I. Die Vorschrift des § 9 a) BDSG

Das Bundesdatenschutzgesetz (BDSG) sieht in § 9 a) das Verfahren eines Datenschutzaudits vor.

Die Vorschrift des § 9 a) lautet wie folgt:

"Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt."

Der § 9 a) BDSG  ermöglicht für sich genommen nicht die Durchführung eines Datenschutzaudits.

§ 9 a) BDSG  ist lediglich eine Programmnorm, welche die nähere Regelung einem (noch nicht verabschiedeten) Datenschutz-Audit-Gesetz überträgt.

Die Vorschrift differenziert zwischen technischen Einrichtungen und Datenschutzkonzepten als Gegenstände des Audits. Die jeweilige Überprüfung fordert gänzlich unterschiedliche Verfahren der Auditierung: Für technische Einrichtungen ist ein Produkt-Audit, für Datenschutzkonzepte, welche von einem Datenschutzmanagement umzusetzen sind, ist ein System-Audit erforderlich.

II. Zielsetzung eines Datenschutz-Audits

Das Datenschutz-Audit ist ein neues Instrument des Datenschutzes, das durch den Anreiz der Werbung und den damit verbundenen Wettbewerbseffekt eine Selbstverpflichtung und Selbstkontrolle der Unternehmen zur kontinuierlichen Verbesserung des Datenschutzes erreichen will. Ziel ist es, nicht durch Ge- und Verbote, sondern mittels freiwilliger Selbstregulation der Wirtschaftseinheiten datenschutzrechtliche Fortschritte zu generieren.

1. Förderung der Selbstverantwortung

Das Datenschutz-Audit sollte in erster Linie ein geeignetes Instrument sein, die Selbstverantwortung des Datenverarbeiters für den Datenschutz zu fordern und zu fördern. Datenschutz ist ein Qualitätsmerkmal für Anwendungen der Informations- und Kommunikationstechnik mit steigender Bedeutung und wird als gewichtiger Wettbewerbsvorteil verstanden.

Das Datenschutz-Audit ermöglicht es in nachprüfbarer Weise, mit Datenschutz und Datensicherheit zu werben. Um ein hohes Datenschutzniveau kontinuierlich sicherzustellen, ist die Einrichtung eines Datenschutz-Managementsystem mit wiederkehrender Überprüfung und Verbesserung durch rechtliche Verfahrensregeln unerläßlich.

Für den Datenverarbeiter bedeutet das Datenschutz-Audit die Möglichkeit, mit dem positiven Prüfungsergebnis die Kommunikation mit der Öffentlichkeit zu suchen und entscheidende Wettbewerbsvorteile daraus zu ziehen getreu dem Motto "Tue Gutes und rede darüber".

2. Überobligatorische Verbesserung des Datenschutzniveaus

Materielles Hauptziel des Datenschutz-Audits sollte die kontinuierliche Verbesserung des Datenschutzes und der Datensicherung im Unternehmen sein. Bis dato bestanden für die Datenverarbeiter keine Anreize, eigene Anstrengungen zur Verbesserung des Datenschutzes und der Datensicherung zu ergreifen. Das Datenschutz-Audit ermöglicht es, solche Anstrengungen zu dokumentieren, zu prüfen und zu prämieren und schafft dadurch den Marktanreiz, diese tatsächlich umzusetzen.

Es sollte sich nicht darauf beschränken, nur die Einhaltung der Datenschutzregelungen zu überprüfen, die i.ü. allgemein verpflichtend ist. Zwar wird die Konformität der Systemstruktur mit den gesetzlichen Anforderungen zum Datenschutz erstmals durchgängig extern kontrolliert. Die Zertifizierung eines Datenschutz-Managementsystems soll jedoch auf überobligationsmäßige Anstrengungen beschränkt erfolgen, welche das Unternehmen über den gesetzlichen Minimalstandard hinaus unternimmt.

3. Datenschutz-Audit als Lernsystem

Das Datenschutz-Audit ist als dynamisches Lernsystem zu verstehen, da die Zielsetzung eines überobligatorischen Datenschutzniveaus nur auf diesem Wege erreicht werden kann.

Der Regelungsschwerpunkt ist daher auf der Normierung des "Lernprozesses" im jeweiligen Datenschutzmanagementsystems des Unternehmens anzusieldeln. Eine Strukturierung des Lernprozesses wird im Rahmen einer umfassenden Betriebsprüfung durch eine Bestandsaufnahme der Verarbeitung personenbezogener Daten durch den Datenverarbeiter umgesetzt, welche sämtliche relevanten Anforderungen des Datenschutzrechts summiert.

Die Erkenntnisse aus dieser Bestandsaufnahme fließen in Datenschutzprogramme ein, für die konkrete Ziele, Maßnahmen und Fristen festzulegen sind. Nach Ablauf der Frist wird die Umsetzung dieser Programme überprüft und führt zu deren Fortschreibung. In diese gehen positive und negative Erfahrungen mit der Umsetzung bisheriger Datenschutzmaßnahmen ein, die in reflektierter Form die weiteren Verbesserungsschritte bestimmen. Mit der Strukturierung eines derartigen Lernprozesses wird in den Datenschutz ein neues dynamisches Element im Vergleich zum bislang starr als Institution (Bestellungspflicht) geltenden betrieblichen Datenschutzbeauftragten eingefügt.

III. Konzeption eines Datenschutz-Audits

Das entscheidende Mittel, um die genannten Ziele zu erreichen, ist die Einführung eines Datenschutz-Managementsystems und dessen periodisch wiederkehrende interne und externe Überprüfung und Optimierung.

1. System-Audit

Das Datenschutz-Audit sollte als ein System-Audit konzipiert werden. Dagegen griffe ein reines Produkt-Audit viel zu kurz, um die genannten Zielsetzungen erfüllen zu können. Ein Produkt-Audit ist statisch und objektbezogen, demgegenüber soll das Datenschutz-Audit prozeßbezogen einen dynamischen Lernprozeß initiieren.

Im Rahmen eines Datenschutz-Audits soll die Fähigkeit eines Unternehmens überprüft und prämiert werden, flexibel auf die Veränderungen der Informations- und Kommunikationstechniken zu reagieren und die sich dadurch stetig neu ergebenden Herausforderungen für den Datenschutz zu meistern. Das Datenschutz-Audit zielt nicht auf die einmalige Evaluierung eines Produkts, sondern die Fähigkeit, immer wieder neue Lösungen zu generieren und eine kontinuierliche Verbesserung des Datenschutz-Managementsystems zu erreichen.

Gegenstand des Datenschutz-Audits ist die Funktionsfähigkeit und Zweckmäßigkeit des unternehmensinternen Datenschutz-Managements als neue Ressource für den Datenschutz.

2. Freiwilligkeit

Weiterer wichtiger Punkt des Datenschutz-Audits als Instrument der Stärkung der Eigenverantwortlichkeit im Unternehmen ist dessen Freiwilligkeit. Die Öffentlichkeit stellt dabei den entscheidenden Regelungsfaktor dar, der über die Marktnachfrage das Unternehmen zu einer Teilnahme am Audit veranlassen soll. Das Datenschutz-Audit ist gerade kein Ansatz einer externen Fremdregulierung, sondern Instrument freiwilliger unternehmensinterner Selbstregulierung mit öffentlicher Anerkennung.

3. Verfahren

Die Auditierung eines Datenschutzkonzepts erfolgt in der Form, daß die datenverarbeitende Stelle eine interne Datenschutzbetriebsprüfung durchführt, die als Ergebnis eine Datenschutzerklärung mit sich bringt, die von einem unabhängigen und zugelassenen Datenschutzgutachter geprüft und bewertet wird.

Eine Vorgehensweise entsprechend der folgenden
Action-Items ist empfehlenswert:

(1) Datenschutzprüfung

Am Beginn eines Datenschutz-Audits steht die Durchführung einer Datenschutzprüfung. Diese ermöglicht eine Bestandsaufnahme des Status der Verarbeitung personenbezogener Daten und des Status im Unternehmen geltender Datenschutzregeln.

(2) Datenschutzpolitik

Nach der Bestandsaufnahme verpflichtet sich der Anbieter schriftlich zu einer das gesamte Unternehmen betreffenden Datenschutzpolitik.

(3) Datenschutzkonzept

Auf dieser Grundlage erstellt der Anbieter ein Datenschutzkonzept mit den konkreten Datenschutzzielen und dem Katalog konkreter Maßnahmen sowie einem Fristenplan zur Umsetzung der Datenschutzpolitik für die jeweilige Anwendung.

(4) Datenschutzmanagementsystem

Parallel zum Datenschutzprogramm wird ein Datenschutzmanagementsystem eingerichtet, das die Organisationsstruktur, die Zuständigkeiten sowie die Verfahren, Abläufe und Mittel zur Verwirklichung der Vorgaben des Datenschutzkonzepts festlegt.

(5) Periodische Datenschutzbetriebsprüfung

Das Unternehmen führt in periodisch wiederkehrenden Zeitabständen eine Datenschutzbetriebsprüfung als systematische und dokumentierte Analyse durch. Inhalt ist die Abbildung der Organisation, des Management und der Betriebsabläufe in Konformität mit der Datenschutzpolitik und dem Datenschutzkonzept. Ziel ist es festzustellen, ob die angestrebte Verbesserung des Datenschutzes erreicht wurde.

(6) Datenschutzerklärung

Als Ergebnis der jeweiligen Betriebsprüfung verfaßt das Unternehmen eine Datenschutzerklärung.

(7) Prüfung und Zertifizierung

Im Anschluß an die Datenschutzerklärung wird diese durch einen zugelassenen unabhängigen Datenschutzgutachter geprüft und zertifiziert.

(8) Publikation und Registrierung

Bei positiver Validierung durch den externen Datenschutzgutachter wird die Datenschutzerklärung veröffentlicht und an die zuständige Behörde zur Registrierung im Verzeichnis der am Datenschutz-Audit teilnehmenden Unternehmen weitergeleitet.

(9) Werbung und Marketing

Auf Grundlage der Registrierung in das Audit-Verzeichnis ist das Unternehmen berechtigt, das "Datenschutzgütesiegel" für Werbezwecke zu nutzen.