Drucksache 16/12600
2.4
– 24 –
Neuer Anlauf für ein bundesweites
Datenschutzaudit
Die Diskussion um ein Datenschutzaudit bekam nach den
Datenschutzskandalen des Jahres 2008 eine völlig neue
Dynamik. Die Bundesregierung hat im Dezember 2008
auf Vorschlag des BMI einen neuen Entwurf für ein Datenschutzauditgesetz beschlossen.
Das als Teil eines umfassenderen Gesetzentwurfs vorgelegte Datenschutzauditgesetz (s. o. Nr. 2.2, vgl. auch
21. TB Nr. 2.4) folgt der Erkenntnis, dass durch die Förderung eines Datenschutzmanagements und die Schaffung wirtschaftlicher Anreize durch Zertifizierung
Verstöße gegen datenschutzrechtliche Bestimmungen erschwert oder zumindest schneller offenbar werden. Auch
wenn der vorgelegte Entwurf nur ein erster Schritt zu einer grundlegenden Modernisierung des Datenschutzes ist,
enthält er doch eine Reihe positiver Aspekte.
Das vorgesehene Datenschutzaudit folgt einer – zumindest für den Datenschutz – völlig neuen Konzeption, die
z. T. der Kennzeichnung von landwirtschaftlichen Erzeugnissen und Lebensmitteln nach dem Öko-Landbaugesetz, z. T. dem Umweltauditgesetz nachempfunden ist.
Anders als bisherige Ansätze sollen Produkte oder Verfahren nicht einer einmaligen Zertifizierung unterworfen
werden, die die zertifizierte Stelle berechtigt, ein befristetes Gütesiegel zu führen. Vielmehr ist ein Kontrollsystem
vorgesehen, bei dem sich eine verantwortliche Stelle oder
der Anbieter eines Datenverarbeitungssystems oder -programms der permanenten Kontrolle einer „Kontrollstelle“
unterwirft. Darüber hinaus muss eine dem Audit unterliegende Stelle weitere Anforderungen erfüllen. Dazu gehört
neben der selbstverständlichen Einhaltung der datenschutzrechtlichen Vorschriften eine Anwendung von
Richtlinien, die für die zu zertifizierenden Konzepte oder
Einrichtungen besondere datenschutzrechtliche Anforderungen definieren.
Bei den „Kontrollstellen“ kann es sich um private oder
öffentliche Stellen handeln. Sie bedürfen nach dem Gesetzentwurf meiner Zulassung, die sie unter der Voraussetzung erhalten, dass sie bestimmte Anforderungen an
die Unabhängigkeit, Zuverlässigkeit und Fachkunde erfüllen. Die privaten „Kontrollstellen“ ihrerseits sollen
von Landesbehörden überwacht werden.
Die besonderen Richtlinien sollen von einem Datenschutzauditausschuss erlassen werden, dem ehrenamtlich
Vertreter von Datenschutzbehörden, Verwaltung und
Wirtschaft angehören sollen. Der Ausschuss soll mit einer
Geschäftsstelle bei meiner Dienststelle angesiedelt werden.
Der Entwurf hat zu einer kontroversen datenschutzpolitischen Diskussion geführt. Dabei wurden berechtigte Bedenken geäußert, aber auch Befürchtungen, die nach meiner Ansicht nicht zutreffen.
In meiner Stellungnahme habe ich darauf hingewiesen,
dass er eine Reihe positiver Ansätze enthält: Das Audit ist
freiwillig. Durch wettbewerbliche Anreize ist es geeignet,
ein höheres Datenschutzniveau zu erreichen, gewährleis-
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
tet durch die Anwendung der Richtlinien die Vergleichbarkeit der zertifizierten Gegenstände und weist
angesichts zahlreicher Veröffentlichungspflichten eine erfreuliche Transparenz auf.
Ich halte auf dieser Grundlage auch die für die Akzeptanz
des Datenschutzaudits unabdingbare Qualitätssicherung
für möglich. Allerdings besteht die Gefahr, dass dieser
Anspruch in der Praxis nicht umfassend eingelöst werden
kann. Zum einen ist die im Gesetzentwurf vorgesehene
Kontrolldichte zu gering. Zum anderen muss damit gerechnet werden, dass die für die Aufsicht über die Kontrollstellen zuständigen Landesbehörden ihre Aufgaben
wegen einer nicht ausreichenden Ausstattung nicht angemessen ausführen können. Dies gilt umso mehr, als die
Konzeption des Audits mit einem nicht unerheblichen
personellen und organisatorischen Aufwand für die Behörden verbunden ist.
Abzuwarten bleibt außerdem, inwieweit allein der Wettbewerb zwischen den Kontrollstellen tatsächlich zu einer
hohen Qualitätssicherung führt und Gefälligkeitszertifizierungen wirksam vermieden werden können.
Darüber hinaus ist die vorgesehene Stellung des Datenschutzauditausschusses verbesserungsbedürftig, da er
trotz der im Entwurf geregelten Unabhängigkeit einer
sehr weitgehenden Rechtsaufsicht des BMI unterliegen
soll.
Den gelegentlich geäußerten Vorwurf, die europarechtlich
zwingend vorgesehene unabhängige staatliche Datenschutzaufsicht werde durch den Entwurf beschränkt oder
gar ersetzt, teile ich nicht. Das geplante Datenschutzaudit
soll neben die staatliche Datenschutzaufsicht treten und
tangiert diese nicht. Sie ist ein zusätzliches Instrument der
Datenschutzkontrolle, das ergänzend zur staatlichen Aufsicht bestehen soll.
Schließlich habe ich darauf hingewiesen, dass der mit
dem Gesetzentwurf verbundene erhebliche Aufgabenzuwachs für meine Dienststelle nur getragen werden kann,
wenn mir die notwendigen personellen und sachlichen
Ressourcen zur Verfügung gestellt werden. Dieser zusätzliche Aufwand wird von der Bundesregierung im Gesetzentwurf und dessen Begründung bereits konkret
anerkannt. Ich erwarte, dass die entsprechenden Voraussetzungen im Haushaltsrecht und im Haushaltsvollzug so
rechtzeitig geschaffen werden, dass das Audit mit
Inkrafttreten des Gesetzes unmittelbar angewendet werden kann.
2.5
Datenschutz und Outsourcing – Ein
neuer Ansatz
Die Auslagerung von Aufgaben einschließlich der damit
zusammenhängenden Erhebung und Verarbeitung personenbezogener Daten auf Dritte verlangt es, die Möglichkeiten und Grenzen des Outsourcing im Bundesdatenschutzgesetz klar zu regeln.
Sowohl öffentliche Stellen als auch Unternehmen erledigen viele Arbeiten nicht mehr selbst, sondern beauftragen
in zunehmendem Umfang Dritte („Outsourcing“). Auch