Die Durchführung eines Datenschutzaudits ist freiwillig. § 9a BDSG enthält zwar eine Rechtsgrundlage für das Datenschutzaudit, die Vorschrift regelt aber im Wesentlichen nur den Anwendungsbereich des Datenschutzaudit und enthält die Rechtsgrundlage für ein Ausführungsgesetz für Audit und Gütesiegel. Jedoch ist das Ausführungsgesetz zum Datenschutz trotz zahlreicher Ankündigungen aus der Politik noch immer nicht erlassen worden. Auf der Grundlage des § 9a BDSG können also keine Zertifizierungen durchgeführt werden, was jedoch andererseits die Entwicklung freiwilliger Auditierung nicht weiter behindert.

Zahlreiche Auditierungen werden in den Unternehmen im Rahmen einer Qualitätssicherung durchgeführt. Überwiegend orientieren sich in diesen Fällen die Datenschutzaudits an den Standards, die bereits im Unternehmen eingeführt und praktiziert werden. Auf diese Weise wird der Vermittlungs- und Durchsetzungsaufwand für das Datenschutzaudit erheblich reduziert, gleichzeitig können seine Ergebnisse mit denen anderer Fachauditierungen verglichen werden.

Die Vorbereitung eines Datenschutzaudits lässt sich - ohne Anspruch auf Vollständigkeit - mit Hilfe von vier Leitfragen operationalisieren:

In welchen Verfahren werden welche personenbezogenen Daten für welchen Zweck erhoben, verarbeitet oder genutzt?

Wer ist gegenüber den Betroffenen sowie innerhalb der Organisation für die Datenverarbeitung und seine Datenschutzkonformität verantwortlich?

Entspricht das Verfahren seiner Dokumentation? Ist das Datenschutz- und Sicherheitskonzept nachvollziehbar und implementierbar?

Auf welcher Rechtsgrundlage erfolgt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten und werden die entsprechenden Anforderungen erfüllt?

mehr >>