Am 15. Oktober 2004 ist die Bremische Datenschutzauditverordnung (BremDSAuditV / Download als PDF)
in Kraft getreten (Brem.GBl. S. 515). Bremen hat damit den Bund überholt, der seine Auditregelung noch nicht umgesetzt hat, und ist nach Schleswig-Holstein das zweite Bundesland mit einem Datenschutzaudit. Öffentliche Stellen können jetzt zur Verbesserung des Datenschutzes und der Datensicherheit ihre Verfahren oder technischen Einrichtungen durch unabhängige externe Gutachter prüfen und bewerten lassen. Für Unternehmen der Privatwirtschaft besteht diese Möglichkeit dagegen nicht.
Ziel des Datenschutzaudits ist die Verbesserung des Datenschutzes und der Datensicherheit. Durch das Audit soll die Selbstverantwortung der Datenverarbeiter gefördert werden. Nach erfolgreicher Durchführung eines Datenschutzauditverfahrens durch einen externen Gutachter wird dem geprüften Verfahren ein Gütesiegel verliehen, mit dem die datenverarbeitende Stelle hinsichtlich ihrer Vertrauenswürdigkeit werben kann. Ein geprüftes Verfahren erhält durch die Auditierung Akzeptanz nach außen. Das Datenschutzgütesiegel ermöglicht es Bremer Stellen, z. B. ihre Software-Produkte in anderen Ländern besser zu vermarkten, und verschafft ihnen so einen Wettbewerbsvorteil.
Die Prüfung und Bewertung wird durch einen externen Gutachter vorgenommen, der von der Landesbeauftragten für Datenschutz und Informationsfreiheit zugelassen werden muss. Die Zulassung erfolgt jedoch nur auf Vorschlag der öffentlichen Stelle. Fachkundige Personen, die sich für eine Tätigkeit als Auditor interessieren, sollten sich daher an geeignete öffentliche Stellen wenden. Bei der Zulassung durch die Landesdatenschutzbeauftragte ist zu beachten, dass diese nur bezogen auf das jeweils zu prüfende Verfahren erteilt wird. Eine generelle Anerkennung von Sachverständigen, wie sie beispielsweise in der schleswig-holsteinischen Datenschutzauditverordnung vorgesehen ist, erfolgt nicht.
Zugelassen wird nur, wer seine fachliche Eignung, persönliche Zuverlässigkeit und Unabhängigkeit für die Tätigkeit als Auditor nachweist. Die fachliche Eignung setzt rechtliche und technische Kenntnisse voraus, die für die Auditierung des jeweiligen Verfahrens relevant sind. Wer bereits zu einem vergleichbaren Audit im Bund oder einem anderen Land zugelassen wurde, muss seine fachliche Eignung bezogen auf das konkret zu prüfende Verfahren und seine Unabhängigkeit bezogen auf die jeweilige öffentliche Stelle nachweisen. Im Übrigen ist durch die Zulassung als Auditor im Bund oder einem anderen Land der Nachweis der fachlichen Eignung, persönlichen Zuverlässigkeit und Unabhängigkeit in der Regel erbracht.
Der Gutachter prüft den von der öffentlichen Stelle zu erstellenden Datenschutzplan, der auch die Ziele des Datenschutzes und der Datensicherheit umfasst, auf Vollständigkeit und Schlüssigkeit. Die Ziele des Datenschutzes und der Datensicherheit haben sich am "Stand der Technik" zu orientieren. Die Verordnung legt nämlich fest: "Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen (...)". Damit wird gewährleistet, dass auditierte Verfahren in technischer Hinsicht besser sind als der Durchschnitt.
Wegen der rasanten technischen Weiterentwicklung wird das Datenschutzaudit-Gütesiegel auf zwei Jahre befristet erteilt. Für Verlängerungen besteht aber die Möglichkeit eines vereinfachten Verfahrens.
Durchführungsbestimmung zur Bremischen Datenschutzaudit-Verordnung (BremDSAuditV)
Barrierefreiheit
