Entwurf eines Gesetzes für Datenschutzaudits veröffentlicht
Die Bundesregierung hat nunmehr den Entwurf eines Bundesdatenschutzauditgesetzes veröffentlicht. Mit diesem Gesetzentwurf sollen bundeseinheitliche Regelungen für die Prüfung und Bewertung von Datenschutzkonzepten und technischen Einrichtungen gestaltet werden.
Der Gesetzgeber hat sich trotz eines eindeutigen Gesetzgebungsauftrages Zeit gelassen mit dem Gesetzentwurf. Offensichtlich verlangt erst sechs Jahre nach dem Inkrafttreten des neuen Bundesdatenschutzgesetzes eine hinreichende wettbewerbsrechtliche Relevanz des Datenschutzes nach gesetzgeberischen Aktivitäten. Nach dem federführenden Bundesministerium des Inneren bezweckt das neue Gesetz, dass datenschutzgerechtes Verhalten von Unternehmen von einer bloßen gesetzlichen Pflicht zu einem wirtschaftlichen Mehrwert wird.
Das Datenschutzaudit richtet sich an Anbieter von Datenverarbeitungssystemen, -programmen und datenverarbeitende Stellen. Die Hersteller von Soft- und Hardwareprodukten sind nicht erfasst. Prüfungsgegenstand ist die Vereinbarkeit der Datenschutzvorrichtungen und -prozesse mit solchen Bestimmungen des Datenschutzes, die die automatisierte Verarbeitung personenbezogener Daten betreffen. Personenbezogene Daten sind Angaben über die persönlichen oder sachlichen Verhältnisse eines Betroffenen, u.a. Name, Adresse, Ausweis- oder Versicherungsnummer. Die Bewertung erstreckt sich ausdrücklich nicht auf die Sicherheit informationstechnischer Komponenten.
Die Durchführung eines solchen Audits erfolgt auf freiwilliger Basis. Die Anbieter können darüber hinaus auch den Gegenstand des Audits selber bestimmen, beispielsweise das Audit auf das Datenschutzkonzept oder bestimmte unternehmensinterne Prozesse begrenzen.
Das Audit soll von Sachverständigen durchgeführt werden, die von den Datenschutzbeauftragten der einzelnen Bundesländer öffentlich bestellt werden. Nach einem erfolgreichen Audit erhält der Anbieter ein zwei Jahre gültiges Zertifikat. Die Zertifizierung wird in einem Datenschutzauditregister vermerkt, in das jedermann über das Internet Einsicht nehmen kann.
Die Intention des Gesetzentwurfes ist zwar zu begrüßen, die konkrete Umsetzung durch den vorliegenden Gesetzentwurf weist aber Mängel auf. Vor allem die indiviuelle Bestimmbarkeit des Prüfungsgegenstandes widerspricht dem Gesetzeszweck einer einheitlichen Zertifizierungspraxis. Eine einheitliche Zertifizierungspraxis verlangt nach transparenten Vergabemodalitäten, die nicht mehr gewahrt sind, wenn die Anbieter die Prüfungsgegenstände unterschiedlich benennen können. Im Übrigen kann die Datensicherheit nur bei einer Prüfung des Gesamtkonzeptes abschließend beurteilt werden.
Nicht nachvollziehbar ist beispielsweise, warum sich der Entwurf nicht stärker an dem bewährten Auditgesetz des Landes Schleswig-Holstein orientiert. Das seit fünf Jahren in Kraft stehende Gesetz wurde nicht nur von der Europäischen Kommission mit einem Europäischen Innovationspreis ausgezeichnet, derzeit wird dieser Regelungsansatz unter dem Begriff „European Privacy Seal“ in mehreren Mitgliedsstaaten der Europäischen Kommission umgesetzt. Das neue Bundesdatenschutzauditgesetz konterkariert die Bemühungen um europaweit einheitliche Regelungen zur Datenschutzzertifizierung.
Nachteilig ist die Eingrenzung der Prüfgegenstände auf Datenschutzkonzepte und technische Einrichtungen. Nicht-technische Prozesse werden dem Wortlaut nach nicht in die Prüfung einbezogen. Damit bleiben personelle, organisatorische oder auch normative Prozesse außer Betracht. Nachteilig ist ebenfalls der Ausschluss der Sicherheitsprüfung informationstechnischer Systeme und Komponenten. Zwar ist den Ausführungen des Gesetzgebers zuzugestehen, dass technischen Einrichtungen bereits separat durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden können. Informationstechnische Systeme und Komponenten sind aber unverzichtbare Elemente der technisch-organisatorischen Maßnahmen zur Datensicherheit. Ohne ihre Einbeziehung in den Prüfkriterienkatalog kann keine hinreichende Bewertung der Datensicherheit erfolgen.
Ob die Vergabe der Zertifikate durch den einzelnen Sachverständigen tatsächliche einheitliche Qualitätsstandards garantieren kann, mag auch in Zweifel gezogen werden. Möglicherweise wäre im Sinne einer bundeseinheitlichen Qualitätssicherung des Zertifikats doch eine zusätzliche übergeordnete Zertifizierungsstelle anzuraten.
Es bleibt abzuwarten, wie sich die Interessenverbände zu diesem Gesetzentwurf positionieren werden. Um ein effektives Datenschutzaudit gewährleisten zu können, bedarf es aber noch wesentlicher Verbesserungen.
Ein sehr interessanter Bericht. Würde auch sagen es müsste unbedingt noch ausgefeilt und verbessert werden.
Michi