Datenschutz-Audit

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Ein Datenschutz-Audit ist eine förmliche Prüfung eines Datenschutzkonzepts durch einen Datenschutz-Audit-Anbieter. Dieses neue Instrument wurde aus dem Umweltschutzbereich in das Datenschutzrecht übernommen mit dem Ziel, Unternehmen und Behörden die Möglichkeit zu bieten, ihre Datenschutzanstrengungen durch eine förmlicher Prüfung zu dokumentieren und bewerten zu lassen. Die rechtliche Verankerung findet sich für den nicht-öffentlichen Bereich sowie den Bereich der Bundesverwaltung im § 9a Bundesdatenschutzgesetz (BDSG).

Die nähere Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter sollte in Deutschland durch ein besonderes Gesetz geregelt werden. Dieses Gesetz lag 2009 als Bundestagsdrucksache vor, wurde jedoch ohne den Paragrafen zum Datenschutzaudit verabschiedet.

Ziele

Die Ziele des Datenschutz-Audit lassen sich wie folgt beschreiben: Stärkung der Selbstverantwortung durch freiwillige Selbstkontrolle, Belebung des Wettbewerbs mit dem Argument des Datenschutzes und der Datensicherheit, kontinuierliche Verbesserung des Datenschutzes, Anhebung des Datensicherheitsniveau.


Verfahren

Die ursprünglich geplante Gesetzesgrundlage kam nicht zustande. Entsprechende gesetzliche Regelungen finden sich aber in verschiedenen Landesdatenschutzgesetzen, so z.B. im Landesdatenschutzgesetz von Schleswig-Holstein. Auch ohne Bundesgesetz gibt es daher Datenschutz-Audit-Anbieter. Die bisher durchgeführten Auditierungen basieren auf den regionalen Vorgaben an die Prüfung und Bewertung, die sich aus den länderspezifischen Gesetzesgrundlagen ergeben.


DS-BvD-GDD-01

Die beiden Datenschutzverbände „Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.“ und „Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.“ haben einen Datenschutzstandard mit der Bezeichnung „DS-BvD-GDD-01“ speziell für die Auftragsdatenverarbeitung entwickelt. Der Standard gilt für alle Branchen und Dienstleistungen. Er beschreibt insbesondere, welche Anforderungen ein Auftragnehmer erfüllen muss. Beispielhaft werden Prozesse in den Bereichen Auftragsmanagement, Datenschutz, IT-Sicherheit etc. genannt.

Für die Durchführung des Verfahrens, die Verwaltung und Erteilung der Zertifikate haben die Verbände eine neue Gesellschaft, die DSZ Datenschutz Zertifizierungsgesellschaft mbH, Bonn und Berlin gegründet. Diese wird auch die Zulassung und Überprüfung der Auditoren übernehmen.


Weblinks

PDF-Datei der ursprünglichen Gesetzesvorlage. Der vorgesehene § 1 wurde gestrichen


Siehe auch




Diese Seite wurde zuletzt am 2. Oktober 2013 um 15:15 Uhr von Peter Hohl geändert. Basierend auf der Arbeit von Oliver Wege, Admin und Walter Ernestus.

Anzeigen