Die
Durchführung eines Datenschutzaudits ist freiwillig. § 9a
BDSG enthält zwar eine Rechtsgrundlage für das Datenschutzaudit,
die Vorschrift regelt aber im wesentlichen nur den Anwendungsbereich des Datenschutzaudit
und enthält die Rechtsgrundlage für ein Ausführungsgesetz für
Audit und Gütesiegel. Jedoch ist das Ausführungsgesetz zum Datenschutz
trotz zahlreicher Ankündigungen aus der Politik noch immer nicht erlassen
worden. Auf der Grundlage des § 9a BDSG können also keine Zertifizierungen
durchgeführt werden, was jedoch andererseits die Entwicklung freiwilliger
Auditierung nicht weiter behindert.
Zahlreiche
Auditierungen werden in den Unternehmen im Rahmen einer Qualitätssicherung
durchgeführt. Überwiegend orientieren sich in diesen Fällen
die Datenschutzaudits an den Standards, die bereits im Unternehmen eingeführt
und praktiziert werden. Auf diese Weise wird der Vermittlungs- und Durchsetzungsaufwand
für das Datenschutzaudit erheblich reduziert, gleichzeitig können
seine Ergebnisse mit denen anderer Fachauditierungen verglichen werden.
Die
Vorbereitung eines Datenschutzaudits lässt sich - ohne Anspruch auf Vollständigkeit
- mit Hilfe von vier Leitfragen operationalisieren:
In
welchen Verfahren werden welche personenbezogenen Daten für welchen
Zweck erhoben, verarbeitet oder genutzt?
Wer
ist gegenüber den Betroffenen sowie innerhalb der Organisation für
die Datenverarbeitung und seine Datenschutzkonformität verantwortlich?
Entspricht
das Verfahren seiner Dokumentation? Ist das Datenschutz- und Sicherheitskonzept
nachvollziehbar und implementierbar?
Auf
welcher Rechtsgrundlage erfolgt die Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten und werden die entsprechenden Anforderungen erfüllt?
Informationstechnologien
dienen der automatisierten Verarbeitung von Daten. Jede IT-Lösung basiert
auf Ausgangsdaten und hat die Generierung von Ergebnisdaten zum Ziel. Die
Sicherheit einer IT-Lösung besteht daher immer in der Sicherheit ihrer
Daten. Alle Betrachtungen zur IT-Sicherheit sind immer auf die Sicherheit
der Daten gerichtet. Programmfehler können zu falschen Daten führen,
Systemausfälle verhindern den Zugriff auf Daten und Hacker- sowie Spionageangriffe
richten sich gegen die betrieblichen Daten.
Sowohl § 9 BDSG und seine Anlage als auch das
BSI-Grundschutzhandbuch fordern eine datenschutzkonforme Organisation des
Geschäftsbetriebes. Der Aufwand der Maßnahmen sollte in einem angemessenen
Verhältnis zum Schutzzweck stehen. Es sollte umfassend gewährleistet
werden, dass Unbefugten im Zweifel der Zutritt zum mit mindestens einer Datenverarbeitungsanlage
(PC) ausgestatteten Arbeitsplatz verwehrt wird. Im Rahmen der Analyse wurden
organisatorische und technische Maßnahmen bewertet, um Schwachstellen
zu ermitteln, die das IT-Sicherheitsniveau beeinflussen.
Die
Sicherheit von Daten wird von unterschiedlichen Szenarien bestimmt, die es
zu analysieren gilt. So wirken auf die IT-Sicherheit Gefahren, wie Sturm,
Hochwasser oder Erdbeben. Es sind höhere Gewalten ohne zeitlichen oder
räumlichen Bezug. Bedrohungen hingegen haben einen zeitlichen, räumlichen
oder personellen Bezug. Zu ihnen gehören Rohrleitungsbrüche, Kabelbrände
etc. Schwachstellen sind Eigenschaften eines Prozesses, Systems oder einer
Komponente, die das Eintreten eines Sicherheitsereignisses fördert oder
erst möglich macht. So erhöht das Fehlen eines Antivirenprogramms
und einer Firewall die Bedrohung bezüglich Vertraulichkeit, Integrität
und Verfügbarkeit.
Das
resultierende Risiko aus Bedrohungen und Schwachstellen ist qualitativ und
quantitativ nach der Relevanz einer Bedrohung für ein schutzwürdiges
Gut zu bewerten.
mehr
>>
Wir
über uns
Kontakt