Datenschutz-Audits
Durch Datenschutzaudits und die entsprechenden Zertifizierungen können Unternehmen dokumentieren, dass sie die gesetzlichen Vorgaben zum Datenschutz sowie die Vorgaben des jeweiligen Audit-Standards einhalten. Die wesentlichen Ziele, die Unternehmen durch eine Auditierung verfolgen bestehen in der Erlangung von Wettbewerbsvorteilen und der Dokumentation der technischen und organisatorischen Maßnahmen gegenüber Auftraggebern. Gerade für Auftragnehmer von Auftragsdatenverarbeitungen kann eine Zertifizierung besonders interessant sein.
Audits als Kontrolle nach § 11 BDSG
Denn nach § 11 BDSG hat sich ein Auftraggeber vor Beginn einer Auftragsdatenverarbeitung von der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen zu überzeugen. Derartige Kontrollen, die in der Regel vor Ort stattfinden, bedeuten sowohl für Auftragnehmer als auch Auftraggeber einen enormen Zeit- und Kostenaufwand. Inwieweit durchgeführte Audits oder Zertifizierungen eine solche gesetzlich geforderte Kontrolle ersetzen, war bisher umstritten. Das lag vor allem daran, dass bestehende Auditverfahren nicht auf die Vorgaben das § 11 BDSG abgestimmt waren.
Der Standard DS-BvD-GDD-01
Genau hier setzt der Standard DS-BvD-GDD-01 der DSZ (DSZ Datenschutz Zertifizierungsgesellschaft mbH) an. Entwickelt wurde der Standard von den Experten der Fachverbände BvD e.V. (Berufsverband der Datenschutzbeauftragten Deutschlands) und GDD e.V. (Gesellschaft für Datenschutz und Datensicherheit) mit Begleitung des LDI NRW (Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen). Ziel dieses Standards ist es, durch ein transparentes Verfahren, alle für eine Auftragsdatenverarbeitung relevanten Aspekte durch unabhängige Auditoren zu dokumentieren, die Ergebnisse öffentlich verfügbar zu machen und letztendlich für Auftraggeber die gesetzlich festgelegte Kontrollpflicht zu erfüllen.
Der Standard wird befürwortet vom LDI NRW. Zudem erfüllt er die Anforderungen des Düsseldorfer Kreises für die Vergabe von Prüfzertifikaten laut Beschluss vom 25./26. Februar 2014.
Vorteile
Als einer der ersten Auditoren habe ich mich nach diesem Standard ausbilden und zertifizieren lassen. Das heißt, ich kann einerseits Unternehmen bei der Zertifizierung begleiten und auf das Audit vorbereiten. Oder ich kann das eigentliche Audit nach dem Standard der DSZ durchführen.
Vorteile für Auftragnehmer und Auftraggeber
- Der Standard DS-BvD-GDD-01 ist transparent und kann kostenlos bei der DSZ heruntergeladen werden.
- Die Prüfung ist transparent und der Prüfbericht kann bei der DSZ eingesehen werden.
- Das erteilte Siegel bestätigt dem Auftrageber die Einhaltung des Standards. Für den Auftragnehmer dient das Siegel als Wettbewerbsvorteil.
- Die enormen Kosten für Datenschutzkontrollen entfallen für Auftraggeber und Auftragnehmer
- Die unabhängige Prüfung durch Dritte erhöht die Sicherheit für Auftraggeber
- Die Kosten für die Siegelvergabe sind durch festgelegte Zeitkontingente verlässlich planbar