bg-clear

Fachbeitrag

intersoft consulting services AG
28. März 2009
|www.datenschutz-praxis.de

Datenschutzauditgesetz – Auditsiegel wirft Frage nach Anforderungskatalog auf

Autor

Faezeh Shokrian
Rechtsanwältin und Consultant für Datenschutz & IT-Compliance

Leseprobe

Bei der Sachverständigenanhörung des Bundestages vom Montag dieser Woche bestand Einstimmigkeit nicht nur in der Feststellung, dass es für Unternehmen und gegebenenfalls auch für Behörden künftig ein offizielles Auditverfahren im Datenschutzbereich geben soll. Auch darüber, dass das Auditsiegel für mehr stehen soll als für die bloße Einhaltung von Gesetzen, waren sich alle anwesenden Experten einig.

Allerdings soll es das Gütesiegel, anders als bisher im Gesetzentwurf vorgesehen, erst nach der Kontrolle geben - um einen Missbrauch zu verhindern und den Ruf des Siegels nicht zu schädigen.

Dr. Weichert bekräftigte, dass ein Auditgesetz dringend notwendig sei, da ein enormer Martktbedarf bestehe.

Es bleiben Unklarheiten

Doch wie diese besonderen Datenschutz-Anforderungen aussehen werden, deren Einhaltung Unternehmen Wettbewerbsvorteile bringen sollen, blieb weiterhin ungeklärt. Festlegungen hierzu muss erst noch ein gesonderter Ausschuss treffen.

Entwurf ist zu bürokratisch

Zwar wurde der Regierungsentwurf zum Datenschutzauditgesetz von allen Experten - von Schleswig Holsteins Landesdatenschutz- beauftragtem Dr. Weichert über den GDD-Vorsitzenden Prof. Dr. Gola, bis hin zum Bundesdatenschutzbeauftragten Schaar - als zu bürokratisch bezeichnet.

Gleichzeitig forderten diese aber weitere Maßnahmen, um das Verfahren »sicher, effektiv und transparent« zu machen.

Hier wurde beispielsweise die Trennung der Sachverständigen- von der Zertifizierungsstelle vorgeschlagen oder eine Überprüfung des Gutachtens der Kontrollstelle von einer weiteren Kontrollinstanz.

Wie steht es um die Neutralität der Kontrollstellen?

Die von Dr. Weichert geäußerten Bedenken hinsichtlich der Neutralität solcher Kontrollstellen wurde nicht geteilt, da die Auflagen an diese Stellen sehr streng seien und auch in anderen Bereichen die Durchführung von Kontrollen durch private Stellen reibungslos funktioniere.

Was soll Prüfungsgegenstand sein?

Nach der Anhörung wird sich der Gesetzgeber vor allem über den Prüfungsgegenstand Gedanken machen müssen.

Ob dieser als »Datenschutzkonzept« bezeichnet werden kann, ist mehr als fraglich, zumal dieser Begriff nicht einheitlich definiert ist und als reines Konzept auf dem Papier verstanden werden könnte.

Das würde die Intention des Gesetzgebers verfehlen und den Verbrauchern keinen Nutzen bringen.

Als alternative Bezeichnung für den Prüfungsgegenstand wurde die Verwendung einer neuen Begrifflichkeit wie »Datenschutzumsetzung« genannt.

Eine Konkretisierung ist dringend nötig

Der Bundesdatenschutzbeauftragte Schaar stellte klar, dass der Prüfungsgegenstand des Auditverfahrens jedenfalls durch entsprechende Richtlinien näher konkretisiert werden muss.

Gegebenfalls können internationale Richtlinien oder die Richtlinien der schleswig-holsteinischen Landesdatenschutzbehörde für das Vergabeverfahren als Basisanforderungen als Grundlage herangezogen werden.

Die Kosten für ein Audit

Je nach Komplexität des Prüfungsgegenstandes sollen die Kosten der Auditierung sich für die Unternehmen im vier- bis sechsstelligen Bereich bewegen.

Weitere Infos

Der Artikel wurde auf » www.datenschutz-praxis.de «, im März 2009 veröffentlicht. Der WEKA-Verlag bietet aktuelle, praxisnahe Fachinformationen.