Datenschutz-Audit

Mit einem Datenschutz-Audit möchte ein Unternehmen nachweisen, dass es die datenschutzrechtlichen Bestimmungen einhält. Dies kann sich beispielsweise auf die folgenden Gesetze beziehen: BDSG, TKG, TMG, SGB, StGB, KunstUrhG, UWG, ...

Normalerweise würde man einen standardisierten Prüfkatalog erwarten, mit dessen Hilfe man die Einhaltung des Datenschutzes messen könnte. Doch so etwas gibt es nicht. Offensichtlich ist die Problematik zu vielschichtig. Manche Kommentatoren meinen, man müsste lediglich den Gedanken der ISO-9000 auf den Datenschutz übertragen... aber so etwas ist bis dato noch nicht geschehen.

Wo stehen wir heute?

Das Datenschutz-Audit im Sinne des Bundesdatenschutzgesetzes

Zwar ist in der BDSG-Novelle-2001 ein § 9a BDSG hinzugefügt worden:

„Datenschutz-Audit
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenver-arbeitungssystemen und –Programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt."

doch blieb diese Bestimmung bis heute - immerhin 13 Jahre später - ohne konkrete Ausgestaltung. Es handelt sich also im Grunde nur um eine Worthülse.

Freie "Interpretationen" dieses Begriffs

Zwar haben verschiedene Anbieter ein eigenes Verständnis eines solchen Audits entwickelt (und zum Teil auch am Markt erfolgreich platziert), aber letztlich gibt es keine verbindliche Definition eines "Audits".

So hat auch der TÜV® ein Konzept zur Auditierung des Datenschutzes entwickelt. Und Herr Vollmer hat dort auch einen Zertifikats-Kurs erfolgreich abgeschlossen.

Neuerdings gibt es auch Prüfungskataloge zur Auditierung von Auftragsdatenverarbeitungen im Sinne des § 11 BDSG. Zwei große Datenschutz-Verbände haben dies gemeinsam erarbeitet. Aber auch das hilft hinsichtlich eines allgemeinen Datenschutz-Audits nicht weiter.

Der Kunde entscheidet, was auditiert werden soll

Mangels konkreter rechtlicher Vorgaben ist es der Kunde selbst, der darüber bestimmt, was auditiert werden soll. Meistens orientieren sich die Forderungen an dem, was die darüber gelagerten Auftraggeber fordern.