Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

1. Einleitung

Im Rahmen der Novellierung des Landesdatenschutzgesetzes im Jahre 2000 wurde eine Regelung über das Datenschutzaudit neu in das Gesetz aufgenommen. Gemäß § 43 Abs. 2 Landesdatenschutzgesetz (LDSG) können öffentliche Stellen ihr Datenschutzkonzept durch das Unabhängige Landeszentrum für Datenschutz prüfen und beurteilen lassen. 
Bei dem Datenschutz-Behördenaudit handelt es sich um ein neues Instrument auf dem Gebiet des Datenschutzes, das dem Umweltaudit nachgebildet ist. Das Datenschutzaudit unterscheidet sich von der " klassischen" Tätigkeit des Unabhängigen Landeszentrums für Datenschutz (ULD) als Kontrollorgan durch einen ganz neuen Ansatz. Die Behörden des Landes müssen nämlich nicht länger abwarten, ob sie eventuell einmal kontrolliert werden, sondern haben die Möglichkeit, sich selbst aktiv um das Datenschutzaudit zu bemühen. Während die Initiative bei derdatenschutzrechtlichen Kontrolle vom ULD als der Kontrollbehörde ausgeht und damit entscheidend durch ihren ordnungsrechtlichen Charakter geprägt wird, wird das Datenschutzaudit durch seineFreiwilligkeit bestimmt. Die Daten verarbeitende Stelle hat es selbst in der Hand, ihre Selbstverantwortung im Bereich des Datenschutzes und der Datensicherheit zu stärken und ihre Datenverarbeitung im Sinne einer dauerhaften Übereinstimmung mit den gesetzlichen Datenschutzvorschriften zu optimieren. Statt auf etwaige Kontrollen und gegebenenfalls nachträgliche Kritik oder Beanstandungen zu warten, gibt das Datenschutzaudit die Möglichkeit, sich von vornherein positiv mit den Datenschutzfragen zu befassen [1] .
Ein wesentlicher Unterschied besteht auch zwischen dem Datenschutzaudit und der dem ULD obliegenden Aufgabe der Beratung öffentlicher Stellen. Diese besteht in der Erörterung einer spezifischen Fragestellung bei der Verarbeitung personenbezogener Daten. Häufig wird zwar ein Konzept entwickelt, die Umsetzung der Empfehlungen wird vom ULD jedoch nicht mehr begleitet. Nach dem Abschluss der Beratung eintretende dynamische Veränderungen der Situation werden regelmäßig nicht mehr berücksichtigt. Das Datenschutzaudit stellt im Gegensatz hierzu gerade keine Momentaufnahme dar, sondern zielt auf die Einrichtung eines Gesamtkonzeptes zu einer kontinuierlichen Verbesserung des Datenschutzniveaus ab. 
Mit der Einführung des Datenschutzaudits nimmt Schleswig-Holstein bundesweit eine Vorreiterrolle ein. Als erstes Bundesland räumt es Behörden die Möglichkeit der Teilnahme an einem Datenschutzaudit ein [2] . Zwar enthalten die Datenschutzgesetze einzelner Bundesländer [3]Regelungen zum Datenschutzaudit und auch das im vergangenen Jahr novellierte Bundesdatenschutzgesetz sieht in § 9 a ein Datenschutzaudit vor. Allen diesen Regelungen ist gemeinsam, dass sie die Möglichkeit eines Audit-Verfahrens zwar vorsehen, die Umsetzung und nähere Ausgestaltung jedoch noch zu schaffenden Ausführungsgesetzen überlassen. Zum gegenwärtigen Zeitpunkt liegen derartige Gesetze noch nicht einmal in Form von Gesetzesentwürfen vor. Dagegen wird das Datenschutzaudit in Schleswig-Holstein durch das novellierte LDSG unmittelbar eingeführt. Im März 2001 hat das ULD die den Verfahrensablauf des Audit-Verfahrens konkretisierenden Ausführungsbestimmungen (HDSA-SH) erlassen [4] . Mit der praktischen Umsetzung konnte im Sommer 2001 begonnen werden.

2. Gegenstand des Datenschutz-Behördenaudits

Den Gegenstand eines Datenschutz-Behördenaudits können unterschiedliche Verfahren bilden. Gemäß Ziff. B 2.1 HDSA-SH kommen einzelne automatisierte oder nicht automatisierte Verfahren, in denen personenbezogene Daten verarbeitet werden, ein einzelner Teilbereich der Daten verarbeitenden Stelle (z.B. ein einzelnes Amt oder eine Abteilung) oder aber die gesamte Verarbeitung personenbezogener Daten einer Behörde in Betracht. Unerheblich ist hierbei, ob sich das Verfahren bereits im Echteinsatz oder erst in der Planungs- oder Entwicklungsphase befindet. 
Praktische Relevanz erlangen im Rahmen eines Datenschutz-Behördenaudits in erster Linie einzelne Datenverarbeitungsverfahren, da gerade die Durchführung eines Datenschutzaudits eine wichtige Chance bei der Werbung für die Akzeptanz der Einführung eines neuen Verfahrens bietet[5] . Insoweit ist es sehr vorteilhaft, bereits in der Planungs- und Entwicklungsphase eines neuen Verfahrens ein Datenschutzaudit zu durchlaufen.

3. Schnittstelle zum Schleswig-Holsteinischen Datenschutz-Gütesiegel

Das LDSG enthält an zwei unterschiedlichen Stellen Regelungen zum Datenschutzaudit. Zum einen handelt es sich um die oben zitierte Vorschrift des § 43 Abs. 2 LDSG, die die Rechtsgrundlage für das Datenschutz-Behördenaudit bildet. Zum anderen sollen gemäß § 4 Abs. 2 LDSG vorrangig Produkte eingesetzt werden, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurde. Die Vorschrift bezieht sich auf das Datenschutz-Gütesiegel, das von Herstellern und Vertriebsfirmen für IT-Produkte (d.h. Hardware, Software und automatisierte Verfahren) beantragt werden kann. Mit der Verleihung eines Datenschutz-Gütesiegels wird dem jeweiligen Produkt bescheinigt, dass es mit den Vorschriften über Datenschutz und Datensicherheit vereinbar ist. Sobald die ersten Gütesiegel verliehen worden sind, bedeutet dies für die Behörden in Schleswig-Holstein eine grundsätzliche Verpflichtung, mit einem Gütesiegel ausgezeichnete Produkte vorrangig zu beschaffen und einzusetzen. Der enge Zusammenhang zwischen dem Datenschutz-Behördenaudit und dem Datenschutz-Gütesiegel wird deutlich, wenn man das oben genannte Ziel der Optimierung der Datenschutzsituation innerhalb einer öffentlichen Stelle betrachtet. Mit dem Datenschutz-Behördenaudit soll ein Gesamtkonzept zur dauerhaften Gewährleistung eines guten Datenschutzniveaus in der jeweiligen Stelle eingerichtet werden. Es liegt geradezu auf der Hand, dass öffentliche Stellen, die mit einem Gütesiegel ausgezeichnete IT-Produkte einsetzen, es leichter haben, ihre interne Organisation unter Aspekten des Datenschutzes zu optimieren, wenn die Einhaltung der gesetzlichen Vorschriften bereits durch die eingesetzten informationstechnischen Produkte unterstützt wird.

4. Verfahrensablauf des Datenschutz-Behördenaudits

Der Verfahrensablauf für die Durchführung des Datenschutz-Behördenaudits ist detailliert in den eigens hierzu erlassenen Ausführungsbestimmungen (HDSA-SH) geregelt. Es ist an dieser Stelle zu betonen, dass das Verfahren bewusst so ausgestaltet ist, dass so wenig wie möglich an zusätzlichem bürokratischem Aufwand verursacht werden soll [6] . Die Erstellung der im Rahmen des Audits von der Daten verarbeitenden Stelle vorzulegenden Unterlagen ist zum größten Teil nach den Vorschriften des LDSG bzw. der Datenschutzverordnung (DSVO) [7] ohnehin bereits erforderlich [8] . Da die bestehenden Verpflichtungen im Rahmen des Audits freiwillig angegangen werden sollen, wurde bewusst darauf verzichtet, die öffentlichen Stellen mit neuartigen und zusätzlichen Forderungen zu konfrontieren [9] . 
Die Freiwilligkeit des Audits wird besonders deutlich, wenn man den Verfahrensablauf betrachtet. Grundlage eines Datenschutzaudits ist nämlich eine zwischen dem ULD und der jeweiligen Behörde zu schließende Vereinbarung. In dieser sind insbesondere Art und Umfang festzulegen. Des Weiteren sind Bestimmungen zum Zeitplan aufzunehmen. Da das Datenschutz-Behördenaudit zu den Serviceaufgaben des ULD gehört, wird hierfür eine angemessene Gebühr erhoben. Die Gebührenhöhe bemisst sich nach der ULD-Benutzungs- und Entgeltsatzung [10] . Es wird nach einem Pauschalpreis abgerechnet [11] . 
Das eigentliche Audit-Verfahren lässt sich in fünf Schritte untergliedern [12] . Es handelt sich hierbei um die Bestandsaufnahme (4.1), die Festlegung der Datenschutzziele (4.2), die Einrichtung eines Datenschutzmanagementsystems (4.3), die Begutachtung durch das ULD (4.4) sowie die Verleihung des Datenschutzauditzeichens (4.5).

4.1 Bestandsaufnahme

Um den Gegenstand des Datenschutzaudits näher zu präzisieren und den status quo zu ermitteln, nimmt die Daten verarbeitende Stelle zunächst eine Bestandsaufnahme vor. Hierzu gehört eine Darlegung u.a. der Zwecke des Verfahrens, der einzuhaltenden Rechtsvorschriften und der eingesetzten informationstechnischen Geräte und Programme, d.h. Hard- und Software. Auch die nach dem LDSG-SH und der DSVO gebotenen Datensicherheitsmaßnahmen sind in abstrakter und konkreter Form zu beschreiben. Bei automatisierten Verfahren ist der Nachweis von Test und Freigabe sowie des Sicherheitskonzepts nach der DSVO zu erbringen. Eine Analyse der Restrisiken soll mögliche Schadenspotenziale im Hinblick auf Datenschutz und Datensicherheit aufzeigen.

4.2 Festlegung der Datenschutzziele

Nach Abschluss der Bestandsaufnahme werden die Datenschutzziele schriftlich dokumentiert. Hier gilt es festzulegen, in welchen Punkten eine Verbesserung des Datenschutzstandards erfolgen soll. Gefragt sind in diesem Zusammenhang eher realistische Ziele als utopische Vorgaben [13] . Denkbar ist es, die oftmals bestehenden Spielräume bei der Auslegung der gesetzlichen Vorschriften datenschutzfreundlich auszunutzen. Als konkretes Ziel kommt z.B. auch eine Verbesserung der Aufklärung und Schulung der Mitarbeiter der Daten verarbeitenden Stelle in Datenschutzfragen in Betracht.

4.3 Einrichtung eines Datenschutzmanagementsystems

Das Datenschutzmanagementsystem stellt die interne Organisation der Daten verarbeitenden Stelle im Hinblick auf die Erreichung der Datenschutzziele und die Einhaltung der datenschutzrechtlichen Vorgaben dar. Es ist die Gesamtheit aus Zuständigkeiten, vorgeschriebenen Verhaltensweisen und Abläufen sowie sächlichen Mitteln, die zur Erreichung der Datenschutzziele dienen [14] . Auf den ersten Blick mag dies etwas abstrakt klingen, da präzise verbindliche Vorgaben fehlen. Das Datenschutzmanagementsystem lässt sich jedoch relativ einfach konkretisieren. 
Zu denken ist zunächst an die Bestellung eines behördlichen Datenschutzbeauftragten, der bei der Durchführung eines Audit-Verfahrens in der Regel eine Koordinierungsfunktion wahrnimmt und damit eine wichtige Rolle spielt. Die Bestellung eines behördlichen Datenschutzbeauftragten ist jedoch auch im Rahmen eines Audit-Verfahrens nicht zwingend. Aus guten Gründen besteht in Schleswig-Holstein - im Gegensatz zu den meisten anderen Bundesländern - keine Verpflichtung zur förmlichen Bestellung eines behördlichen Datenschutzbeauftragten. Es kommt weniger darauf an, dass in der öffentlichen Stelle eine bestimmte Organisation besteht, als vielmehr auf ein überzeugendes Konzept, das dem Ziel der Erreichung eines hohen Datenschutzniveaus dient. Natürlich ist die Bestellung eines behördlichen Datenschutzbeauftragten, der seine Aufgabe ernst nimmt, wünschenswert und kann eine Garantie für ein wirksames Datenschutzmanagementsystem bieten. Dagegen kann ein behördlicher Datenschutzbeauftragter, der zwar förmlich bestellt ist, letztlich aber lediglich eine Feigenblattfunktion bekleidet, für einen effektiven Datenschutz wenig erreichen. Sofern auf die förmliche Bestellung eines behördlichen Datenschutzbeauftragten verzichtet wird, bedarf es dennoch einer besonderen Begründung, auf welche Weise eine wirksame Verwirklichung des Datenschutzes sichergestellt werden kann [15] . Die Benennung bestimmter für die Durchführung einzelner Maßnahmen zuständiger Mitarbeiter ist im Rahmen der Entwicklung des Datenschutzmanagementsystems überzeugend zu organisieren. 
Angesichts häufiger Rechtsänderungen gerade im Bereich des umfangreichen und zugegebenermaßen teilweise auch sehr komplizierten bereichsspezifischen Datenschutzrechts ist gerade die Beobachtung dieser Rechtsänderungen ein wichtiger Bestandteil des Datenschutzmanagementsystems. Sinnvoll ist es, diese Aufgabe dem behördlichen Datenschutzbeauftragten zu übertragen, da diese Funktion dann " in einer Hand" wahrgenommen wird. Im Idealfall könnten sog. " Datenschutzhandbücher" entstehen, die eine Sammlung der wichtigsten datenschutzrechtlichen Vorschriften - Gesetze, Verwaltungsvorschriften, Arbeits- und Dienstanweisungen etc. - enthalten und von jedermann ohne großen Aufwand eingesehen werden können. Die tägliche Arbeit könnte auf diese Weise, gerade in Kommunalverwaltungen, sicherlich sehr erleichtert werden. 
Ein weiterer wichtiger Bestandteil des Datenschutzmanagementsystems ist auch die Deckung des Schulungsbedarfs der einzelnen Mitarbeiter. Auch hier zeigt sich ein Tätigkeitsfeld für den behördlichen Datenschutzbeauftragten in seiner Rolle als Ansprechpartner in allen Datenschutzfragen. Auf Grund seiner Kenntnisse ist er prädestiniert, derartige Schulungen durchzuführen und damit einen Beitrag zur Sensibilisierung der Mitarbeiterinnen und Mitarbeiter zu leisten.
Die vorstehenden Ausführungen zeigen, dass der Daten verarbeitenden Stelle bei der Einrichtung eines Datenschutzmanagementsystems ein weiter Gestaltungsspielraum eingeräumt wird. Dieser sollte als Chance begriffen werden, eine den spezifischen Gegebenheiten der jeweiligen Behörde Rechnung tragende Organisationsstruktur zu schaffen. 
Das Datenschutzaudit muss im Rahmen der Entwicklung des Datenschutzmanagementsystems als Lernprozess verstanden werden, um das Ziel einer kontinuierlichen Verbesserung des Datenschutzes erreichen zu können [16] . Es bedarf einer ständigen Fortentwicklung und Verbesserung des Datenschutzmanagementsystems, um angemessen auf Veränderungen im rechtlichen und technischen Bereich reagieren zu können [17] . 
Ein überzeugendes Datenschutzkonzept bietet hierbei eine Gewähr für die Erreichung eines guten Datenschutzniveaus. Wenn die Behördenleitung die Beibehaltung der im Rahmen des Audit-Verfahrens erreichten Datenschutzstandards dann auch noch als Führungsaufgabe anerkennt, ist für die Gewährleistung eines effektiven Datenschutzes viel gewonnen.

4.4 Begutachtung durch das ULD

Die drei Schritte der Bestandsaufnahme, der Festlegung der Datenschutzziele sowie der Einrichtung eines Datenschutzmanagementsystems sind von der zu auditierenden Stelle vorzunehmen. Die erstellten Unterlagen werden zu einer so genannten Datenschutzerklärung zusammengefasst und dem ULD zur Begutachtung vorgelegt. Angesichts des kooperativen Charakters des Datenschutzaudits kann und wird eine Einbeziehung des ULD regelmäßig schon vor der eigentlichen Begutachtung erfolgen. Die Rolle des ULD besteht in erster Linie darin, als externer Datenschutzgutachter die von der Daten verarbeitenden Stelle vorgelegten Unterlagen zu bewerten und gemeinsam mit ihr mögliche Defizite des Konzepts zu beseitigen. Entstehen der zu auditierenden Stelle bei der Durchführung der internen Vorarbeiten Schwierigkeiten, so kann und wird das ULD allerdings bereits in dieser Phase unterstützend tätig werden [18] . 
Das ULD begutachtet die von der zu auditierenden Behörde vorgelegte Datenschutzerklärung sodann im Hinblick darauf, ob die durchgeführten und schriftlich dokumentierten Einzelschritte des Audits nachvollziehbar und schlüssig sind. Das ULD erstellt ein Kurzgutachten, das eine Zusammenfassung der Datenschutzerklärung sowie eine Bewertung der dort getroffenen Aussagen enthält. Insbesondere enthält das Kurzgutachten eine Begründung, warum der öffentlichen Stelle das Auditzeichen verliehen wird [19] . Das ULD führt ein Register aller auditierten Stellen. In diesem Register wird auch das Kurzgutachten veröffentlicht und kann von jedermann auf der Homepage des ULD [20] nachgelesen werden.

4.5 Verleihung des Datenschutzauditzeichens

Nach erfolgreichem Abschluss des Audit-Verfahrens wird der öffentlichen Stelle vom ULD für das auditierte Verfahren ein Datenschutzauditzeichen verliehen. Der jeweiligen Behörde wird auf diese Weise bescheinigt, dass sie für eine unter Datenschutzgesichtspunkten einwandfreie Datenverarbeitung gesorgt hat [21] . Die auditierte Stelle hat die Möglichkeit, mit dem Auditzeichen zu werben. Sie kann es auf ihrem Briefkopf oder ihrer Homepage verwenden oder in anderer Weise veröffentlichen. 
Das Auditzeichen wird für einen Zeitraum von drei Jahren verliehen. Auf diese Weise kann die besondere Qualität des Zeichens gewährleistet werden [22] . Eine erneute Verleihung des Zeichens kann nach Ablauf des Gültigkeitszeitraums in einem abgekürzten Verfahren erfolgen. Sofern während der drei Jahre wesentliche Veränderungen des Verfahrens nachgemeldet werden, die zur Folge haben, dass die abgegebene Datenschutzerklärung in wesentlichen Teilen nicht mehr zutrifft oder das ULD auf andere Weise Kenntnis von Tatsachen erlangt, aus denen sich wesentliche Abweichungen von der Datenschutzerklärung ergeben, so kann das ULD die Verleihung des Auditzeichens bereits vorher widerrufen.

5. Praktische Erfahrungen

Nach Erlass der den konkreten Verfahrensablauf regelnden HDSA-SH wurde im Sommer 2001 mit der Umsetzung des Behördenaudits in die Praxis begonnen. Im Rahmen einer Pilotierungsphase sollten zunächst Erfahrungen mit diesem für alle Beteiligten ganz neuen Instrument gesammelt werden. 
Während dem Kreis Ostholstein für ein Verfahren des Anschlusses des internen Netzes der Kreisverwaltung an das Internet bereits im Januar dieses Jahres ein Auditzeichen verliehen werden konnte, stehen Auditverfahren bei der Gemeinde Büchen und der Stadt Norderstedt kurz vor dem Abschluss. Die Stadt Norderstedt unterzieht sich mit einem automatisierten Personalinformationssystem einem Datenschutz-Behördenaudit. Die Gemeinde Büchen unterzieht sich als erste Kommune dem Audit-Verfahren. Die Gemeinde hat sich das ehrgeizige Ziel gesteckt, die gesamte Verarbeitung personenbezogener Daten sowie die Einführung eines Virtuellen Rathauses auditieren zu lassen. 
Die Durchführung der Pilotprojekte war für die beteiligten öffentlichen Stellen kostenlos. Mittlerweile besteht für jede öffentliche Stelle in Schleswig-Holstein die Möglichkeit, sich einem kostenpflichtigen Audit-Verfahren zu unterziehen. Da die Durchführung von Datenschutzaudits zu den Serviceaufgaben des ULD gehört, wird für diese eine angemessene Gebühr erhoben. Die Höhe der anfallenden Gebühren bemisst sich nach dem voraussichtlich entstehenden tatsächlichen Personalaufwand, der gegebenenfalls durch eine Inaugenscheinnahme vor Ort ermittelt wird [23] . Sie wird nach einem Pauschalpreis ermittelt. Bei der Ermittlung der Gebührenhöhe kommt es u.a. auf den Umfang des Verfahrens und die bereits von der zu auditierenden Stelle geleisteten Vorarbeiten an. In diesem Zusammenhang ist zu betonen, dass gerade die Kostenpflichtigkeit keinen Anlass begründen soll, vor der Durchführung eines Audit-Verfahrens zurückzuschrecken. Vielmehr hat es die öffentliche Stelle selbst in der Hand, durch ihre Vorarbeiten zu einer Minimierung der anfallenden Kosten beizutragen. 
Mittlerweile hat das ULD auch bereits die ersten Verträge über die Durchführung kostenpflichtiger Datenschutz-Behördenaudits unterzeichnet; eine Reihe von Verträgen stehen kurz vor dem Abschluss. Vertragspartner sind der Präsident des Schleswig-Holsteinischen Landtages, ein Ministerium sowie einige Kommunalbehörden.

6. Was haben die Behörden von einem Audit?

Wie bereits oben dargestellt, kann die öffentliche Stelle nach erfolgreichem Abschluss des Audit-Verfahrens mit dem Auditzeichen in beliebiger Weise werben. Bei öffentlichen Stellen wird es sich in erster Linie um die Werbung um das Vertrauen der Bürgerinnen und Bürger handeln. Doch auch im zunehmenden Wettbewerb der Verwaltungen untereinander kommt dem Datenschutzaudit eine nicht zu unterschätzende Bedeutung zu. Mit einem erfolgreichen Datenschutzaudit kann im Wettbewerb für mehr Bürgernähe und -akzeptanz aktiv um das Vertrauen der Bürgerinnen und Bürger geworben werden. Die Bemühungen öffentlicher Stellen, im Bereich des Datenschutzes Leistungen zu erbringen, die über die bloße Einhaltung der gesetzlichen Vorschriften hinausreichen, können im Rahmen eines Datenschutzaudits angemessen gewürdigt werden [24] . Die öffentliche Stelle kann sich so mit einem guten Datenschutzniveau profilieren. Das Datenschutzaudit kann auf diese Weise dazu beitragen, den Weg in eine innovative Verwaltung zu ebnen.

[1] Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz vom 14.06.2001.

[2] Vgl. Bäumler, DuD 2002, 325 (325).

[3] Zu nennen sind § 10a des Datenschutzgesetzes Nordrhein-Westfalen - DSG NRW sowie § 11c des Brandenburgischen Datenschutzgesetzes - BbgDSG.

[4] Hinweise des Unabhängigen Landeszentrums für Datenschutz zur Durchführung eines Datenschutz-Behördenaudits nach § 43 Abs. 2 LDSG vom 22. März 2001, Amtsblatt für Schleswig-Holstein, S. 196-200.

[5] Vgl. Bäumler, RDV 2001, 167 (168).

[6] Vgl. Bäumler, RDV 2001, 167 (168).

[7] Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung - DSVO) vom 2. April 2001, GVOBl. Schl.-H. 2001, S. 49-50.

[8] Vgl. Bäumler, RDV 2001, 167 (168).

[9] Vgl. Bäumler, DuD 2002, 325 (327).

[10] Satzung des Unabhängigen Landeszentrums für Datenschutz über die Leistungen der Anstalt und die Erhebung von Entgelten.

[11] Siehe hierzu weiter unten Ziff. 5.

[12] Siehe zum Verfahren ausführlich Golembiewski, Das Datenschutzaudit in Schleswig-Holstein, in: Bäumler/von Mutius (Hrsg.), Datenschutz als Wettbewerbsvorteil, Wiesbaden 2002, S. 107 (110ff.) sowie Bäumler, DuD 2002, 325 (327f.).

[13] Bäumler, DuD 2002, 325 (327).

[14] Ziff. B 7.2 HDSA.

[15] Vgl. Bäumler, RDV 2001, 167 (169).

[16] Vgl. Roßnagel, Datenschutz-Audit - ein neues Instrument des Datenschutzes, in: Bäumler, Der neue Datenschutz, Neuwied 1998, S. 65 (69).

[17] Vgl. Golembiewski (Fn. 11), S. 113.

[18] Vgl. Ziff. A 1.4. HDSA.

[19] Vgl. Bäumler, DuD 2002, 325 (328).

[20] URL: www.datenschutzzentrum.de/audit/.

[21] Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz vom 14. Juni 2001.

[22] Vgl. Golembiewski (Fn. 11), S. 114.

[23] Vgl. § 3 Abs. 3 der Satzung des Unabhängigen Landeszentrums für Datenschutz über die Leistungen der Anstalt und die Erhebung von Entgelten (ULD Benutzungs- und Entgeltsatzung).

[24] Golembiewski, DuD 2002, 132 (132).