Vor wenigen Tagen hat das Bundesministerium des Innern (BMI) den Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes (BDSG) und zur Regelung des Datenschutzaudits an Länder und Verbände versandt. Am 30. Oktober 2008 findet hierzu eine Anhörung im BMI statt.

Das Unabhängige Landeszentrum für Datenschutz (ULD) hat sowohl zur Novellierung des BDSG wie auch zum Datenschutzaudit jeweils eine ausführliche Stellungnahme verfasst. Während der Vorschlag des BMI zum BDSG, mit dem datenschutzrechtliche Konsequenzen aus dem Kontodatenskandal gezogen werden sollen, noch verbessert werden kann, muss das ULD den Gesetzgeber bitten, beim Datenschutzaudit von ganz vorne zu beginnen. Der BMI-Entwurf regelt nämlich nicht eine unabhängige qualifizierte Datenschutz-Prüfung und Zertifizierung von IT-Produkten und -Verfahren, sondern ein Abwälzen staatlicher Kontrollpflichten beim Datenschutz auf private Dienstleister. Der Leiter des ULD, Thilo Weichert, fasst seine ausführliche Kritik zusammen:

„Mit dem Entwurf des Auditgesetzes wird niemandem ein Gefallen getan – am wenigsten dem Datenschutz: Anbietern von IT-Produkten und Verantwortlichen von Verfahren wird keine überprüfbare Zusicherung gegeben, dass ihre Angebote mit dem Datenschutz vereinbar sind. Die privaten Kontrollstellen werden mit dem Instrument des sog. Kontrahierungszwangs zur Übernahme von Datenschutzkontrollen gezwungen, zu denen sie nicht die nötigen Ressourcen verfügbar haben. Die Nutzer und die Betroffenen haben überhaupt nichts von den Audits, weder Transparenz noch die Gewähr, dass überhaupt eine auch nur ansatzweise seriöse Überprüfung stattgefunden hat. Den Datenschutzaufsichtsbehörden werden zusätzliche bürokratische Kontrollaufgaben ohne Mehrwert für den Datenschutz auferlegt: gegenüber den Kontrollstellen und bei der Rücknahme von Zertifizierungen. Ein großer Datenschutzauditausschuss, der teilweise mit fachfremden Interessenvertretern besetzt ist, soll sich ohne konkrete Anlässe auf abstrakte Richtlinien zur Fortentwicklung des Datenschutzes einigen. Gewinner des Gesetzes wäre vielleicht das BMI, das sich bei der Besetzung des Ausschusses, beim Festlegen der Verfahren und bei der Feststellung der Datenschutzanforderungen ein Entscheidungs- oder ein Vetorecht einräumen lässt. Der Entwurf hätte vor allem einen Effekt – die Diskreditierung des Instruments des Datenschutzaudits und des Gütesiegels.

Es ist unerfindlich, weshalb das BMI ein derartiges teures bürokratisches Verfahren installieren möchte, das keine Qualität verspricht. Ein Schelm, der Böses dabei denkt. Dabei liegt die Beantwortung der sich stellenden Rechtsfragen auf der Straße: Das Bundesamt für die Sicherheit in der Informationstechnik praktiziert für den Bereich der Datensicherheit ein als Vorbild geeignetes qualifiziertes Verfahren. Eine gesetzliche Normierung des bisher v.a. in Schleswig-Holstein durchgeführten erfolgreichen Auditverfahrens ist alles andere als eine schwierige Aufgabe. So jedenfalls geht´s nicht. Die Hoffnungen richten sich jetzt an das Parlament.“

Die ausführliche ULD-Stellungnahme zum Entwurf eines Datenschutzauditgesetzes finden sie unter

https://www.datenschutzzentrum.de/bdsauditg/20081029-stellungnahme-dsag-e.html

Die Stellungnahme des ULD zu den weiteren Vorschlägen des BMI ist abrufbar unter

https://www.datenschutzzentrum.de/bdsg-novellierung/20081029-Stellungnahme-bdsg-e.pdf PDF

Bei Nachfragen wenden Sie sich bitte an:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223