Datenschutzaudit

Die Datenschutzaufsichtsbehörden setzen kein konkretes Datenschutzkonzept voraus. Wichtig ist, dass die individuellen Anforderungen des Unternehmens bei der Konzeption hinreichend berücksichtigt werden. In der Praxis bleibt gleichwohl die Frage offen, an welchen konkreten Standards eine Orientierung erfolgen kann, um den datenschutzrechtlichen Anforderungen zu entsprechen.

Abhilfe sollte vor Geltung der Datenschutzgrundverordnung insoweit § 9a BDSG a.F. schaffen, wonach Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen zur

(…) Verbesserung des Datenschutzes und der Datensicherheit (…) ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen (können).

Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter sollten durch ein besonderes Gesetz geregelt werden. Das zunächst geplante „Datenschutzauditgesetz“ wurde vielfach kritisiert und blieb schließlich aus am 3. Juli 2009 verabschiedeten Datenschutzpaket außen vor. Das Gesetzesvorhaben war damit gescheitert, das in § 9a BDSG a.F. in Bezug genommene Gesetz gab es nie. Entsprechend können Unternehmen nicht auf ein „gesetzliches Audit“ zurückgreifen. Auch die Datenschutzgrundverordnung formuliert keine spezifischen Vorgaben zu Datenschutzaudits.

IT-Schutzkonzepte

Die Datenschutzorganisation muss auf die Strukturen des jeweiligen Unternehmens individuell angepasst werden. Insbesondere bei kleinen Unternehmen kann bereits ein guter Standard erreicht werden, ohne dass hiermit überbordende Investitionen verbunden wären.

Größere und komplex organisierte Unternehmen müssen regelmäßig einen größeren Aufwand betreiben, um datenschutzrechtliche Compliance herzustellen. als Orientierung für den Aufbau einer geeigneten Datenschutzstruktur kann es hilfreich sein, auf – auch von den Datenschutzaufsichtsbehörden – akzeptierte Standards zurückzugreifen.

Bekannte Organisationskonzepte sind z.B.

  • ISO 29151
  • VdS 10010
  • Standard-Datenschutzmodell (SDM)

Die Standards haben jeweils einen spezifischen Anwendungszweck, der mittelbar auch für die Gestaltung einer Datenschutzorganisation nutzbar gemacht werden kann.

Zu konkreten Einzelproblemen werden Lösungen vorgeschlagen, die auch von Seiten der Datenschutzbehörden anerkannt werden. Auch wenn eine umfassende Umsetzung des Standards aus Gründen des Datenschutzrechts nicht unbedingt erforderlich ist, so ist es für Unternehmen empfehlenswert, sich zu spezifischen Teilfragen an diesem Standard zu orientieren.

  • Wir führen mit Ihnen ein Datenschutzaudit durch.
  • Wir identifizieren Umsetzungsdefizite und unterstützen bei den notwendigen Maßnahmen.