Database Reference
In-Depth Information
derAuftragsdatenverarbeitungwegenderweitreichendenKontroll-undDokumentations-
pflichten (§ 11 BDSG) nicht immer als praktikabel dar. Da der Datenschutz viele sensible
Bereiche eines Unternehmens berührt, stellt sich die Frage, wie ein qualifizierter Nachweis
der Datenschutz-Compliance gegenüber Dritten erfolgen kann: Denn zum einen müssen
Einblicke in die eigenen Verfahren auf das Notwendigste begrenzt werden, zum anderen
jedoch benötigen Kunden und Betroffene eine verlässliche Bestätigung der tatsächlichen
UmsetzungdervonihnengestelltenAnforderungen. NichtsanderesgiltauchfürdasDSMS
als ein Konzept zur Umsetzung des Datenschutzes im Unternehmen. Eine Möglichkeit zur
Auflösung dieses Konfliktes bietet die Beauftragung eines unabhängigen Dritten, der die
Datenschutzkonformität des Unternehmens im Ganzen oder in Teilbereichen auditiert.
Bewertet der Auditor die Konformität mit den Prüfkriterien als positiv, so vergibt er ein
entsprechendes Zertifikat oder Gütesiegel.
Auch der Gesetzgeber erkannte früh die Notwendigkeit solcher Audits, was sich in
dem im Jahr 2001 ins BDSG eingefügten § 9a zum Datenschutz-Audit erkennen lässt.
Nach Widerständen im Bundesrat sowie vor dem Hintergrund der großen europäischen
Datenschutzgrundverordnung hat der Gesetzgeber bis heute von der Verabschiedung
eines entsprechenden Datenschutz-Auditgesetzes abgesehen
1
[
5
,
8
], sodass sich in der
Zwischenzeit einige private wie öffentliche Institutionen mit unterschiedlichsten Heran-
gehensweisen an diesem Thema abarbeiteten. Dementsprechend weist der Markt heute
zahlreiche Produkte im Bereich der Datenschutzzertifizierung auf, was dazu beigetragen
hat, dass sich ein einheitlicher Standard bis heute nicht entwickeln konnte. Dies stellte sich
auch im Jahr 2009 als großes Problem für SAP dar, als für die Einführung eines DSMS eine
ausdrucksstarke Zertifizierungsgrundlage gesucht wurde, die sich vor allem im unterneh-
merischen Geschäftsverkehr nutzen lässt. Demgegenüber stehen andere Anforderungen
an Datenschutzgütesiegel, welche sich in erster Linie als Werbeinstrument gegenüber Be-
troffenen und damit Verbrauchern einsetzen lassen. Unterschiedliche Anforderungen und
Prüfkriterien bedingen daher einen unterschiedlichen Nutzen des Testats.
Im Folgenden werden die wichtigsten Anforderungskataloge und Gütesiegel beschrie-
ben:
•
Die von zwei der Autoren dieses Praxisleitfadens (Dirk Loomans und Manuela Matz)
entwickelten „
Anforderungen an ein Datenschutzmanagementsystem
“[
6
] wurden
im Jahr 2010 veröffentlicht und stellten den ersten Versuch der Formulierung eines
international anwendbaren Standards für ein DSMS dar. Analog zur Methodik aus dem
weitverbreitetenISO9001StandardwurdeeinoffenerundrisikobasierterAnsatzfürein
DSMSbeschrieben, derzudemumweitereManagementsystemewieetwaeinISMSnach
ISO 27001 erweiterbar ist. Durch die weitgehende Loslösung von Spezialregelungen des
deutschen Rechtes hin zu allgemeingültigeren Best Practices, jedoch mit Einbeziehung
der wesentlichen gesetzlichen Pflichten, wurden auch die Bedürfnisse internationaler
1
Vgl. dazu ausführlich
Gola
, BDSG, § 9a oder auch
Simitis
, BDSG, § 9a, Rn.40 ff.
Search WWH ::
Custom Search