Düsseldorfer Kreis fördert freiwillige Audits

27.03.2014

Vor dieser Frage stehen nicht nur Verbraucher, sondern auch viele Unternehmen, die vertrauenswürdige Partner suchen. Ein gutes Datenschutzniveau ist unsichtbar. Es lässt sich weder an Produkteigenschaften noch an Kennzahlen wie Umsatz oder Mitarbeiteranzahl festmachen. Zahlreiche Presseberichte, die Tätigkeitsberichte der Datenschutzaufsichtsbehörden und auch Studien belegen Tag für Tag, dass ein gesetzeskonformes Datenschutzniveau nicht selbstverständlich ist.

Audits führen zu mehr Datenschutz in der Fläche

Diesen Umstand mögen auch die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich   (Düsseldorfer Kreis am 25./26. Februar 2014) als Anlass für ihren neuesten Beschluss genommen haben. In freiwilligen Audits sieht der Düsseldorfer Kreis einen bedeutenden Beitrag für den Datenschutz, weil sie als aus eigenem Antrieb veranlasste Maßnahme die Chance in sich bergen, zu mehr Datenschutz in der Fläche zu gelangen.

Der Düsseldorfer Kreis unterstützt die Bemühungen, die geeignet sind, Erfahrungen mit Zertifizierungen zu sammeln, die in eigener Verantwortung im Wege der Selbstregulierung auf der Grundlage von Standards erfolgen.

Anforderungen an einen Audit

Folgende Strukturelemente sehen die Aufsichtsbehörden im Sinne einer sachgerechten und unabhängigen Bewertung als notwendig an, damit Zertifizierungsdienste verlässliche Aussagen für die nutznießenden Gruppen erbringen können:

• Prüffähige Standards, die von den Aufsichtsbehörden befürwortet werden, zu entwickeln, zu veröffentlichen und zur Nutzung für Dritte freizugeben,
• beim Zertifizierungsprozess zwischen verschiedenen Ebenen zu unterscheiden (Prüfung, Zertifizierung, Akkreditierung),
• für verschiedene auf Ebenen und/oder in Verfahrensabschnitten anfallende Aufgaben voneinander abzugrenzende Rollen der jeweils Mitwirkenden vorzusehen,
• Regelungen zur Vermeidung von Interessenkollisionen der an einem Zertifizierungsprozess Beteiligten zu treffen,
• Anforderungen an die Eignung als Prüferin und Prüfer festzulegen und diesen Personenkreis für Zertifizierungen zu qualifizieren,
• den geprüften Sachbereich so zu umschreiben, dass Bürgerinnen und Bürger, Kundinnen und Kunden die Reichweite der Prüfaussage ohne weiteres dem Zertifikat entnehmen können,
• Bedingungen für Erteilung, Geltungsdauer und Entzug von Zertifikaten zu bestimmen,
• Zertifikate zusammen mit den wesentlichen Ergebnissen der Prüfberichte zu veröffentlichen.

Der Datenschutzstandard „DS-BvD-GDD-01“

Genau an diesen Anforderungen orientiert sich das von den Fachverbänden „Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.“ und „Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.“ ins Leben gerufene Datenschutzsiegel, welches auf dem offenen Datenschutzstandard „DS-BvD-GDD-01“ basiert. Dieses wurde speziell für die Auftragsdatenverarbeitung entwickelt. 

Der diesem Datenschutzsiegel zugrunde Datenschutzstandard, der einer Gesamtkonzeption aus Standard und Zertifizierungsablauf folgt, hatte bereits zu seiner Vorstellung den Zuspruch des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) erhalten.

Der Landesbeauftragte für den Datenschutz Baden-Württemberg

(Foto: © DOC RABE Media - Fotolia.com)