Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

10

Gütesiegel und Audit

Durch die Auszeichnung von IT-Produkten mit einem Gütesiegel will das ULD öffentlichen Stellen und privaten Verbrauchern ermöglichen, den Datenschutz beim Erwerb von IT-Produkten, bei der Teilnahme am E­Commerce und der Bewertung von Standorten als Entscheidungskriterium einzusetzen. Die Vorbereitungen für die praktische Durchführung von Gütesiegelverfahren sind abgeschlossen.

10.1

Der Ablauf der Gütesiegelverfahren

IT-Produkte (Hardware, Software und automatisierte Verfahren) können vom ULD ein Gütesiegel erhalten, wenn sie zur Nutzung durch öffentliche Stellen geeignet und mit den Rechtsvorschriften über den Datenschutz und die Datensicherheit vereinbar sind. Die einzelnen Schritte dieser Produktzertifizierung werden von der Landesverordnung über ein Datenschutzaudit (Datenschutzauditverordnung) geregelt, die Ende April 2001 in Kraft getreten ist. Die Datenschutzauditverordnung sieht vor, dass das Gütesiegel vom ULD auf der Basis eines Gutachtens vergeben wird, das von einem beim ULD akkreditierten Gutachter erstellt wurde.

Im Einzelnen läuft die Erteilung eines Gütesiegels wie folgt ab:

Ein Anbieter, der für sein IT-Produkt ein Gütesiegel erwerben möchte, klärt zunächst die Frage, ob sein Produkt in öffentlichen Stellen eingesetzt werden könnte. Nicht erforderlich ist, dass das Produkt bereits dort eingesetzt wird. Eine Nutzung darf jedoch nicht von vornherein ausgeschlossen sein.

Dem Antrag auf Erteilung eines Siegels muss der Anbieter ein Gutachten über sein Produkt beifügen. Für die Erstellung dieser Gutachten akkreditiert das ULD in einem gesonderten Verfahren Gutachter und sachverständige Prüfstellen, die fachlich geeignet, zuverlässig und unabhängig sein müssen. Der interessierte Anbieter sucht sich einen akkreditierten Gutachter oder eine sachverständige Prüfstelle aus und schließt zu privat ausgehandelten Konditionen einen Begutachtungsvertrag ab. Der Gutachter prüft, ob das IT-Produkt den Rechtsvorschriften über den Datenschutz und die Datensicherheit entspricht. Insbesondere prüft der Gutachter die besonderen Eigenschaften des IT-Produkts hinsichtlich

• Datenvermeidung und Datensparsamkeit,

• Datensicherheit und Revisionsfähigkeit und

• Gewährleistung der Rechte der Betroffenen.

Je nach Einsatzbereich unterliegt das Produkt unterschiedlichen rechtlichen Anforderungen an Datenschutz und Datensicherheit. Es muss zunächst geklärt werden, welche rechtlichen Anforderungen bei der Schaffung des Produkts zugrunde gelegt wurden und in welcher Weise der Anbieter diese Anforderungen technisch umgesetzt hat. Wir haben zu den technischen Kriterien einen Kriterienkatalog entwickelt, der nicht nur den Gutachtern als Maßstab und Orientierung dienen soll, sondern auch den Herstellern und Vertriebsfirmen bereits in der Produktentwicklung helfen kann.

Nach erfolgreicher Begutachtung kann der Anbieter den Antrag auf Erteilung des Gütesiegels stellen. Er übersendet mit dem Antrag auch das Gutachten, dessen Zusammenfassung im Fall der Siegelvergabe veröffentlicht wird. Wir prüfen das Gutachten auf Schlüssigkeit und Nachvollziehbarkeit und können bei Bedarf auch das Produkt selbst anfordern. Nach erfolgreicher Prüfung vergeben wir das Gütesiegel und zwar in der Regel für die Dauer von zwei Jahren. Die schnelle Entwicklung im IT-Sektor fordert neben einer zeitlichen Beschränkung der durch die Siegelvergabe ausgesprochenen Empfehlung auch die Möglichkeit, das Siegel bei unverzichtbaren Weiterentwicklungen im rechtlichen oder technischen Anforderungskatalog in der Zwischenzeit wieder entziehen zu können.

Der den Gutachten zugrunde gelegte Anforderungskatalog wird jährlich fortgeschrieben. Zertifiziert wird ein Produkt daher auf der Grundlage des Kriterienkatalogs des entsprechenden Kalenderjahres. Entwickelt sich das Produkt nicht weiter, wohl aber der Kriterienkatalog, so ist denkbar, dass bei der Rezertifizierung das Siegel nicht erneut vergeben werden kann. Das Produkt erhält eine Nummer und wird mit Nummer und Zusammenfassung der Prüfung in einem Register veröffentlicht. Interessierte Kunden können sich so über geeignete Produkte informieren. Das Produkt darf auch mit dem Siegel beworben werden.

Wir haben inzwischen - ausgehend von den Regelungen der Verordnung - die nähere Ausgestaltung des Verfahrens der Anerkennung der Gutachter und sachverständigen Prüfstellen entwickelt und auf dieser Grundlage Anfang November 2001 mit der Akkreditierung begonnen.

Die Antragsunterlagen und weitere Informationen zum Verfahren können abgerufen werden unter:

oder auf dem Postweg angefordert werden.

10.2

Erste Gutachter akkreditiert

Das Verfahren zur Erlangung von Gütesiegeln nach dem schleswig-holsteinischen Datenschutzgesetz sieht vor, dass die dafür notwendigen Gutachten nur von akkreditierten Gutachtern erstellt werden dürfen. Das Verfahren der Akkreditierung ist angelaufen.

Gutachter können akkreditiert werden, wenn die Antragsteller nachweisen, dass sie dem Anforderungsprofil hinsichtlich Fachkunde, Unabhängigkeit und Zuverlässigkeit entsprechen. An die Fachkunde der Gutachter und sachverständigen Prüfstellen werden dabei angemessene Anforderungen gestellt, die maßgeblich aus der Notwendigkeit, bei der Erstellung der Gutachten stets auf rechtlichen und technischen Sachverstand zurückgreifen zu können, resultieren. Dieser Sachverstand muss nicht notwendig in einer Person vereint sein. Anerkennungen sind auch beschränkt auf eines dieser Gebiete möglich. Außerdem besteht die Möglichkeit, Gutachten als Gemeinschaftsgutachten von Gutachtern oder Prüfstellen, deren fachliche Anerkennungen sich ergänzen, zu erstellen. Den Antragstellern wird die Möglichkeit eröffnet, ihre Kompetenz nicht nur durch formale Bildungsabschlüsse, sondern auch auf sonstige Weise nachzuweisen. Damit wird der Tatsache Rechnung getragen, dass im Bereich der Informationstechnologie hervorragende Fachkompetenz nicht selten auch auf eher unkonventionelle Weise erworben wird.

Die Unabhängigkeit der Gutachter und sachverständigen Prüfstellen ist unabdingbare Voraussetzung für die Akkreditierung und wird nicht nur im Rahmen der Anerkennung, sondern auch hinsichtlich des jeweiligen zertifizierten Produkts geprüft. Die Anerkennung wird in der Regel auf Dauer ausgesprochen. Um die Zuverlässigkeit, Unabhängigkeit und Fachkunde dauerhaft zu gewährleisten, unterliegen die anerkannten Gutachter und Prüfstellen jedoch verschiedenen regelmäßigen Meldeverpflichtungen.

10.3

Produktkriterien

Die Erteilung von IT-Gütesiegeln richtet sich nach einem Kriterienkatalog, der jährlich fortgeschrieben wird.

IT-Produkte können ein Gütesiegel erhalten, wenn sie den Rechtsvorschriften über den Datenschutz und die Datensicherheit entsprechen (Tz. 10.1). Was dies genau für ein IT-Produkt bedeutet, kann sich je nach Einsatzbereich unterscheiden. Generell müssen fünf verschiedene Anforderungsbereiche beim Prüfen des Produktes berücksichtigt und im Prüfgutachten dokumentiert werden: Recht, Produktbeschreibung, Technik, Organisation und Nutzeradäquanz.

Zunächst wird für das IT-Produkt (Hardware/Software/automatisiertes Verfahren inkl. Produktbeschreibung) aus den einschlägigen Rechtsnormen ein Anforderungsprofil abgeleitet, das die Sollvorstellung beschreibt. Anschließend wird auf der Basis der Produktbeschreibung der Istzustand der tatsächlichen Umsetzung im IT-Produkt festgestellt und bewertet. Dabei spielt der Grad der technischen Implementierung von Datenschutz- und Datensicherheitsfunktionalität eine große Rolle: Je besser die Datenschutz- und Datensicherheitsziele durch gut durchdachte und umgesetzte Technik sichergestellt werden und je weniger zusätzliche organisatorische Maßnahmen durch den Anwender notwendig sind, desto besser wird das IT-Produkt bewertet. Insbesondere darf der Stand der Technik nicht unterschritten werden. Da in vielen Fällen Technik allein zur Gewährleistung des Datenschutzes nicht ausreicht, müssen die zusätzlich erforderlichen organisatorischen Maßnahmen verständlich beschrieben und einfach mit angemessenem Aufwand umsetzbar sein. Schließlich spielt auch eine nutzeradäquate Realisierung eine Rolle, um etwaige Fehlbedienungen mit Auswirkungen auf den Datenschutz und die Datensicherheit zu vermeiden.

Ein Kriterienkatalog auf unserer Homepage

hilft beim Erstellen des Anforderungsprofils und Bewerten des Produktes. Besonderer Wert wird bei unserem Datenschutzgütesiegel auf die folgenden Produkteigenschaften gelegt:

• Datenvermeidung und Datensparsamkeit

Personenbezogene Daten dürfen nur verarbeitet werden, soweit sie erforderlich sind. Dies bedeutet, dass für jedes geprüfte IT-Produkt zu untersuchen ist, inwieweit möglichst weitgehend auf personenbezogene Daten verzichtet wird. Das Maximum an Datenvermeidung ist dann erreicht, wenn bereits im IT-Produkt eine Erhebungsmöglichkeit für personenbezogene Daten verhindert wird. Lässt sich keine Verarbeitung ohne Personenbezug erreichen, muss aus dem Gutachten hervorgehen, warum keine datensparsamere Realisierung (Anonymität, Pseudonymität, frühestmögliches Löschen, Anonymisierung, Pseudonymisierung) gewählt werden konnte. Auch auf etwa anfallende temporäre Dateien muss bei der Prüfung geachtet werden.

• Datensicherheit und Revisionsfähigkeit

Um bewerten zu können, inwieweit Datensicherheit von dem IT-Produkt gewährleistet wird, ist klarzustellen, gegen welche Risiken die technischen und organisatorischen Maßnahmen, die beim Einsatz getroffen werden, schützen sollen und welche Risiken verbleiben. Für eine Revisionsfähigkeit ist die verständliche Dokumentation des IT-Produktes in allen Phasen (Erstellung, Installation, Betrieb, Wartung) entscheidend, da anderenfalls keine Nachvollziehbarkeit der Datenverarbeitungsprozesse möglich ist.

• Gewährleistung der Rechte der Betroffenen

Die Gewährleistung der Betroffenenrechte wie Auskunft, Löschung, Berichtigung, Sperrung oder Unterrichtung über die Datenverarbeitung sowie über seine Rechte wird heutzutage vielfach auf organisatorischer Ebene abgedeckt. Beim IT­Produkt ist entscheidend, inwieweit dort technisch die Wahrnehmung der Rechte direkt durch die Betroffenen ermöglicht oder sogar gefördert sowie die organisatorische Ebene beim Betreiber zur Gewährleistung der Betroffenenrechte unterstützt wird. Beispielsweise könnten IT-Produkte im Zusammenhang mit dem Internet dem Nutzer anbieten, seinen Anspruch auf Auskunft über seine personenbezogenen Daten unmittelbar über das Netz geltend zu machen - natürlich in einem sicheren Verfahren.

Schließlich besteht die Möglichkeit, unabhängig von allen anderen Produktkriterien zu beschreiben, mit welchen Funktionen oder Konzepten das IT-Produkt besonders datenschutzfördernd wirkt oder Innovationen im Datenschutz- oder Datensicherheitsbereich aufweist.

10.4

Gütesiegel als Vergabekriterium

Gütesiegel sollen der öffentlichen Verwaltung als Entscheidungshilfe bei der Auftragsvergabe dienen. Sobald die ersten Produkte ein Siegel erhalten haben, werden sie im Rahmen der Beschaffung von IT-Produkten zu beachten sein.

Öffentliche Stellen in Schleswig-Holstein sollen die mit dem Gütesiegel ausgezeichneten Produkte bevorzugt beschaffen. Hersteller und Vertriebsfirmen von IT-Produkten unterziehen sich dem Verfahren, da sie sich vom Gütesiegel Wettbewerbsvorteile versprechen. Durch die Auszeichnung von IT-Produkten mit einem Gütesiegel kann aber auch der interessierte private Verbraucher den Datenschutz beim Erwerb von IT-Produkten, bei der Teilnahme am E-Commerce und der Bewertung von sonstigen Angeboten als Entscheidungskriterium einzusetzen.

Die Vergabe von Gütesiegeln stellt sich danach als Instrument dar, mit dem der Datenschutz nicht ordnungsrechtlich eingreift, sondern marktwirtschaftliche Anreize dafür schafft, dass private Hersteller und Vertriebsfirmen sich bei Konzeption, Entwicklung und Herstellung ihrer Produkte über Inhalt und Bedeutung des Datenschutzes Gedanken machen. Eine gestiegene Verbrauchernachfrage nach solchen Produkten dürfte auf Dauer zu signifikanten Wettbewerbsvorteilen solcher Konkurrenten führen, die sich durch überzeugende Datenschutz- und Datensicherheitslösungen auszeichnen.

Die bevorzugte Beschaffung von IT-Produkten mit Gütesiegel durch öffentlichen Stellen ist im Landesdatenschutzgesetz als ”Sollvorschrift” ausgestaltet worden. Das bedeutet für die beschaffende Stelle, dass sie generell die Verpflichtung zur vorrangigen Berücksichtigung dieser Produkte hat, es sei denn, dass zwingende Gründe ein Abweichen rechtfertigen. Die öffentlichen Stellen sind auch an die Regelungen des Vergaberechts gebunden, wonach der Zuschlag auf das wirtschaftlichste Angebot zu erteilen ist. Das wirtschaftlichste Angebot ist aber dasjenige, bei dem das günstigste Verhältnis zwischen der gewünschten Leistung (inklusive der Datenschutzeigenschaft des Produkts) und dem angebotenen Preis erzielt wird.

Bei der Beschaffung von IT-Produkten führt die Sollverpflichtung zur bevorzugten Beschaffung von Produkten mit datenschutzrechtlichem Gütesiegel dazu, dass dies ein die Leistungsbeschreibung und auch den Preis beeinflussender Umstand und daher von der ausschreibenden Stelle in die Verdingungsunterlagen aufzunehmen ist. Das Gütesiegelverfahren ist zwar nicht kostenneutral und kann daher zu einer anderen Preiskalkulation führen als bei Bietern, deren Produkte kein Siegel führen. Denn die öffentlichen Stellen sind gehalten, vorrangig solche Produkte einzusetzen, die den Vorschriften über Datenschutz und Datensicherheit entsprechen, selbst dann, wenn sie angemessen teurer als nicht datenschutzkonforme Produkte sind. Da ähnliche Bestimmungen inzwischen auch in anderen Ländern bestehen und auch das Bundesdatenschutzgesetz eine entsprechende Vorschrift beinhaltet, werden sich bald datenschutzrechtliche Standards herausbilden, unter die eine öffentliche Stelle bei der Beschaffung von IT-Produkten nicht gehen kann. Die Anerkennung der Gutachter und sachverständigen Prüfstellen setzt keinen Wohn- oder Geschäftssitz im Land Schleswig-Holstein voraus, sondern hängt ausschließlich von Fachkunde, Unabhängigkeit und Zuverlässigkeit ab. Um ein Gütesiegel können sich nicht nur Hersteller und Vertriebsfirmen aus Schleswig-Holstein, sondern auch andere nationale und international tätige Anbieter bewerben.

10.5

Produktkriterien als Maßstab bei der Produktentwicklung

Die Kriterien für die Gütesiegelerteilung sollen nicht nur auf vorhandene IT­Produkte angewandt werden, sondern darüber hinaus die technische Entwicklung positiv beeinflussen.

Mittel- und langfristig erwarten wir die wichtigsten Auswirkungen des Gütesiegels bereits bei der Entwicklung neuer IT-Produkte. Denn Hersteller, die bereits im Herstellungsprozess ihres Produktes darauf achten, dass es die vorgegebenen Produktkriterien möglichst gut erfüllt, werden keine Probleme haben, das Gütesiegel zu erhalten. Darüber hinaus wird der Zeitbedarf für eine Prüfung durch Gutachter bei einer guten Vorbereitung und Dokumentation im Sinne der Produktkriterien deutlich geringer, sodass die Kosten für die Beurteilung sinken.

Auch besonders innovative Ansätze in den Bereichen Datenschutz und Datensicherheit können sich auszahlen: Zum einen werden sie im Gutachten gesondert herausgestellt (Tz. 10.3). Zum anderen können sie unter bestimmten Umständen als Ausgleich für einzelne Anforderungen herangezogen werden, die lediglich in unzureichender Weise erfüllt sind. Dies ist nur dann möglich, wenn die Gesamtsicht auf das IT-Produkt und seine Datenschutz- und Datensicherheitsfunktionalität positiv ausfällt.

Jede Datenschutzinnovation bedeutet gleichzeitig Impulse für die technische Weiterentwicklung. Bedingt durch einen fortschreitenden Stand der Technik, aber auch durch Fortschritte im Recht wird so das Erwartungsniveau an Produkte im Laufe der Zeit steigen. Dies bedeutet, dass ein Produkt, das später als ein anderes Produkt begutachtet wird, unter Umständen über zusätzliche Eigenschaften verfügen muss.

Dabei ist aber wichtig, dass Hersteller eine Planungssicherheit haben, was jeweils von ihnen konkret für die Erfüllung der Gütesiegelanforderungen erwartet wird. Ebenso sollen die Anwender und Nutzer wissen, welche Anforderungen bestehen. Wir planen derzeit eine jährliche Zeitschiene: ”Gütesiegel 2002”, erweiterte Forderungen ”Gütesiegel 2003”, wiederum erweitert ”Gütesiegel 2004” usw. Nicht nur die Informationstechnologie, sondern auch das Siegel ”lernt” dazu.

Langfristig soll das Datenschutzgütesiegel dazu führen, dass die IT-Produkte am Markt einen besseren Standard in Sachen Datenschutz und Datensicherheit aufweisen als bisher.

10.6

Pilotverfahren zum Datenschutzaudit

Nach Aufnahme der gesetzlichen Regelung über das Datenschutz-Behördenaudit bei öffentlichen Stellen in das novellierte LDSG haben wir im Sommer 2001 mit der Umsetzung des Datenschutzaudits in die Praxis begonnen. Im Rahmen einer Pilotierungsphase werden Auditverfahren bei vier öffentlichen Stellen in Schleswig-Holstein durchgeführt. Ein Pilotprojekt konnte bereits erfolgreich abgeschlossen werden.

Das Datenschutzaudit bildet ein ganz neues Instrument auf dem Gebiet des Datenschutzes. Es tritt neben die klassischen Tätigkeitsfelder der Kontrolle und Beratung, die vom ULD in seiner Funktion als Kontrollorgan bzw. beratende Stelle in Datenschutzfragen wahrgenommen werden. Mit dem Datenschutzaudit soll ein geeignetes Instrument geschaffen werden, um die Selbstverantwortung der Behörden für den Datenschutz zu fördern. In erster Linie soll damit die Datenschutzsituation innerhalb einer Behörde verbessert werden.

Das Datenschutzaudit wird in Schleswig-Holstein als Datenschutz-Behördenaudit auf der Grundlage des LDSG durchgeführt. Öffentlichen Stellen wird die Möglichkeit eingeräumt, ihr Datenschutzkonzept durch das ULD überprüfen und anschließend dessen Ordnungsmäßigkeit förmlich bescheinigen zu lassen. Charakteristisch für das Audit ist seine Freiwilligkeit. Gerade durch die freiwillige Teilnahme stärkt die öffentliche Stelle ihre Selbstverantwortung im Bereich von Datenschutz und Datensicherheit. Statt auf etwaige Kontrollen oder gar Beanstandungen zu warten, eröffnet das Audit die Möglichkeit, sich von vornherein positiv mit den Datenschutzfragen zu befassen.

Gegenstand eines Audits können ganz unterschiedliche Verfahren sein. Es kommen einzelne Datenverarbeitungsverfahren, einzelne Teile einer Behörde, d. h. ein einzelnes Amt oder eine Abteilung, oder die gesamte Verarbeitung personenbezogener Daten innerhalb einer öffentlichen Stelle in Betracht.

Grundlage eines jeden Datenschutzaudits ist eine zwischen der zu auditierenden öffentlichen Stelle und dem ULD geschlossene Vereinbarung, in der Gegenstand und Ziele des Datenschutzaudits festgelegt werden. Das eigentliche Auditverfahren vollzieht sich im Wesentlichen in den folgenden fünf Schritten:

• Bestandsaufnahme,

• Festlegung der Datenschutzziele,

• Einrichtung eines Datenschutzmanagementsystems,

• Begutachtung durch das ULD und

• Verleihung des Datenschutzauditzeichens.

Die Einzelheiten des Auditverfahrens sind in den im März 2001 von uns herausgegebenen Ausführungsbestimmungen geregelt. Diese bestimmen den Verfahrensablauf.

Der Text der Ausführungsbestimmungen findet sich im Internet unter:

Den Kernbestandteil des Audits bildet das Datenschutzmanagementsystem. Es stellt die interne Organisation der Daten verarbeitenden Stelle im Hinblick auf die Erreichung der Datenschutzziele und die Einhaltung der datenschutzrechtlichen Vorgaben dar. Es ist die Gesamtheit aus Zuständigkeiten, vorgeschriebenen Verhaltensweisen und Abläufen sowie sächlichen Mitteln, die zur Erreichung der Datenschutzziele dienen. Mit dem Datenschutzmanagementsystem soll ein kontinuierlich hohes Datenschutzniveau innerhalb der öffentlichen Stelle sichergestellt werden.

Nach erfolgreichem Abschluss des Auditverfahrens wird der öffentlichen Stelle ein Datenschutzauditzeichen verliehen. Der auditierten Stelle wird bescheinigt, dass sie für eine unter Datenschutzgesichtspunkten einwandfreie Datenverarbeitung gesorgt hat. Die öffentliche Stelle kann mit diesem Zeichen werben. In erster Linie wird es sich hier um Werbung um das Vertrauen der Bürgerinnen und Bürger handeln, aber auch im Wettbewerb der öffentlichen Stellen untereinander wird das Auditzeichen sicherlich eine ernst zu nehmende Bedeutung erlangen.

Nach In-Kraft-Treten der Ausführungsbestimmungen im Sommer 2001 haben wir im Rahmen von vier Pilotprojekten mit der praktischen Umsetzung begonnen. Beteiligt sind auf kommunaler Ebene der Kreis Ostholstein, die Stadt Norderstedt und die Gemeinde Büchen, auf Landesebene das Innenministerium des Landes Schleswig-Holstein. Die Pilotprojekte dienen dem Zweck, auf allen Seiten praktische Erfahrungen mit einem ganz neuen Instrument auf dem Gebiet des Datenschutzes zu sammeln.

Da die vier Pilotprojekte unterschiedliche Verfahren zum Inhalt haben, decken sie die Bandbreite möglicher Auditverfahren ab:

• Das Innenministerium des Landes Schleswig-Holstein lässt in seiner Polizeiabteilung ein Auditverfahren für ein geplantes System zur produktorientierten Arbeitszeiterfassung sowie eines dezentralen Schichtdienstmanagements im Bereich der Landespolizei durchführen.

• Die Stadt Norderstedt führt ein Auditverfahren für ihr neues automatisiertes Personalverwaltungs- und Informationssystem durch.

• Das Audit der Gemeinde Büchen bezieht sich auf die gesamte automatisierte Verarbeitung personenbezogener Daten in der Gemeindeverwaltung Büchen sowie auf das in Büchen laufende Projekt der Einführung des ”Virtuellen Rathauses”.

Das erste im Rahmen der Pilotierungsphase erfolgreich durchgeführte Datenschutzaudit betraf das Verfahren des Kreises Ostholstein zum Anschluss seines internen Computernetzes an das Internet. Der Kreis Ostholstein arbeitete bereits seit 1999 an einer Konzeption für den Internet-Anschluss der Kreisverwaltung. Von Anfang an bestand dabei die Absicht, auch unter datenschutzrechtlichen Aspekten ein korrektes und sicheres Verfahren zu gewährleisten. Die Erstellung eines Sicherheits- und Datenschutzkonzeptes stand im Mittelpunkt der Überlegungen. Ende des vergangenen Jahres legte der Kreis uns die nach den Ausführungsbestimmungen erforderliche Datenschutzerklärung vor. Die Erklärung wurde von uns einer Begutachtung unterzogen. Erstmals in Schleswig-Holstein und in ganz Deutschland wurde im Januar 2002 auf der Grundlage eines Landesdatenschutzgesetzes ein Datenschutzauditzeichen verliehen. Darin wird dem Kreis Ostholstein ein überzeugendes datenschutzrechtliches Konzept bestätigt.

Nach Abschluss der übrigen im Rahmen der Pilotprojekte noch kostenlos durchgeführten Auditverfahren im Frühjahr 2002 ist der Weg für alle öffentlichen Stellen eröffnet, sich einem gebührenpflichtigen Datenschutzaudit zu unterziehen. Weitere Informationen zum Audit im Internet: