Was ist ein Datenschutzaudit?
von Frederick Kubin | 06.11.2015 | Ressort: Institut
Allgemein wird bei einem Audit (meist im Rahmen des Qualitätsmanagements) untersucht, ob Prozesse, Anforderungen und Richtlinien geforderte Standards erfüllen. Die Frage an sich ist aber grundsätzlich berechtigt, denn der Begriff des Datenschutzaudits hat eine eigentümliche Hintergrundgeschichte. Er steht in § 9a Bundesdatenschutzgesetz, wo es heißt:
“Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt”.
Das klingt nicht schlecht. Konzepte und technische Einrichtungen können unabhängig bewertet werden und zur Ausgestaltung der näheren Anforderungen per Gesetz hat sich der Gesetzgeber im Jahr 2001 auch verpflichtet ...
Nur: ein Datenschutzauditgesetz ist nie erlassen worden. Zwar wurde Ende 2008 ein entsprechender Referentenentwurf von der Bundesregierung verabschiedet, erntete aber reichlich Kritik, die vielleicht im Kommentar des damaligen Datenschutzbeauftragten des Landes Schleswig-Holstein, Thilo Weichert, am besten zusammengefasst ist: “Der Entwurf vereinigt fast alle Fehler, die bei einem Auditgesetz gemacht werden können und garantiert so weder Unabhängigkeit der Bewertung und Qualität, noch Transparenz, noch Rechtssicherheit”. Soweit, so schlecht.
Trotzdem sinnvoll?
Danach hing der Begriff “Datenschutzaudit” etwas in der Luft, denn der Bundestag beschloss am 3. Juli 2009, das Gesetz nicht zu verabschieden. Und jetzt?
Es gibt zahlreiche Stimmen, die nach wie vor ein Gesetz fordern, andere halten das für überflüssig. Aber der Begriff des Datenschutzaudits ist nun einmal da und es wird weiter darüber diskutiert, was er bedeuten soll. Tatsächlich werden Audits aber in der Praxis bereits regelmäßig durchgeführt. Die Frage ist nur, auf welcher Grundlage dies sinnvoll ist oder nach welchen Standards.
Die Bandbreite der Entwicklung reicht von Grundsatzüberlegungen (z.B. Aufsätzen wie “Datenschutzaudit - Quo Vadis?”, www.mydatenschutz-audit.de), über konkrete Umsetzungen auch von offizieller Seite (etwa dem Angebot des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, Datenschutzkonzepte auf freiwilliger Basis überprüfen zu lassen, www.datenschutzzentrum.de/audit) bis hin zur Empfehlung des “Düsseldorfer Kreises” im Beschluss vom Februar 2014 über “Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbstregulierung entwickelt und durchgeführt werden”.
Dort heißt es, dass “freiwillige Audits einen bedeutenden Beitrag für den Datenschutz leisten, weil sie als aus eigenem Antrieb veranlasste Maßnahme die Chance in sich bergen, zu mehr Datenschutz in der Fläche zu gelangen”. Außerdem solle Datenschutz als Wettbewerbsvorteil gesehen werden: “Unternehmen, die sich um einen hohen Datenschutzstandard bemühen, möchten dies auch anerkannt sehen. Ein Datenschutzzertifikat ist ein wichtiges Signal an diese Unternehmen”.Voraussetzungen nach Beschluss des Düsseldorfer Kreises
Unter der Überschrift “Erprobung von Modellen, Anforderungen” wird weiter ausgeführt, dass der Düsseldorfer Kreis Bemühungen unterstütze, “Erfahrungen mit Zertifizierungen zu sammeln, die in eigener Verantwortung im Wege der Selbstregulierung auf der Grundlage von Standards erfolgen, die die Aufsichtsbehörden befürworten”. Dafür seien folgende Voraussetzungen zu beachten:
- Entwicklung von prüffähigen Standards, die zur Nutzung für Dritte freigegeben werden
- Unterscheidung zwischen Prüfung, Zertifizierung und Akkreditierung
- für verschiedene Aufgaben voneinander abzugrenzende Rollen der Mitwirkenden
- Regelungen zur Vermeidung von Interessenkollisionen der Beteiligten
- Qualifizierung und Festlegung von Anforderungen an die Eignung als Prüfer
- eine Umschreibung, die die Reichweite der Prüfaussage aus dem Zertifikat ablesbar macht
- Bestimmung von Bedingungen für Erteilung, Geltungsdauer und Entzug von Zertifikaten
- Zertifikatveröffentlichung zusammen mit den wesentlichen Ergebnissen der Prüfberichte
Ob solche Standards zwischenzeitlich vorliegen, bleibt unbeantwortet und es herrscht weiter Unsicherheit darüber, was genau zu gelten hat. So behelfen sich einstweilen manche Stellen, die Auditoren ausbilden, mit der Bemerkung, dass dies nach Grundsätzen geschehe, die vom Düsseldorfer Kreis “befürwortet” würden …
Also ist die Frage gar nicht so leicht zu beantworten, was ein Datenschutzaudit ist. Es kommt darauf an, wen man fragt. Aber immer handelt es sich um eine Art Bestandsaufnahme, ob die Anforderungen des Datenschutzes im Unternehmen erfüllt werden; und falls nicht, woran es noch fehlt … Und das ist ja gut so.