Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.

FAQ: Häufig gestellte Fragen zum Datenschutzaudit

ACHTUNG: Ab dem 25. Mai 2018 können aufgrund der veränderten Rechtslage das Datenschutz-Gütesiegel Schleswig-Holstein und das Audit-Verfahren in der bisherigen Form nicht mehr angeboten werden. Für Organisationen in Schleswig-Holstein planen wir zeitnah, Zertifizierungen nach Datenschutz-Grundverordnung anzubieten. Bitte nehmen Sie Kontakt zu uns auf, wenn Sie hieran Interesse haben. Die genauen Verfahren, Kriterien und Gebühren werden wir demnächst hier veröffentlichen. Bitte beachten Sie, dass alle bisher erteilten Zertifizierungen (Datenschutz-Gütesiegel und Audit) des ULD auf der Rechtslage vor dem 25. Mai 2018 bzw. vor Gültigkeit der Datenschutz-Grundverordnung beruhten.


Zu folgenden Fragen zum Thema "Datenschutzaudit" können Sie sich auf dieser Seite informieren:


Was ist ein Datenschutzaudit nach dem Landesdatenschutzgesetz?

Ein Datenschutzaudit ist die förmliche Prüfung des Datenschutzkonzepts einer öffentlichen Stelle durch das Unabhängige Landeszentrum für Datenschutz (ULD).

Wer kann ein Datenschutzaudit beantragen?

Alle öffentlichen Stellen in Schleswig-Holstein können entweder für ihre gesamte Datenverarbeitung, für abtrennbare Teile hiervon oder für einzelne Datenverarbeitungsverfahren ein Datenschutzaudit beantragen.

Wer führt das Datenschutzaudit durch?

Das Datenschutzaudit wird durch das Unabhängige Landeszentrum für Datenschutz durchgeführt.

Welche Voraussetzungen müssen für ein Datenschutzaudit erfüllt sein?

Grundlage des Audits ist eine schriftliche Vereinbarung der jeweiligen Behörde mit dem Unabhängigen Landeszentrum für Datenschutz. Danach erfolgen Bestandsaufnahme, Festlegung der Datenschutzziele, Einrichtung eines Datenschutzmanagementsystems, Begutachtung durch das ULD und schließlich die Verleihung des Datenschutzauditzeichens.

Ist ein Datenschutzaudit befristet?

Ein Datenschutzaudit wird für höchstens drei Jahre verliehen. Verlängerungen sind in einem vereinfachten Verfahren möglich.

Wie unterscheidet sich das Datenschutzaudit von der Vorabkontrolle?

Die Vorabkontrolle wird bei einzelnen Datenverarbeitungsverfahren, die u. a. besonders sensible Daten betreffen, entweder vom behördlichen Datenschutzbeauftragten, oder, falls ein solcher nicht bestellt ist, vom ULD durchgeführt. Ihr Schwergewicht liegt bei der Prüfung der materiell-rechtlichen Zulässigkeit und der Datensicherheitsmaßnahmen. Das Audit ist auch für Behörden oder Behördenteile möglich. Es ist primär darauf gerichtet, den Datenschutz zu verbessern und durch eine geeignete Organisation nachhaltig zu gewährleisten. Das Datenschutzauditzeichen kann "im Geschäftsverkehr" offensiv für Werbezwecke verwendet werden.

Wie unterscheidet sich das Datenschutzaudit von der Beratung durch das Unabhängige Landeszentrum für Datenschutz?

Die Beratung durch das ULD bezieht sich auf die jeweils konkret vorgelegte Frage bzw. auf den unterbreiteten Sachverhalt. Ob die gegebenen Empfehlungen umgesetzt werden, bleibt offen; Veränderungen maßgeblicher Umstände werden nach Abschluss der Beratung nicht berücksichtigt, während das Audit auf eine dauerhafte Verbesserung der Datenschutzorganisation gerichtet ist.

Wie unterscheidet sich das Datenschutzaudit vom Gütesiegel?

Das Gütesiegel kann für von der privaten Wirtschaft angebotene IT-Produkte verliehen weden. Das Datenschutzaudit betrifft öffentliche Stellen und insbesondere ihre Datenschutzorganisation.

Können auch private Firmen auditiert werden?

Im Prinzip nicht, denn Audits in der Privatwirtschaft fallen in die Regelungskompetenz des Bundesgesetzgebers. Soweit private Firmen an konkreten Datenverarbeitungsverfahren öffentlicher Stellen beteiligt sind, können sie aber in ein Auditverfahren einbezogen werden.

Wie hoch sind die Kosten für ein Datenschutzaudit beim ULD

Die Kosten für das Datenschutzaudit bemessen sich nach dem voraussichtlichen Personalaufwand. Es wird ein Stundensatz von 80 € pro Mitarbeiterin bzw. Mitarbeiter zu Grunde gelegt. Der Personalaufwand wird vor Abschluss der zwischen der jeweilige Behörde und dem Unabhängigen Landeszentrum für Datenschutz zu treffenden Vereinbarung festgelegt.

Bei der Bemessung des Personalaufwandes kommt es zum einen darauf an, wie umfangreich der Gegenstand des Datenschutzaudits ist. Handelt es sich um ein einzelnes Verfahren, in dem personenbezogene Daten verarbeitet werden, ist von einem geringeren Aufwand auszugehen. Bei der Auditierung eines Teilbereiches der Daten verarbeitenden Stelle, innerhalb dessen einzelne Verfahren eingesetzt werden, ist in der Regel von einem mittleren Aufwand auszugehen. Sofern die gesamte Verarbeitung personenbezogener Daten einer Daten verarbeitenden Stelle einem Audit-Verfahren unterzogen wird, ist von einem hohen Personalaufwand auszugehen. Zum anderen ist zu berücksichtigen, ob und und in welchem Umfang Hilfestellung vom ULD bei der Erstellung der erforderlichen Unterlagen zu leisten ist. Dieses wird bei Abschluss der Vereinbarung festgestellt. Liegen z.B. schriftliche Dokumentationsunterlagen vor, die auf Grund ihrer Qualität als Grundlage für die nächsten Verfahrensschritte dienen können, ist zu erwarten, dass die vom Unabhängigen Landeszentrum für Datenschutz zu leistende Mitwirkung einen geringeren Aufwand erfordert, als bei Nichtvorliegen entsprechender Unterlagen.

Wann ergibt ein Audit Sinn?

Ein Audit solte für die Daten verarbeitende Stelle Nutzen bringen und keinen unverhältnismäßig hohen Aufwand erfordern. Das ULD stellt interessierten Daten verarbeitenden Stellen eine Checkliste in Form von 10 Fragen zur Verfügung, anhand der frühzeitig geprüft werden kann, ob diese Voraussetzungen für ein erfolgreiches Datenschutz-Behördenaudit gegeben sind.

Wo kann ich mich über das Datenschutzaudit informieren?

Informationen zum Datenschutzaudit und das Register der auditierten Behörden stellt das Unabhängige Landeszentrum für Datenschutz auf seiner Homepage unter www.datenschutzzentrum.de/audit/ zur Verfügung.

Unabhängiges Landeszentrum für
Datenschutz Schleswig-Holstein
Holstenstr. 98
24103 Kiel
Fax: 0431/988-1223
E-Mail: audit@datenschutzzentrum.de