marketing betreiben.

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*