Das Wichtigste zum Datenschutzaudit in Kürze
- Der Datenschutzaudit soll gewährleisten, dass einzelne Datenschutzkonzepte oder Produkte den Maßgaben des BDSG genügen und ein Höchstmaß an Sicherheit gewährleisten.
- Das Ergebnis der formellen Überprüfung können die Stellen veröffentlichen und so das Vertrauen der Verbraucher in das eigene Unternehmen, ein Verfahren oder ein Produkt stärken. Der Audit dient damit auch als Datenschutzzertifizierung.
- Der Datenschutzaudit ist nicht verpflichtend, sondern kann in den Unternehmen und Stellen auf freiwilliger Basis erfolgen. Zuständig für dessen Durchführung sind unabhängige Gutachter und Datenschutzbeauftragte.
Wichtig! Dieser Text bezieht sich auf die nicht mehr gültige Fassung des Bundesdatenschutzgesetzes (BDSG), welches mit Wirkung zum 25. Mai 2018 durch die Datenschutzgrundverordnung (DSGVO) und das BDSG-neu abgelöst wurde. Infos zu den aktuellen Datenschutzregelungen finden Sie hier:
BDSG – Grundlage des Datenschutzes in Deutschland
Inhaltsverzeichnis
Das Bundesdatenschutzgesetz (BDSG) dient als wesentliche Grundlage des Datenschutzes in Deutschland. Es gibt öffentlichen und nicht öffentlichen Stellen vor, welche personenbezogenen Daten zu welchem Zweck und unter welchen Bedingungen erhoben und verarbeitet werden dürfen. Gerade im Wirtschaftssektor sind diese Datensätze von unschätzbarem Wert, sind sie doch Grundlage zahlreicher Verträge, Bonitätsprüfungen und Werbekampagnen.
Damit die Kundschaft größeres Vertrauen in die Datenerhebung und -verarbeitung des jeweiligen Unternehmens setzt, bestimmt § 9a BDSG die Möglichkeit, einen sogenannten Datenschutzaudit zu erhalten. Dieser soll darüber aufklären, dass die überlassenen personenbezogenen Daten bei der jeweiligen Stelle gut gesichert sind und die Datenschutzvorgaben eingehalten werden.
Was aber genau beschreibt der Datenschutzaudit? Welche Voraussetzungen müssen die Unternehmen erfüllen, um ihn zu erhalten?
Welche Aufgabe erfüllt der Datenschutzaudit?
Der Datenschutzaudit ist dem Grunde nach als Prüfungsprozess zu verstehen, in dessen Rahmen die Konzepte und Verfahren eines Unternehmens unter die Lupe genommen werden, die dieses für die Einhaltung des Datenschutzes errichtet hat.
Die Überprüfung der Datenschutzsysteme, der einzelnen Softwareelemente und Arbeitsabläufe übernehmen dabei unabhängige und zertifizierte Gutachter.
Nach abschließender Bewertung kann das betroffene Unternehmen die im Datenschutzaudit ermittelten Prüfergebnisse veröffentlichen, nachweisen, dass es die Anforderungen des Datensicherheit erfüllt und so das Vertrauen der Verbraucher stärken. Diese können auf Grundlage dieser Zertifizierung darauf bauen, dass die beim Unternehmen hinterlegten personenbezogenen Daten sicher aufbewahrt und bestmöglich vor unbefugtem Zugriff und Missbrauch geschützt sind.
Datenschutz gewährleistet? Der Audit nach § 9a BDSG
Der Datenschutzaudit ist nicht verpflichtend, sondern findet auf freiwilliger Basis statt. In § 9a Bundesdatenschutzgesetz wird lediglich die Möglichkeit eingeräumt, eine entsprechende Überprüfung durchführen zu lassen:
„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen.“
Vertreiber von entsprechender Software sowie öffentliche und nicht öffentliche Stellen können also entweder einzelne Programme und Systeme auf die Gewährleistung vom Datenschutzrecht hin prüfen lassen oder aber deren gesamtes Datenschutzkonzept. Etwaige Fehler und Schwächen können so frühzeitig entdeckt und behoben werden.
In Satz 2 verweist § 9a BDSG auf ein eigens für den Datenschutzaudit geschaffenes Gesetz, das die Ausgestaltung der Überprüfung, die Zulassung geeigneter Prüfstellen und Grundlagen auf Bundesebene festlegen soll. Im Juli 2009 jedoch beschloss der Bundestag, dass das Datenschutzauditgesetz nicht verabschiedet werden solle. Eine eigens errichtete gesetzliche Grundlage fehlt für den nach BDSG zulässigen Audit beim Datenschutz also.
Wie läuft der Datenschutzaudit ab?
Im Folgenden soll ein kurzer Abriss zeigen, wie die Datenschutzprüfung dem Grunde nach durchgeführt wird:
- Soll ein Datenschutzaudit erfolgen, wendet sich die jeweilige Stelle an eine zertifizierte externe Prüfstelle.
- Die externen Gutachter arbeiten dann beim Datenschutzaudit einen Fragenkatalog ab und untersuchen das zu prüfende Konzept, Verfahren oder Produkt auf Herz und Nieren.
- Werden in der ersten Prüfung Mängel oder Probleme bezüglich der Anforderungen festgestellt, ist die geprüfte Stelle angehalten, das Datenschutzkonzept oder betroffene Produkte zu überarbeiten. Wichtiger Teil der Errichtung eines geeigneten Datenschutzkonzepts ist die personelle Strukturierung im Unternehmen (z. B. Ernennung von einem Datenschutzbeauftragten). Teil des Konzepts sollten zudem auch periodische Zyklen sein, in denen eine regelmäßige Überprüfung der Maßnahmen erfolgt.
- Nach jeder erfolgten Betriebsprüfung passt die jeweilige Stelle sodann ihre Datenschutzerklärung entsprechend an. Diese prüft der externe und unabhängige Gutachter und erteilt bei positivem Urteil ein Zertifikat. Die Datenschutzerklärung kann veröffentlicht werden.
- Abschließend muss der Datenschutzaudit in einem zentralen Verzeichnis registriert werden. Erst hiernach darf die geprüfte und zertifizierte Stelle auch mit dem Gütesiegel werben.
Was wird beim Datenschutzaudit begutachtet? Eine Checkliste
Um den Prüfvorgang zu beschleunigen, können Unternehmen sich bereits vor Anfrage auf den gewünschten Datenschutzaudit vorbereiten. Im Folgenden stellen wir Ihnen eine Checkliste zur Verfügung, anhand derer Sie einsehen können, welche Sachverhalte die Gutachter beim Datenschutzaudit einer Prüfung unterziehen können. Dieser Fragenkatalog kann jedoch je nach Prüfstelle voneinander abweichen und dient damit nur als Exempel.
| Datenschutzaudit: Checkliste für Unternehmen | Erledigt? | |
|---|---|---|
| Organisationskontrolle | Ja | Nein |
| ... Datenschutzbeauftragter vorhanden (§§ 4f, 4g BDSG)? | ❍ | ❍ |
| ... Mitarbeiter zum Datengeheimnis nach § 5 BDSG verpflichtet? | ❍ | ❍ |
| ... Mitarbeiterschulung zum Datenschutz erfolgt? | ❍ | ❍ |
| ... Datenschutzkonzept erarbeitet? | ❍ | ❍ |
| Zutrittskontrolle | Ja | Nein |
| ... Zutritt zum Gebäude beschränkt? | ❍ | ❍ |
| ... Rechnerräume nur für befugtes Personal zugänglich ? | ❍ | ❍ |
| ... Server sicher aufgestellt? | ❍ | ❍ |
| ... Zutritt zu Räumen beschränkt, in denen Datenmaterial verwahrt wird (Akten, Datenträger)? | ❍ | ❍ |
| Zugangskontrolle | Ja | Nein |
| ... Bildschirmsperren eingerichtet? | ❍ | ❍ |
| ... Firewall installiert, aktiviert, aktualisiert? | ❍ | ❍ |
| ... Software zum Schutz vor Schadsoftware installiert, aktiviert und aktualisiert? | ❍ | ❍ |
| ... Benutzeridentifikation/Authentifizierung eingerichtet? | ❍ | ❍ |
| ... sichere Passwörter? | ❍ | ❍ |
| Zugriffskontrolle | Ja | Nein |
| ... Konzept für Zugriffsberechtigungen liegt vor? | ❍ | ❍ |
| ... unterschiedliche Zugriffsrechte eingeteilt? | ❍ | ❍ |
| ... Verletzungen werden protokolliert? | ❍ | ❍ |
| ... Datenträger/Datenblätter werden sicher entsorgt? | ❍ | ❍ |
| ... Kopierschutz/Bearbeitungsschutz eingerichtet? | ❍ | ❍ |
| Weitergabekontrolle | Ja | Nein |
| ... Datenverschlüsselung eingerichtet und aktiv? | ❍ | ❍ |
| ... regelmäßige Wartung und Prüfung der Datenverarbeitungssysteme? | ❍ | ❍ |
| ... veraltetes Equipment sicher entsorgt? | ❍ | ❍ |
| ... Beschränkung bei Nutzung von privatem Equipment? | ❍ | ❍ |
| Eingabekontrolle | Ja | Nein |
| ... Protokollierung von Erhebungen, Änderungen und Löschung? | ❍ | ❍ |
| ... Protokollierung von Verwaltungsakten? | ❍ | ❍ |
| Auftragskontrolle | Ja | Nein |
| ... Auftragsannahme sicher? | ❍ | ❍ |
| ... Konfliktmanagement bei Verstößen/Verdachtsfällen installiert? | ❍ | ❍ |
| ... Mechanismen zur Selbstkontrolle auf Seiten des Auftragnehmers vorhanden? | ❍ | ❍ |
| Verfügbarkeitskontrolle | Ja | Nein |
| .... Daten gegen unbeabsichtigte Löschung oder Vernichtung abgesichert? | ❍ | ❍ |
| ... Sicherungskopien vorhanden? | ❍ | ❍ |
| ... Sicherung vor Schadsoftware vorhanden? | ❍ | ❍ |
| Trennungsgebot | Ja | Nein |
| ... gemeinsam erhobene Daten getrennt voneinander verarbeitbar? | ❍ | ❍ |
| ... personenbezogene Daten einzelner Betroffener getrennt verfügbar? | ❍ | ❍ |
(69 Bewertungen, Durchschnitt: 4,58 von 5)
Loading...Über den Autor
Hallo Redaktion,
eine Zertifizierung im Sinne der DSGVO und ein Audit sind zwie völlig unterschiedliche Paar Stiefel.
Und der Verweis auf den alten §9BDSG ist in der Tat verwirrend.
Die verwendeten Rechtsgrundlagen sind veraltet. DSGVO und BDSG-neu werden nicht berücksichtigt.
Hallo Thomas,
wir haben einen entsprechenden Hinweis eingefügt. Bitte beachten Sie, dass weder BDSG-neu noch DSGVO von einem „Datenschutzaudit“ sprechen. Stattdessen ist hier die Möglichkeit einer entsprechenden „Zertifizierung“ erwähnt.
Die Redaktion von Datenschutz.org