Neue Instrumente im Datenschutz - Landesbeauftragter für ...
Neue Instrumente im Datenschutz - Landesbeauftragter für ...
Neue Instrumente im Datenschutz - Landesbeauftragter für ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Beide Formen des Audits sollten getrennt werden. Es macht wenig<br />
Sinn, wenn die vielen tausend Anwender eines Datenverarbeitungssystems<br />
oder -programms dieses viel tausendfach auditieren lassen.<br />
Vielmehr sollte allein der jeweilige Anbieter für das System oder<br />
Programm ein einziges Produkt-Audit durchführen. Die datenverarbeitenden<br />
Stellen sollten sich dagegen <strong>im</strong> Rahmen ihres System-<br />
Audits verpflichten, - soweit vorhanden - auditierte Datenverarbeitungssysteme<br />
und -programme in ihrer Datenverarbeitung einzusetzen.<br />
Das System-Audit wiederum zielt auf eine Überprüfung und<br />
Bewertung des <strong>Datenschutz</strong>managementsystems einer datenverarbeitenden<br />
Stelle und ist ungeeignet, verläßliche Aussagen über eine<br />
technische Einrichtung zu generieren. Das Produkt-Audit für Datenverarbeitungssysteme<br />
und -programme kann daher nicht durch ein<br />
System-Audit ersetzt werden.<br />
Aus dieser Interpretation der Programmnorm des § 9a BDSG-E ergibt<br />
sich folgende Regelungsstrategie: Die Anbieter von Datenverarbeitungssystemen<br />
und -programmen sollten die gesetzliche Möglichkeit<br />
erhalten, ihre technischen Einrichtungen durch unabhängige und<br />
zugelassene Gutachter prüfen und bewerten zu lassen sowie das Ergebnis<br />
der Prüfung zu veröffentlichen. Zu diesem Zweck sollte das<br />
BSIG um den Aspekt des <strong>Datenschutz</strong>es erweitert werden. In § 4<br />
BSIG ist bereits die Möglichkeit für eine Zertifizierung der Datensicherheit<br />
eröffnet. Für den Aspekt des <strong>Datenschutz</strong>es müßten konkrete<br />
Prüfkriterien erarbeitet werden. Zu diesem Zweck könnte in einer<br />
Novelle des BSIG eine Ermächtigung zum Erlaß eines Kriterienkatalogs<br />
vorgesehen werden. Diese könnte sich an § 16 Abs. 6 SigV<br />
orientieren. 34 Danach wäre in der Ermächtigung festzuhalten, daß das<br />
Bundesamt für Sicherheit in der Informationstechnik einen Katalog<br />
geeigneter Kriterien erstellt und fortführt, anhand derer die Gewährleistung<br />
von <strong>Datenschutz</strong> und Datensicherheit technischer Einrichtungen<br />
bewertet werden kann. An der Erstellung und Fortführung des<br />
Katalogs sind Experten aus Wirtschaft und Wissenschaft zu beteiligen.<br />
Die jeweils gültige Fassung wird <strong>im</strong> Bundesanzeiger veröffentlicht.<br />
34<br />
S. zu dieser Vorschrift Roßnagel/Pordesch in: Roßnagel (Hrsg.), Recht der<br />
Mult<strong>im</strong>edia-Dienste, Kommentar zum Informations- und Kommunikationsdienste-Gesetz<br />
und zum Mediendienste-Staatsvertrag, München 1999, § 16<br />
SigV, Rn. 111.<br />
55