Hinweise des ULD zur Durchführung eines Datenschutz-Behördenaudits nach § 43 Abs. 2 LDSG

Datum: 3.12.2008 
Quelle: Amtsbl SH 2008, 1164, ber. 2009 S. 184

Inhaltsübersicht

Vorwort
1. Begriff des Datenschutz-Behördenaudits
2. Gegenstand des Datenschutz-Behördenaudits
3. Schriftliche Vereinbarung
4. Ablauf des Voraudits
5. Ablauf des Datenschutz-Behördenaudits
6. Abgrenzung des Auditgegenstandes
7. Festlegung der Datenschutzziele
8. Datenschutzmanagementsystem
9. Datenschutzkonzept
10. Begutachtung durch das ULD
11. Zertifizierung, Datenschutzauditzeichen
12. Rezertifizierung
Anlage

 

Vorwort

Das Landesdatenschutzgesetz eröffnet in § 43 Abs. 2 öffentlichen Stellen die Möglichkeit, ihr Datenschutzkonzept im Rahmen eines Datenschutz-Behördenaudits durch das Unabhängige Landeszentrum für Datenschutz (ULD) überprüfen und beurteilen zu lassen.
Die Kernbestandteile des Datenschutz-Behördenaudits sind einerseits die Begutachtung der Wirkungsweise des internen Managementsystems für Datenschutz und Datensicherheit - das so genannte Datenschutzmanagementsystem - sowie die Wirkungsweise der für den Auditgegenstand festgelegten organisatorischen und technischen Sicherheitsmaßnahmen in einem Datenschutzkonzept. Das Datenschutzmanagementsystem stellt den Ausschnitt aus der Gesamtorganisation der Daten verarbeitenden Stelle dar, der zur Umsetzung der Ziele des Datenschutzes dient. Durch seine Implementierung schafft die öffentliche Stelle die technischen und organisatorischen Voraussetzungen für die dauerhafte Gewährleistung eines hohen Sicherheitsniveaus für den zu auditierenden Teil der öffentlichen Stelle. 
In Vorbereitung auf das Datenschutz-Behördenaudit kann die Daten verarbeitende Stelle ein so genanntes Voraudit vom ULD durchführen lassen. Im Voraudit wird überprüft, ob die Voraussetzungen für das Datenschutz-Behördenaudit von der Daten verarbeitenden Stelle geschaffen wurden. Im Voraudit festgestellte Mängel können gemeinsam mit dem ULD behoben werden. Voraudit und Auditierung werden im ULD organisatorisch und personell getrennt behandelt, um die Unabhängigkeit des ULD-Auditors während der Auditierung zu gewährleisten. 
Rechtliche Grundlagen des Verfahrens sind das Landesdatenschutzgesetz, die Datenschutzverordnung und ggf. bereichsspezifische sowie interne Vorschriften.

1. Begriff des Datenschutz-Behördenaudits

Die Durchführung eines Datenschutz-Behördenaudits ergibt sich aus § 43 Abs. 2 LDSG. Danach kann eine Daten verarbeitende Stelle (§ 2 Abs. 3 LDSG) des Landes Schleswig-Holstein ihr Datenschutzkonzept durch das ULD prüfen und beurteilen lassen.

2. Gegenstand des Datenschutz-Behördenaudits

2.1 Gegenstand des Datenschutz-Behördenaudits können sein:

  1. einzelne automatisierte oder nicht automatisierte Verfahren, in denen personenbezogene Daten verarbeitet werden,
  2. ein abgrenzbarer Teilbereich der Daten verarbeitenden Stelle, innerhalb dessen mehrere Verfahren nach Nr. 1 eingesetzt werden,
  3. die gesamte Verarbeitung personenbezogener Daten einer Daten verarbeitenden Stelle.

2.2 Gegenstand des Datenschutz-Behördenaudits können auch Verfahren sein, die sich erst in der Planung oder Entwicklung befinden (Konzept-Audit).

3. Schriftliche Vereinbarung

3.1 Zur Durchführung eines Datenschutz-Behördenaudits bedarf es einer schriftlichen Vereinbarung mit dem ULD. 
3.2 In der Vereinbarung wird vor Beginn des Datenschutz-Behördenaudits festgelegt:

  1. Der Gegenstand und die Abgrenzung des Behördenaudits,
  2. die einzelnen Schritte für ein in Anspruch genommenes Voraudit,
  3. der Ablauf des Datenschutz-Behördenaudits,
  4. der zeitliche Rahmen zur Durchführung des Voraudits und des Behördenaudits, sowie
  5. die Bestimmung von Personen und Funktionen.

3.3 In die Vereinbarung werden der beim ULD voraussichtlich entstehende Personalaufwand sowie die vom ULD berechneten Kosten aufgenommen.

4. Ablauf des Voraudits

4.1 Die Durchführung für ein beim ULD beauftragtes Voraudit erfolgt in den nachfolgend genannten Schritten:

  1. Abgrenzung des Auditgegenstandes,
  2. Festlegung der Datenschutzziele,
  3. Sammlung der zum Auditgegenstand gehörenden Dokumentation,
  4. Bestandsaufnahme der technischen und organisatorischen Abläufe,
  5. Erstellung eines Ergebnisberichts mit Projektplan,
  6. Mängelbeseitigung,
  7. Einrichtung eines Datenschutzmanagementsystems,
  8. Erstellung des Datenschutzkonzepts,
  9. Aufbereitung der für das Datenschutz-Behördenaudit erforderlichen Dokumentation sowie
  10. abschließende Überprüfung der Erfüllung aller im Voraudit festgelegten und durchzuführenden Aufgaben.

4.2 Die einzelnen Schritte können von der Daten verarbeitenden Stelle auch selbständig ohne Mitwirkung des ULD durchgeführt werden.
4.3 Bei einem Voraudit kann von der Daten verarbeitenden Stelle ein Koordinierungsausschuss eingerichtet werden. Dieser hat die Aufgabe, ausreichende Ressourcen für die o.a. Schritte zur Verfügung zu stellen. Ferner ist er an erforderlichen Entscheidungsprozessen zur Mängelbeseitigung beteiligt.
4.4 Wenn ein behördlicher Datenschutzbeauftragter in der Daten verarbeitenden Stelle bestellt ist, ist dieser bei der Durchführung des Voraudits in den vorgenannten Schritten zu beteiligen.

5. Ablauf des Datenschutz-Behördenaudits

5.1 Die Durchführung des Datenschutz-Behördenaudits erfolgt in folgenden Schritten:

  1. Überprüfung der Abgrenzung des Auditgegenstandes,
  2. Analyse der Dokumentation (Datenschutzkonzept),
  3. Begutachtung der Wirkungsweise des Datenschutzmanagementsystems und der Erreichung der festgelegten Datenschutzziele,
  4. Hervorhebung von anerkennenswerten und datenschutzfreundlichen Datenverarbeitungsprozessen,
  5. stichprobenartige Überprüfung der Umsetzung der im Datenschutzkonzept festgelegten Sicherheitsmaßnahmen,
  6. Überprüfung der Einhaltung datenschutzrechtlicher und bereichsspezifischer Vorschriften in Bezug auf den Auditgegenstand,
  7. Erstellung eines Gutachtens,
  8. Verleihung des Datenschutzauditzeichens.

Die vorgelegte Dokumentation für den Auditgegenstand bildet die Grundlage für die Begutachtung vor Ort in der Daten verarbeitenden Stelle durch das ULD. 
5.2 Die Daten verarbeitende Stelle und das ULD können die Durchführung des Auditverfahrens vorzeitig aus wichtigem Grund beenden. Die Einstellung des Datenschutz-Behördenaudits muss schriftlich erfolgen.
  

6. Abgrenzung des Auditgegenstandes

6.1 Im Rahmen einer Bestandsaufnahme wird der Auditgegenstand von der Daten verarbeitenden Stelle abgegrenzt. Dabei sind folgende Aspekte zu beachten:

  1. Aufbau- und ablauforganisatorische Gegebenheiten der Fachabteilungen,
  2. eingesetzte IT-Komponenten und Fachverfahren,
  3. die Datenverarbeitungs- und Kommunikationswege (Netzplan),
  4. die Einhaltung der materiellen Zulässigkeitsvoraussetzungen der Datenverarbeitung,
  5. die festgelegten technischen und organisatorischen Maßnahmen sowie
  6. die Gewährleistung der Einhaltung der datenschutzrechtlichen und sicherheitstechnischen Vorgaben durch das Datenschutzmanagementsystem.

6.2 Bei Verfahren, die sich erst in der Planung oder Entwicklung befinden, können diese im Rahmen eines so genannten Konzeptaudits bestimmt werden. Das Kon­zept­audit beinhaltet ausschließlich Dokumentationsunterlagen, die den Verfahrensgegenstand in den oben genannten Phasen beschreiben.

7. Festlegung der Datenschutzziele

Die Daten verarbeitende Stelle legt im Datenschutzkonzept die Datenschutzziele für den Auditgegenstand fest. Dabei bestimmt sie, in welchen Teilen des Verfahrens Verbesserungen des Datenschutzes und der Datensicherheit erfolgen sollen. Für diese Teile werden konkrete Maßnahmen benannt und ein Zeitrahmen für deren Umsetzung festgelegt.

8. Datenschutzmanagementsystem

8.1 Die Daten verarbeitende Stelle richtet ein Datenschutzmanagementsystem ein. Dieses dient als Mittel zur Umsetzung des Datenschutzkonzepts.
8.2 Das Datenschutzmanagementsystem stellt die interne Organisation der Daten verarbeitenden Stelle im Hinblick auf die Einhaltung der datenschutzrechtlichen und sicherheitstechnischen Vorgaben dar. Es ist die Gesamtheit aus Zuständigkeiten, vorgeschriebenen Verhaltensweisen und Abläufen sowie sächlichen Mitteln, die zur Erreichung der im Datenschutzkonzept festgelegten Regelungen dienen. 
8.3 Das Datenschutzmanagementsystem sieht zur Dokumentation und Überwachung des Datenschutz- und Sicherheitsprozesses Verfahrensweisen vor. Es muss über alle Veränderungen am Auditgegenstand informiert werden. Ferner sind wesentliche Änderungen des Auditgegenstandes zu dokumentieren und dem ULD mitzuteilen.

9. Datenschutzkonzept

9.1 Die Daten verarbeitende Stelle erstellt ein Datenschutzkonzept, das über folgende Inhalte verfügt:

  1. Datenschutzziele,
  2. informationstechnische Komponenten,
  3. Schutzniveau und Schutzbedarfe,
  4. Analyse der Gefährdungslage und Schadenspotenziale im Hinblick auf Datenschutz und Datensicherheit,
  5. Datenschutz- und Sicherheitsmaßnahmen sowie
  6. Restrisikoanalyse für Sicherheitsrisiken, die durch die Ergreifung von Datenschutz- und Sicherheitsmaßnahmen nicht gänzlich ausgeschlossen werden können.

9.2 Auf der Grundlage des Datenschutzkonzepts können weitere Dokumentationsunterlagen, wie z.B. Virenschutzkonzepte, Verfahrensakten, Systemprotokolle, Notfallhandbücher, Richtlinien oder Dienstanweisungen, verlangt werden, die den Sicherheitsprozess beschreiben. 
9.3 Die Daten verarbeitende Stelle ist in der Gestaltung des Datenschutzkonzepts frei. Es kann aus einem oder mehreren gemeinsam zusammenhängenden Dokumenten bestehen. Es ist jedoch darauf zu achten, dass die im Datenschutzkonzept festgelegten Regelungen für die Daten verarbeitende Stelle verbindlich und nachvollziehbar sind.

10. Begutachtung durch das ULD

10.1 Das Datenschutzkonzept wird dem Auditor des ULD zur Begutachtung vorgelegt. Der Auditor nimmt die Begutachtung im Hinblick darauf vor, ob die einzelnen Schritte in der dokumentierten Form nachvollziehbar und schlüssig sind. Dabei wählt der Auditor nach eigenem Ermessen aus dem Datenschutzkonzept Inhalte aus, die er vor Ort in der Daten verarbeitenden Stelle auf ihre Umsetzung und Wirksamkeit überprüft.
10.2 Ergibt die Begutachtung des Datenschutzkonzepts, dass dieses unvollständig oder in Teilen nicht nachvollziehbar oder unschlüssig ist, fordert das ULD die Daten verarbeitende Stelle zur Ergänzung und Nachbesserung auf. Werden Mängel in der nicht korrekten oder unvollständigen Umsetzung des Datenschutzkonzepts vor Ort festgestellt, erhält die Daten verarbeitende Stelle Gelegenheit, die Mängel in einer vorgegebenen Zeit abzustellen. Der Auditor des ULD erörtert die notwendigen Ergänzungen und Änderungen mit der Daten verarbeitenden Stelle. 
10.3 Der Auditor des ULD fasst das Ergebnis seiner Begutachtung in einem Gutachten zusammen. Dieses enthält eine Zusammenfassung des Datenschutzkonzepts und der Überprüfung vor Ort sowie die Bewertung der im Gutachten dargestellten Sachverhalte.

11. Zertifizierung, Datenschutzauditzeichen

11.1 Ist das Datenschutzkonzept nachvollziehbar und schlüssig, so verleiht das ULD der Daten verarbeitenden Stelle für das Verfahren ein Datenschutzauditzeichen. Das Datenschutzauditzeichen hat die Form wie in der Anlage.
11.2 Das Datenschutzauditzeichen wird der auditierten Stelle für den Zeitraum von drei Jahren verliehen. Die Verleihung wird widerrufen, falls die Daten verarbeitende Stelle innerhalb dieses Zeitraums erhebliche Änderungen des Verfahrens meldet, die zur Folge haben, dass das Datenschutzkonzept nicht mehr zutrifft oder das Datenschutzmanagementsystem seine Wirkungsweise verliert. Entsprechendes gilt, wenn dem ULD auf andere Weise Tatsachen bekannt werden, aus denen sich wesentliche Abweichungen von dem auditierten Gegenstand ergeben. 
11.3 Hat die Daten verarbeitende Stelle zum Zeitpunkt der Auditverleihung noch nicht alle während des Auditverfahrens festgestellten Mängel beseitigt, kann das ULD der Daten verarbeitenden Stelle das Datenschutzauditzeichen unter Auflagen verleihen. Eine Auditverleihung ist jedoch nur möglich, wenn es sich um geringfügige Mängel gemäß § 42 Abs. 1 LDSG handelt. Die Beseitigung der Auflagen sind dem ULD in einem vorgegebenen Zeitrahmen schriftlich mitzuteilen. Das ULD behält sich eine Nachprüfung vor. 
11.4 Das ULD führt ein öffentliches Register aller Stellen, denen ein Datenschutz­auditzeichen verliehen wurde. In das Register wird zu jedem Verfahren das Gutachten aufgenommen. Das Register kann von jeder Person beim ULD eingesehen werden. 
11.5 Der Daten verarbeitenden Stelle steht es frei, ihrerseits im Zusammenhang mit dem Datenschutzauditzeichen auf das Gutachten und/oder auf ihr Datenschutzkonzept zu verweisen oder diese selbst zu veröffentlichen. Bei der Verwendung des Datenschutzauditzeichens und der Veröffentlichung des Gutachtens muss erkennbar sein, auf welches Verfahren sich diese beziehen.

12. Rezertifizierung

12.1 Soweit die Daten verarbeitende Stelle nach Ablauf des Verleihungszeitraumes eine erneute Verleihung des Datenschutzauditzeichens anstrebt, kann das Verfahren zur Erlangung des Zeichens verkürzt werden, sofern sich keine oder nur geringfügige Veränderungen am zertifizierten Auditgegenstand ergeben haben. 
12.2 Eine Rezertifizierung ist unmittelbar vor Ablauf des Verleihungszeitraums einzuleiten. Ist das Audit länger als 3 Monate ausgelaufen, ist ein erneutes Datenschutz-Behördenaudit nur noch unter der Durchführung der in Textziffer 5 genannten Schritte möglich.

 

Anlage

Datenschutzauditzeichen

Datenschutzauditzeichen des ULD SH

Bei der Darstellung des Datenschutzauditzeichens soll eine Größe von 24 mm im Durchmesser nicht unterschritten werden. Es ist zusammen mit dem folgenden Text zu verwenden: "Vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein auditiert gemäß § 43 Abs. 2 LDSG.
Prüfnummer [lfd. Nr.], befristet bis [Datum],
weitere Informationen unterwww.datenschutzzentrum.de/audit"