FAQ: Häufig gestellte Fragen zum Datenschutzaudit

Wir weisen darauf hin, dass ab dem 25. Mai 2018 aufgrund der dann gültigen Datenschutz-Grundverordnung und des überarbeiteten Landesdatenschutzgesetzes Schleswig-Holstein geänderte Verfahren und Voraussetzungen für das Behörden-Audit des ULD gelten werden. Diese werden aktuell von uns aufbereitet und zeitnah hier veröffentlicht. Bei Interesse an einer Auditierung bitten wir Sie, vorab Kontakt mit uns aufzunehmen.


Zu folgenden Fragen zum Thema "Datenschutzaudit" können Sie sich auf dieser Seite informieren:


Was ist ein Datenschutzaudit nach dem Landesdatenschutzgesetz?

Ein Datenschutzaudit ist die förmliche Prüfung des Datenschutzkonzepts einer öffentlichen Stelle durch das Unabhängige Landeszentrum für Datenschutz (ULD).

Wer kann ein Datenschutzaudit beantragen?

Alle öffentlichen Stellen in Schleswig-Holstein können entweder für ihre gesamte Datenverarbeitung, für abtrennbare Teile hiervon oder für einzelne Datenverarbeitungsverfahren ein Datenschutzaudit beantragen.

Wer führt das Datenschutzaudit durch?

Das Datenschutzaudit wird durch das Unabhängige Landeszentrum für Datenschutz durchgeführt.

Welche Voraussetzungen müssen für ein Datenschutzaudit erfüllt sein?

Grundlage des Audits ist eine schriftliche Vereinbarung der jeweiligen Behörde mit dem Unabhängigen Landeszentrum für Datenschutz. Danach erfolgen Bestandsaufnahme, Festlegung der Datenschutzziele, Einrichtung eines Datenschutzmanagementsystems, Begutachtung durch das ULD und schließlich die Verleihung des Datenschutzauditzeichens.

Ist ein Datenschutzaudit befristet?

Ein Datenschutzaudit wird für höchstens drei Jahre verliehen. Verlängerungen sind in einem vereinfachten Verfahren möglich.

Wie unterscheidet sich das Datenschutzaudit von der Vorabkontrolle?

Die Vorabkontrolle wird bei einzelnen Datenverarbeitungsverfahren, die u. a. besonders sensible Daten betreffen, entweder vom behördlichen Datenschutzbeauftragten, oder, falls ein solcher nicht bestellt ist, vom ULD durchgeführt. Ihr Schwergewicht liegt bei der Prüfung der materiell-rechtlichen Zulässigkeit und der Datensicherheitsmaßnahmen. Das Audit ist auch für Behörden oder Behördenteile möglich. Es ist primär darauf gerichtet, den Datenschutz zu verbessern und durch eine geeignete Organisation nachhaltig zu gewährleisten. Das Datenschutzauditzeichen kann "im Geschäftsverkehr" offensiv für Werbezwecke verwendet werden.

Wie unterscheidet sich das Datenschutzaudit von der Beratung durch das Unabhängige Landeszentrum für Datenschutz?

Die Beratung durch das ULD bezieht sich auf die jeweils konkret vorgelegte Frage bzw. auf den unterbreiteten Sachverhalt. Ob die gegebenen Empfehlungen umgesetzt werden, bleibt offen; Veränderungen maßgeblicher Umstände werden nach Abschluss der Beratung nicht berücksichtigt, während das Audit auf eine dauerhafte Verbesserung der Datenschutzorganisation gerichtet ist.

Wie unterscheidet sich das Datenschutzaudit vom Gütesiegel?

Das Gütesiegel kann für von der privaten Wirtschaft angebotene IT-Produkte verliehen weden. Das Datenschutzaudit betrifft öffentliche Stellen und insbesondere ihre Datenschutzorganisation.

Können auch private Firmen auditiert werden?

Im Prinzip nicht, denn Audits in der Privatwirtschaft fallen in die Regelungskompetenz des Bundesgesetzgebers. Soweit private Firmen an konkreten Datenverarbeitungsverfahren öffentlicher Stellen beteiligt sind, können sie aber in ein Auditverfahren einbezogen werden.

Wie hoch sind die Kosten für ein Datenschutzaudit beim ULD

Die Kosten für das Datenschutzaudit bemessen sich nach dem voraussichtlichen Personalaufwand. Es wird ein Stundensatz von 80 € pro Mitarbeiterin bzw. Mitarbeiter zu Grunde gelegt. Der Personalaufwand wird vor Abschluss der zwischen der jeweilige Behörde und dem Unabhängigen Landeszentrum für Datenschutz zu treffenden Vereinbarung festgelegt.

Bei der Bemessung des Personalaufwandes kommt es zum einen darauf an, wie umfangreich der Gegenstand des Datenschutzaudits ist. Handelt es sich um ein einzelnes Verfahren, in dem personenbezogene Daten verarbeitet werden, ist von einem geringeren Aufwand auszugehen. Bei der Auditierung eines Teilbereiches der Daten verarbeitenden Stelle, innerhalb dessen einzelne Verfahren eingesetzt werden, ist in der Regel von einem mittleren Aufwand auszugehen. Sofern die gesamte Verarbeitung personenbezogener Daten einer Daten verarbeitenden Stelle einem Audit-Verfahren unterzogen wird, ist von einem hohen Personalaufwand auszugehen. Zum anderen ist zu berücksichtigen, ob und und in welchem Umfang Hilfestellung vom ULD bei der Erstellung der erforderlichen Unterlagen zu leisten ist. Dieses wird bei Abschluss der Vereinbarung festgestellt. Liegen z.B. schriftliche Dokumentationsunterlagen vor, die auf Grund ihrer Qualität als Grundlage für die nächsten Verfahrensschritte dienen können, ist zu erwarten, dass die vom Unabhängigen Landeszentrum für Datenschutz zu leistende Mitwirkung einen geringeren Aufwand erfordert, als bei Nichtvorliegen entsprechender Unterlagen.

Wann ergibt ein Audit Sinn?

Ein Audit solte für die Daten verarbeitende Stelle Nutzen bringen und keinen unverhältnismäßig hohen Aufwand erfordern. Das ULD stellt interessierten Daten verarbeitenden Stellen eine Checkliste in Form von 10 Fragen zur Verfügung, anhand der frühzeitig geprüft werden kann, ob diese Voraussetzungen für ein erfolgreiches Datenschutz-Behördenaudit gegeben sind.

Wo kann ich mich über das Datenschutzaudit informieren?

Informationen zum Datenschutzaudit und das Register der auditierten Behörden stellt das Unabhängige Landeszentrum für Datenschutz auf seiner Homepage unter www.datenschutzzentrum.de/audit/ zur Verfügung.

Unabhängiges Landeszentrum für
Datenschutz Schleswig-Holstein
Holstenstr. 98
24103 Kiel
Fax: 0431/988-1223
E-Mail: audit@datenschutzzentrum.de