Datenschutzaudit

Die europäische Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz, welche ab dem 25. Mai 2018 zwingend beachtet werden müssen, bringen zahlreiche Neuerungen mit sich und führen deshalb sowohl auf Seiten der datenverarbeitenden Unternehmen, als auch auf Seiten der von der Datenverarbeitung Betroffenen zu Unsicherheit. Um sicherzustellen, dass der eigene Umgang mit Daten Dritter den neuen gesetzlichen Standards entspricht, bietet es sich für Unternehmen an, sich einem Datenschutzaudit zu unterziehen und die Ergebnisse zu veröffentlichen. Die Details eines solchen Zertifizierungsverfahrens möchten wir Ihnen in diesem Beitrag erläutern.

Was ist ein Datenschutzaudit?

Das Datenschutzaudit, auch Zertifizierungsverfahren genannt, ist ein Verfahren, das dazu dient, den Nachweis über die Einhaltung der gesetzlichen Anforderungen zu erbringen. Wird es erfolgreich durchlaufen, erhält das geprüfte Unternehmen nach Abschluss des Verfahrens ein Zertifikat, mit dem es den Nachweis auch für die Öffentlichkeit sichtbar nach außen kenntlich machen kann. Die Teilnahem an einem Datenschutzaudit ist für Unternehmen letztlich freiwillig.

Dieses Zertifizierungsverfahren ist jedoch keinesfalls erst mit den aktuellen Reformen im Datenschutzrecht entstanden, sondern wurde vielmehr bereits vom deutschen Gesetzgeber in § 9a der alten Fassung des Bundesdatenschutzgesetzes (im Folgenden „BDSG a.F.“) geregelt. Danach hatten Unternehmen auch bisher die Möglichkeit, ihre Art der Datenverarbeitung von einem unabhängigen und zertifizierten Prüfer kontrollieren zu lassen und das Ergebnis der Prüfung zu veröffentlichen. Dass Zertifizierungsverfahren nun auch nach Inkrafttreten der europäischen Datenschutz-Grundverordnung (im Folgenden „DSGVO“) im Sinne des Gesetzgebers sind, zeigt ein Blick in die Datenschutz-Grundverordnung, die nun einen einheitlichen europäischen Rechtsrahmen für die Zertifizierung und die Vergabe von Gütesiegeln normiert. In Art. 42 Abs. 1 DSGVO regelt der europäische Gesetzgeber, dass insbesondere auf Unionseben die „Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird“, von den Mitgliedstaaten, den Aufsichtsbehörden, dem Ausschuss und der Kommission gefördert wird. Zur Kenntlichmachung der Datenschutzkonformität können verschiedene Zertifizierungsverfahren herangezogen und Datenschutzsiegel oder Datenschutzprüfzeichen von der Zertifizierungsstelle vergeben werden. Die Möglichkeiten der Zertifizierung und die Art der Kenntlichmachung des erfolgreich absolvierten Datenschutzaudits muss gem. Art. 42 Abs. 8 DSGVO in einem Register aufgenommen und in geeigneter Weise veröffentlicht werden. Auf diese Weise ist das Zertifizierungsverfahren für interessierte Unternehmen ebenso transparent, wie für die Öffentlichkeit.

Warum ist ein Datenschutzaudit sinnvoll?

Gerade in Deutschland ist der Datenschutz ein sensibles Thema. Der Gesetzgeber hat ebenso wie der Bürger ein Interesse an einem hohen Datenschutzniveau und ist in weiten Teilen inzwischen mehr als vorsichtig bei der Weitergabe seiner Daten. Durch die neue europäische Datenschutz-Grundverordnung sind die Anforderungen, denen datenverarbeitende Unternehmen nun gerecht werden müssen, nicht geringer geworden. Vielmehr treffen Verantwortliche unter anderem umfangreiche Nachweispflichten im Hinblick auf den rechtskonformen Umgang mit personenbezogenen Daten. Auch Betroffene und Geschäftspartner sind in Zeiten gesetzlicher Reformen noch interessierter daran zu erfahren, ob ihre Rechte geachtet werden.

Ein Datenschutzaudit bietet Unternehmen nun die Möglichkeit, gegenüber der Öffentlichkeit einen Nachweis über die Einhaltung europäischer und nationaler Datenschutzstandards zu erbringen. Auf diese Weise soll die Transparenz erhöht und Einhaltung der Verordnung verbessert werden. Unternehmen, die ein solches Zertifikat erhalten, beweisen damit Seriosität und Professionalität und gewinnen bzw. stärken auf diese Weise das Vertrauen ihrer Kunden und Geschäftspartner, die sich auf diese Weise einen schnellen Überblick über das Datenschutzniveau verschaffen können. Denn die Tatsache, dass die Zertifikate nur von unabhängigen und zugelassenen Prüfstellen vergeben werden können, belegt den hohen Stellenwert und die Aussagekraft eines solchen Prüfsiegels und ist damit auch ein gutes Marketing-Instrument.

Sich einem Datenschutzaudit zu unterziehen, bietet sich daher gerade für die Unternehmen an, die sich eingehend auf die Umstellungen durch die Datenschutzreformen eingestellt haben und damit weitgehend sicher sein können, dass ihre Art der Datenverarbeitung in Einklang mit dem geltenden Recht steht. Dies auch in Form eines vertrauenswürdigen Zertifikats nach außen kommunizieren zu können, ist gerade in Branchen, in denen Datenschutz eine wichtige Rolle spielt, sinnvoll und kann sogar einen Vorteil gegenüber der Konkurrenz darstellen.

Wann sollte ein Datenschutzaudit in die Wege geleitet werden?

Natürlich gilt hinsichtlich des Zeitpunkts der Zertifikatserlangung grundsätzlich die Regel: Je früher, desto besser! Doch Unternehmen sollten auch nicht voreilig reagieren. Insbesondere sollte ein solch aufwändiges Prüfverfahren erst dann in die Wege geleitet werden, wenn man sich sicher ist, dass man die neuen Standards der europäischen Datenschutz-Grundverordnung und des neuen Bundesdatenschutzgesetzes auch erfüllt. Denn die Zertifizierungsstellen bewerten nur den aktuellen Stand der Umsetzung und geben keinerlei Beratung in Datenschutzangelegenheiten, wenn Mängel bestehen. Entspricht die geprüfte Datenverarbeitung nicht dem geltenden Recht, kann kein Zertifikat ausgestellt werden und das Verfahren ist umsonst durchlaufen worden.

Wer kann ein Datenschutzaudit durchführen?

Ein Datenschutzaudit können neben den zuständigen Aufsichtsbehörden nur datenschutzrechtlich spezialisierte Institutionen durchführen, die von Zertifizierungsstellen akkreditiert wurden. Dabei sind es auch die Aufsichtsbehörden, die nach den Regelungen des neuen Bundesdatenschutzgesetzes gemeinsam mit der Deutschen Akkreditierungsstelle die Zertifizierungsstellen akkreditieren. Erst nachdem eine Zertifizierungsstelle offiziell akkreditiert wurde, kann sie in den konkreten Einzelfällen prüfen, ob die datenschutzrechtlichen Regelungen eingehalten werden und dementsprechend ein Zertifikat erteilen.

Wie wird ein Zertifizierungsverfahren ablaufen?

Welches Verfahren Unternehmen genau durchlaufen müssen und welche Kriterien bei der Erteilung des Zertifikats eine Rolle spielen, ist bisher noch unklar. Derzeit arbeiten die Aufsichtsbehörden mit Hochdruck an der Entwicklung einheitlicher Prüfkriterien, anhand derer Zertifizierungsverfahren durchgeführt werden. Dabei handelt es sich jedoch um eine Herausforderung für die Aufsichtsbehörden, die nicht zu unterschätzen ist.

Voraussetzung für die Durchführung eines Datenschutzaudits ist jedoch in jedem Falle die Mitwirkung des geprüften Unternehmens. Denn das Unternehmen muss der Zertifizierungsstelle alle für die Prüfung erforderlichen Informationen bereitstellen, damit dieses auch tätig werden kann. Von der Mitwirkungspflicht ebenfalls umfasst ist die Verschaffung des Zugangs zu den relevanten Datenverarbeitungsvorgängen. Denn nur, wenn das Unternehmen diesen Mitwirkungspflichten nachkommt, kann die Zertifizierungsstelle auch nachprüfen, inwieweit das Unternehmen datenschutzkonform agiert. Um dies sicherstellen zu können, ist es um so wichtiger, dass die zuständigen Mitarbeiter in dem Unternehmen ihre Datenverarbeitungsvorgänge gründlich kennen und auch dokumentieren.

Was passiert nach dem Datenschutzaudit?

Unternehmen, die ein Datenschutzaudit erfolgreich durchlaufen haben, wird das Zertifikat erteilt. Dieses ist zeitlich begrenzt und hat einen Rahmen von bis zu drei Jahren. Die Dauer der Gültigkeit des Zertifikats kann dabei verlängert werden, wenn die Voraussetzungen dafür weiterhin vorliegen.

In der Zwischenzeit müssen die datenschutzrechtlichen Vorgaben natürlich weiterhin eingehalten werden. Auch hindert ein erfolgreiches Datenschutzaudit die Aufsichtsbehörden nicht daran, ihre Aufgaben wahrzunehmen und auch zertifizierte Unternehmen zu kontrollieren. Ein erfolgreich durchlaufenes Datenschutzaudit kann sich jedoch durchaus positiv auf eine solche Kontrolle auswirken, da das kontrollierte Unternehmen damit zeigt, dass es zum Zeitpunkt des Audits rechtskonform mit den Daten umgegangen ist. Sollte sich jedoch nach Erteilung des Zertifikats zum Beispiel im Rahmen einer Kontrolle durch die Aufsichtsbehörden herausstellen, dass die Datenverarbeitung nachträglich rechtswidrig erfolgt, kann das Zertifikat auch vor Ablauf seiner Dauer widerrufen werden.

Was wird aus den bisherigen Zertifikaten?

In der Vergangenheit gab es bereits eine Vielzahl von Zertifizierung verschiedener Organisationen, jedoch haben Kontrollen von Aufsichtsbehörden ergeben, dass anhand dieser Zertifikate nicht genau nachvollzogen werden kann, inwieweit die gesetzlichen Standards eingehalten werden. Aus diesem Grund soll ein einheitliches Zertifizierungsverfahren nun Abhilfe schaffen. Dies bedeutet aber auch, dass die bereits erteilten Zertifikate nicht übertragen werden können. Denn diese können jedenfalls nicht im Hinblick auf die Einhaltung der neuen Datenschutz-Grundverordnung als Grundlage für ein neues Zertifikat dienen. Berücksichtigung werden sie wohl jedoch sicherlich im Rahmen eines neuen Datenschutzaudits bekommen.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)