Datenschutz-Audit

Mit einem Datenschutz-Audit möchte ein Unternehmen nachweisen, dass es die datenschutzrechtlichen Bestimmungen einhält. Dies kann sich auf die verschiedensten Gesetze beziehen (BDSG, TKG, TMG, SGB, StGB, KunstUrhG, UWG, …). Heutzutage wird das auch als „Compliance“ bezeichnet (siehe Wikipedia).

Leider gibt es keinen allgemein anerkannten Prüfkatalog, mit dessen Hilfe man die Einhaltung des Datenschutzes messen könnte. Offensichtlich ist die Problematik zu vielschichtig. Manche Kommentatoren meinen, man müsste lediglich den Gedanken der ISO-9000 auf den Datenschutz übertragen… aber so etwas ist bis dato noch nicht geschehen.

Wo stehen wir heute?

Das Datenschutz-Audit im Sinne des Bundesdatenschutzgesetzes

Zwar ist in der BDSG-Novelle-2001 ein § 9a BDSG hinzugefügt worden:

Datenschutz-Audit
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und –Programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.

doch blieb diese Bestimmung bis heute – immerhin 13 Jahre später – ohne konkrete Ausgestaltung. Insofern hilft das Bundesdatenschutzgesetz nicht weiter.

Freie Interpretationen des Begriffs

Mangels rechtlicher Vorgaben haben verschiedene Anbieter ein eigenes Verständnis des Begriffs „Audit“ entwickelt (und zum Teil auch am Markt erfolgreich platziert), aber letztlich gibt es keine verbindliche Definition.

So hat auch der TÜV® ein Konzept zur Auditierung des Datenschutzes entwickelt. Und Herr Auer hat dort auch einen Zertifikats-Kurs erfolgreich abgeschlossen. Insofern ist Herr Auer dazu qualifiziert, den Datenschutz eines Unternehmens kritisch zu hinterfragen und zu beurteilen.

Neuerdings gibt es auch Prüfungskataloge zur Auditierung von Auftragsdatenverarbeitungen im Sinne des § 11 BDSG. Zwei große Datenschutz-Verbände haben dies gemeinsam erarbeitet. Aber auch das hilft hinsichtlich eines allgemeinen Datenschutz-Audits nicht weiter.

Der Kunde entscheidet, was auditiert werden soll

Mangels konkreter rechtlicher Vorgaben ist es der Kunde selbst, der darüber bestimmt, was auditiert werden soll. Meistens orientieren sich die Forderungen an dem, was dessen Auftraggeber fordern.

Fazit: Sprechen Sie uns an. Gemeinsam finden wir ein für Sie passendes Audit-Konzept.