Datenschutzaudit

Konzept und Entwurf

eines Gesetzes für ein Datenschutzaudit

 

Rechtsgutachten

für das

Bundesministerium für Wirtschaft und Technologie

 

 

von

Prof. Dr. Alexander Roßnagel

Universität GH Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet)

 

 

 

 

 

 

Kassel, Mai 1999

 

 

 

Vorwort

Im Sommer 1998 wurde der Verfasser vom Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie beauftragt, ein Rechtsgutachten zur Frage einer gesetzlichen Regelung eines Datenschutzaudits zu erstellen. Die zuständigen Referate sind nach der Bundestagswahl ins Bundesministerium für Wirtschaft und Technologie gewechselt. Aufgabe des Rechtsgutachtens ist es, aus verschiedenen alternativen Vorstellungen die spezifische Zielsetzung eines Datenschutzaudits für Teledienste zu entwickeln, zu prüfen, welche Aspekte eines solchen Datenschutzaudits einer gesetzlichen Rahmenregelung bedürfen, für diese eine Gesetzgebungskonzeption für ein Datenschutzaudit zu entwerfen und daraus einen ersten Entwurf eines Gesetzes für ein Datenschutzaudit für Teledienste zu erstellen. Kurz vor Fertigstellung des Gutachtens wurde in den regierungsinternen Entwurf der Novelle zum Bundesdatenschutzgesetz eine Programmnorm für ein allgemeines Datenschutzaudit aufgenommen. Daraufhin wurde der Auftrag auf die Erarbeitung eines allgemeinen Datenschutzauditgesetzes für alle Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen erweitert. Diese Erweiterung begründet die Struktur des vorgeschlagenen Gesetzentwurfs. Der ursprüngliche Auftrag macht sich insoweit weiterhin bemerkbar, als Teledienste immer wieder beispielhaft als Anwendungsfeld für das Datenschutzaudit herangezogen werden.

Zur Bearbeitung dieses Rechtsgutachtens wurden die bisherigen Stellungnahmen zum Datenschutzaudit zusammengetragen und ausgewertet. Als Orientierungsfeld wurden die EG-Umweltaudit-Verordnung, ihr Revisionsentwurf sowie die ISO-Normen 9.000 und 14.000 untersucht. Zu deren Bewertung war die einschlägige Literatur über deren Zielsetzung, Konzeption, Umsetzung und Bewährung in der Praxis heranzuziehen. Schließlich wurde eine vorläufige Konzeption des Datenschutzaudits in mehreren Gesprächen und Vorträgen vorgestellt und erörtert, unter anderem mit dem Vorstand der Gesellschaft für Datenschutz und Datensicherheit, dem Fachgebiet Multimediaplattform des Verbands Privater Rundfunk- und Telekommunikationsanbieter (VPRT) und vor Datenschutzbeauftragten der Länder und aus vielen Betrieben. Außerdem erfolgte eine Mitarbeit in dem Arbeitskreis "Datenschutzaudit Multimedia", den der Datenschutzbeauftragte der Deutschen Telekom AG organisiert.

Im vorliegenden Gutachten wird die Notwendigkeit und Konzeption eines Gesetzentwurfs für ein Datenschutzaudit untersucht. Hierzu wird in einem ersten Schritt die Idee eines Datenschutzaudits skizziert, um dem Leser eine erste Vorstellung von dessen Zielsetzung zu geben, sowie die Geschichte der Idee eines Datenschutzaudits sowie die Diskussion um diese skizziert (1.). Danach werden Anforderungen an das Datenschutzaudit aus unterschiedlichen Blickwinkeln aufgelistet, um Bewertungskriterien für mögliche alternative Konzeptionen zu gewinnen (2.). Sodann werden vom Vorbild des Umweltschutz-Audits ausgehend die einzelnen Elemente der Konzeption eines Datenschutzaudits erörtert (3.). Im vierten Schritt wird geprüft, ob zur Umsetzung dieser Konzeption eine gesetzliche Regelung erforderlich ist, und diese Frage für zentrale Rahmenvorgaben an das Datenschutzaudit bejaht. Außerdem werden die verfassungsrechtlichen Vorgaben für ein solches Gesetz untersucht (4.). Schließlich wird im fünften Schritt die Konzeption eines Datenschutzauditgesetzes entwickelt, aus der dann ein Gesetzentwurf erarbeitet werden konnte (5.).

Der Gesetzentwurf mit Begründung folgt im Anhang zu diesem Gutachten.

Meinen Mitarbeitern Heiner Fuhrmann, Edouard Lange und Philip Scholz danke ich für fruchtbare Diskussionen und wertvolle Hinweise, Uwe Neuser darüber hinaus für Formulierungshilfen.

 

Kassel, im Mai 1999    Alexander Roßnagel

 

 

Inhalt

 

Vorwort

Inhalt

1        Die Idee eines Datenschutzaudits

1.1     Ziele eines Datenschutzaudits

1.1.1  Stärkung der Selbstverantwortung und Stimulierung von Wettbewerb

1.1.2  Verringerung des Vollzugsdefizits

1.1.3  Kontinuierliche Verbesserung des Datenschutzes und der Datensicherung

1.1.4  Datenschutzaudit als Lernsystem

1.2     Kurze Geschichte des Datenschutzaudits

1.3     Das Datenschutzaudit in der Diskussion

1.4     Entwicklungen in anderen Staaten

1.4.1  Vereinigte Staaten von Amerika

1.4.2  Japan

2        Anforderungen an ein Datenschutzaudit

2.1     Interessen der Anbieter von Telediensten

2.2     Interessen der Nutzer

2.3     Interessen der Allgemeinheit

3        Konzeption eines Datenschutzaudits

3.1     Vorbild Umweltschutz-Audit

3.1.1  Regelungskonzept des Umweltschutz-Audits

3.1.2  Erfahrungen mit dem Umweltschutz-Audit

3.1.3  Konsequenzen für ein Datenschutzaudit

3.2     Auditierungskonzept

3.2.1  Systemaudit

3.2.2  Freiwilliges Audit

3.2.3  Auszeichnung der "Datenschutzvorreiter"

3.3     Anwendungsbereich

3.3.1  Gegenstandsbereich: Anwendungen

3.3.2  Organisationsübergreifende Anwendungen

3.3.3  Gegenstandsbereich: Teledienste?

3.3.4  Teilnehmer

3.4     Kriterien

3.4.1  Objektive Kriterien

3.4.2  Subjektive Kriterien

3.4.3  Gewährleistung von Vergleichbarkeit und Zielerreichung

3.5     Verfahren

3.6     Kommunikations- und Werbemöglichkeiten

3.6.1  Datenschutzerklärung und ihre Verwendung

3.6.2  Datenschutzauditzeichen und Werbemöglichkeiten

3.7     Zusammenarbeit mit dem Betriebsbeauftragten für den Datenschutz

3.8     Datenschutzgutachter

3.8.1  Zulassung

3.8.2  Anforderungen

3.8.3  Aufsicht

3.8.4  Zuständigkeit

3.9     Registrierung

3.9.1  Zuständigkeit

3.9.2  Voraussetzungen der Registrierung

3.9.3  Aufhebung der Registrierung

4        Notwendigkeit einer rechtlichen Regelung?

4.1     Unternehmenseigene Datenschutzprüfung?

4.2     Datenschutzaudit im Rahmen des Qualitätsmanagements?

4.3     Datenschutzaudit auf rechtlicher Grundlage?

4.3.1  Wettbewerbsrechtliche Absicherung

4.3.2  Verbindliche Kriterien und vergleichbare Ergebnisse

4.3.3  Zulassung und Beaufsichtigung der Datenschutzgutachter

4.3.4  Registrierung der Teilnahme

4.3.5  Kompatibilität mit genormten Verfahren

4.4     Verfassungsrechtliche Anforderungen an eine rechtliche Regelung

4.4.1  Regelung durch Gesetz

4.4.2  Gesetzgebungskompetenz

4.4.3  Verwaltungskompetenz

5        Konzeption eines Gesetzes

5.1     Umsetzung der Programmnorm des § 9a BDSG-E

5.2     Vorbild für Europa

5.3     Beschränkung auf notwendige Rahmenregelungen

5.3.1  Verordnungsermächtigungen

5.3.2  Geltungsbereich

5.3.3  Gesetz und Anhänge

6        Literatur

 

 

Anhang:    Entwurf eines Gesetzes zur freiwilligen Beteiligung
                  verantwortlicher Stellen an einem Datenschutzaudit

 

 

 

 

 

1    Die Idee eines Datenschutzaudits

Das Datenschutzaudit ist ein neues Instrument des Datenschutzes: Durch die abgesicherte Möglichkeit, mit seinen Datenschutzanstrengungen werben zu können, soll der Datenverarbeiter veranlaßt werden, freiwillig ein Datenschutz-Managementsystem zu errichten, das zu einer kontinuierlichen Verbesserung des Datenschutzes beiträgt.

Das Datenschutzaudit ist eine Antwort auf das gestiegene Datenschutzbewußtsein bei der Verarbeitung personenbezogener Daten bei Anwendern und Nutzern.1 Datenschutz ist ein entscheidender Akzeptanzfaktor für alle Formen des elektronischen Handels und der elektronischen Verwaltung. Nach einer repräsentativen Umfrage, die das Freizeit-Forschungsinstitut in Hamburg bei 3000 Personen über 14 Jahren zum Thema Multimedia und Datenschutz durchgeführt hat, würden gern 46% aller Befragten und 57% der Berufstätigen behördliche Teledienste in Anspruch nehmen.2 Ein Drittel der Bevölkerung (33% der Befragten) würden gern online Informationen über Produkte und Dienstleistungen erhalten und eventuell auch kaufen und in Anspruch nehmen.3 Mehr Bürger sogar (37% der Befragten) würden auf diese Weise Reiseinformationen abrufen und Reisen organisieren.4 Allerdings sind 47% der Bevölkerung der Ansicht, es werde derzeit zu wenig für den Datenschutz getan. Diese Einschätzung nimmt mit steigender Schulbildung zu und wird unter den Personen mit Hochschulabschluß sogar von 60% vertreten.5 Für die Zukunft fordern sie – auch angesichts der neuen Möglichkeiten der Multimediatechnik – eine Verbesserung des Datenschutzes.6 Mit 55% von allen Befragten votiert die Mehrheit für einen Ausbau des Datenschutzes. Weitere 30% würden ihn zumindest auf dem Niveau von heute halten und lediglich jeder Zwölfte (8% der Befragten) meint, dem Datenschutz könnte gern weniger Bedeutung beigemessen werden.7

Auch in anderen Umfragen spiegelt sich die Sensibilität der Bevölkerung für den Schutz der Privatssphäre im Zusammenhang mit Multimedia-Anwendungen wieder. Einer im Auftrag der Europäischen Kommission erstellten repräsentativen Umfrage zufolge erklärten nur 15% der Befragten, sie würden die neuen Kommunikationstechnologien auch dann nutzen, wenn sie persönliche Datenspuren hinterlassen. Zwei Drittel der EU-Bürger sind über Datenspuren in Telekommunikationsnetzen besorgt. Sogar über 70% der Befragten fühlen sich durch die Möglichkeit der Weitergabe oder den Verkauf von Daten an Dritte negativ betroffen.8

Bezogen auf den Bereich des Internet-Shoppings ergibt sich das gleiche Bild. Nach einer 1998 vom Internetmagazin "FirstSurf" in Auftrag gegebenen Umfrage stellt die Sicherheit der persönlichen Daten für 54% der Nutzer ein bedeutendes Problem beim Einkauf im Internet dar.9 Die Möglichkeit der Erstellung von Kundenprofilen und Aufzeichnungen des Nutzerverhaltens wird aus der Sicht des Nutzer als "ein ernstzunehmendes Problem" eingestuft.10

Aus diesen Ergebnissen ist zu schließen: "Wer mit den ihm anvertrauten Informationen nicht sorgsam umgehen kann, wird in der Informationsgesellschaft des 21. Jahrhunderts einen schweren Stand haben".11 Eine aus Angst vor Mißbrauch von persönlichen Daten skeptische oder gar ablehnende Haltung gegenüber den neuen Informations- und Kommunikationstechniken hätte mit hoher Wahrscheinlichkeit jedoch wirtschafliche Konsequenzen. So werden sich bei fehlendem Vertrauen die für den Bereich des Electronic Commerce gestellten optimistischen Prognosen mit Umsatzerwartungen in Milliardenhöhe wohl nicht erfüllen.12 Ein wirksamer Datenschutz zählt zweifellos zu den wesentlichen Akzeptanzvoraussetzungen der Informationsgesellschaft und ist insofern auch ein bedeutender Wettbewerbsfaktor.13 Es wird vor allem eine Aufgabe der Anbieter von Telediensten sein, "alle wirksamen Schutzmaßnahmen für ihre Konsumenten zu treffen, um die Akzeptanz der neuen Medienwelt nicht durch eine wie auch immer geartete Datenunsicherheit im Keim zu ersticken".14 Und – so ist zu ergänzen - angesichts der großen Unkenntnis und Verunsicherung15 wird es auch darauf ankommen, die Anstrengungen im Datenschutz zu vermitteln. Für beides – für die Datenschutzanstrengungen und ihre Vermittlung - könnte das Datenschutzaudit ein hilfreiches Instrument sein.

1S. Bachmeier, DuD 1996, 673; Engel-Flechsig, DuD 1997, 15; Roßnagel, DuD 1997, 507
2S. Opaschowski/Duncker 1998, 35, 70.
3S. Opaschowski/Duncker 1998, 37, 70.
4S. Opaschowski/Duncker 1998, 70.
5S. Opaschowski/Duncker 1998. 19f. Lediglich 38% aller Beschäftigten sind der Meinung, es gebe ausreichend Datenschutz.
6Nach Königshofen, DuD 1999, 267, kommen auch viele weitere Meinungsumfragen zu dem Ergebis, daß ein Großteil der potentiellen Kunden in den westlichen
Industrienationen die neuen, über das Internet verbreiteten multimedialen Angebote und Dienstleistungen nicht in vollem Umfang in Anspruch nehmen, weil sie fürchten,
hierbei zuviel von ihrer Privatsphäre preisgeben zu müssen.

7S. Opaschowski/Duncker 1998, 30; Opaschowski, DuD 1998, 657.
8Eurobarometer 46.1: Information Technology and Data Privacy. Report produced for the European Commission, Directorate General "Internal Market and Financial Services",
Brüssel Januar 1997, 13. Möglichkeit zum download unter
http://www.ispo.cec.be/ecommerce/related.htm .
9Internetshopping Report 98/99: Die große Nutzerumfrage, http://www.firstsurf.de/shoppingumfrage.htm .
10Hillebrandt, DuD 1998, 220.
11Opaschowski/Duncker 1998, 24.
12Grimm/Löhndorf/Scholz, DuD 1999, 272.
13Rat für Forschung, Technologie und Innovation 1995, 32.
14Opaschowski, DuD 1998, 657.
15S. hierzu Opaschowski, DuD 1998, 656.

 

1.1  Ziele eines Datenschutzaudits

Entsprechend seinem Vorbild, dem Umweltschutz-Audit, sollte das Datenschutzaudit vier zentrale Ziele verfolgen. Diese werden vorab kurz vorgestellt, um über diese einen ersten Eindruck von Sinn und Zweck eines Datenschutzaudits zu vermitteln. Das konkrete Konzept eines Datenschutzaudits wird in Kapitel 3 ausführlich erörtert.

1.1.1  Stärkung der Selbstverantwortung und Stimulierung von Wettbewerb

Das Datenschutzaudit sollte in erster Linie ein geeignetes Instrument sein, die Selbstverantwortung des Datenverarbeiters für den Datenschutz zu fordern und zu fördern.16 Datenschutz ist ein immer wichtiger werdendes Qualitätsmerkmal für Anwendungen der Informations- und Kommunikationstechniken, das als Wettbewerbsvorteil verstanden wird.17 Das Datenschutzaudit sollte daher in nachprüfbarer Weise ermöglichen, mit Datenschutz und Datensicherheit zu werben. Um ein "hohes Datenschutzniveau" kontinuierlich sicherzustellen,18 ist ein Datenschutzmanagementsystem einzurichten. Dessen wiederkehrende überprüfung und Verbesserung wird durch rechtliche Verfahrensregeln abgesichert. Für den Datenverarbeiter ist entscheidend, daß das Datenschutzaudit sich den Besonderheiten seines Betriebes anpaßt und ihm Möglichkeiten eröffnet, mit dem positiven Ergebnis der überprüfung die Kommunikation mit der öffentlichkeit zu suchen und mit ihm zu werben. Das Datenschutzaudit soll die datenverarbeitende Stelle belohnen, "die bei der Konzeption ihres Angebots - eventuell auch bei der Entwicklung der Soft- und Hardware - datenschutzrechtliche Belange berücksichtigen",19 und für alle anderen marktgerechte Anreize schaffen, dies ebenso zu tun.

16Ebenso Kothe 1996, 2; Hoffmann-Riem 1996, 25, für das Umweltschutz-Audit; für das Datenschutzaudit s. auch Roßnagel, DuD 1997, 507; Büllesbach 1997, 36;
Vogt/Tauss 1998, 19; Garstka, DVB1 1998, 988; Königshofen, DuD 1999, 266.

17S. hierzu z.B. Büllesbach, RDV 1995, 4; Bachmeier, DuD 1996, 680; Berliner Datenschutzbeauftragter 1997, 134; Büllesbach, RDV 1997, 239; Büllesbach 1997, 36;.
18S. provet 1996, Begründung zu § 11 des vorgeschlagenen Multimedia-Datenschutz-Gesetzes; ebenso Begründung zu § 17 MD-StV; Engel-Flechsig, DuD 1997, 15.
19Begründung zu § 17 des MD-StV; ebenso Engel-Flechsig, DuD 1997, 15; Roßnagel, DuD 1997, 507.

 

1.1.2 Verringerung des Vollzugsdefizits

Nicht nur im Umweltschutzrecht, auch im Datenschutzrecht besteht ein erhebliches Vollzugsdefizit. Die öffentlichen Datenschutzbeauftragten und die Aufsichtsbehörden sind durch die weltweite Vernetzung und die ubiquitäre Verwendung von Informations- und Kommunikationstechniken überfordert. Hier könnte das Datenschutzaudit zu einer Entlastung beitragen. Mit dem von ihm geschaffenen Anreiz zur Selbstkontrolle verringert das Datenschutzaudit Defizite in der Einhaltung des geltenden Datenschutzrechts. Es etabliert neue Formen und Instanzen der Datenschutzkontrolle, indem es interne Kontrollverfahren vorsieht, externe private Gutachter einbezieht und der kritischen öffentlichkeit Kontrollinformationen bietet und Bewertungsmöglichkeiten eröffnet.20 Maßstab der Prüfung dieser Kontrollinstanzen sind die für die Datenverarbeitung geltenden Anforderungen des Datenschutzrechts. Da das Datenschutzaudit andere Voraussetzungen21 und Folgen22 aufweist als die behördliche Datenschutzkontrolle, vermag es diese sehr wohl zu ergänzen, nicht aber zu ersetzen.

20S. zum innerbetrieblichen Gesetzesvollzug durch das Umweltschutz-Audit z.B. Köck, JZ 1995, 647.
21Z.B. die freiwillige Teilnahme versus die Durchsetzung von Kontrollen nach §§ 24, 38 Abs. 1 - 4 BDSG.
22Z.B. Nichtbestätigung der Datenschutzerklärung versus Beanstandungen und Anordnungen nach §§ 25, 38 Abs. 5 BDSG.

 

1.1.3  Kontinuierliche Verbesserung des Datenschutzes und der Datensicherung

Beim Umweltschutz-Audit haben die teilnehmenden Unternehmen nicht nur die einschlägigen Vorschriften einzuhalten, sondern auch auf eine angemessene kontinuierliche Verbesserung des betrieblichen Umweltschutzes hinzuwirken, wie sie sich mit der wirtschaftlich vertretbaren Anwendung der besten verfügbaren Technik erreichen läßt.23 Ebenso sollte das materielle Hauptziel des Datenschutzaudits die kontinuierliche Verbesserung des Datenschutzes und der Datensicherung sein.24 Bisher bestehen für die Datenverarbeiter keine Anreize, eigene Anstrengungen zur Verbesserung des Datenschutzes und der Datensicherung zu ergreifen.25 Das Datenschutzaudit ermöglicht, solche Anstrengungen zu dokumentieren, zu prüfen und zu prämieren, und schafft dadurch einen Marktanreiz, sie zu ergreifen. Es sollte sich daher nicht darauf beschränken, nur die Einhaltung der Datenschutzregelungen zu überprüfen. Diese einzuhalten, ist ohnehin jeder verpflichtet. Zwar wird diese Einhaltung im Datenschutzaudit erstmals durchgängig intern kontrolliert und extern durch Stichproben überprüft, doch darf das Bestehen dieser Kontrolle allein noch nicht zu einer besonderen Auszeichnung der kontrollierten datenverarbeitenden Stelle führen. Diese ist gerechtfertigt durch überobligationsmäßige Anstrengungen, die das Unternehmen über den gesetzlichen Minimalstandard hinaus unternimmt.

23Art. 3 lit a) der EG-UAVO.
24So auch Berliner Datenschutzbeauftragter 1997, 134; Roßnagel, DuD 1997, 507; Königshofen, DuD 1999, 266 ff.
25Von Datensicherungsmaßnahmen zum Schutz eigener wirtschaftlicher Interessen abgesehen.

 

1.1.4 Datenschutzaudit als Lernsystem

Das Ziel einer kontinuierlichen Verbesserung kann das Datenschutzaudit nur erreichen, wenn es als ein Lernsystem verstanden wird. Wie beim Umweltschutz-Audit sollte auch im Datenschutz der Regelungsschwerpunkt auf der Normierung des "Lernprozesses" des Datenschutzmanagementsystems liegen.26 Dieser Lernprozeß wird dadurch strukturiert, daß der Datenverarbeiter in einer umfassenden Betriebsprüfung eine Bestandsaufnahme der Verarbeitung personenbezogener Daten erstellt und die hierfür relevanten Anforderungen des Datenschutzrechts zusammenträgt. Schon allein die dadurch angestoßene Vermehrung und Verbreitung des Wissens um die organisatorischen, technischen und gesetzlichen Rahmenbedingungen, in denen sich die Datenverarbeitung vollzieht, stellt einen positiv zu wertenden Erfolg dar.27 Die Erkenntnisse aus dieser Bestandsaufnahme fließen in Datenschutzprogramme ein, für die konkrete Ziele, Maßnahmen und Fristen festzulegen sind. Nach Ablauf der Frist wird die Umsetzung dieser Programme überprüft und führt zu deren Fortschreibung. In diese gehen positive und negative Erfahrungen mit der Umsetzung bisheriger Datenschutzmaßnahmen ein, die in reflektierter Form die nächsten Verbesserungsschritte bestimmen. Mit der Strukturierung eines solchen Lernprozesses würde in den Datenschutz ein neues förderliches Element eingefügt. Zwar kann auch der betriebliche Datenschutzbeauftragte als Teil eines betrieblichen Lernsystems verstanden werden. Doch beschränkt sich bei ihm die rechtliche Normierung auf die Institutionalisierung (Bestellungspflicht). Nach der gesetzlichen Zielsetzung bleibt es dem Innenverhältnis zwischen dem Unternehmen und dem Betriebsbeauftragten überlassen, sowohl das Verfahren als auch den Erfolg des innerbetrieblichen Lernprozesses selbst auszugestalten. Das Datenschutzaudit müßte darüber deutlich hinausgehen, indem es den Lernprozeß strukturiert und über die Belohnung eines bestimmten "Lernerfolgs" diesen indirekt mitnormiert.

26S. für das Umweltschutz-Audit z.B. Hemmelskamp/Neuser/Zehnle, ZEW-Wirtschaftsanalysen 1994, 207; Köck, JZ 1995, 646; Schmidt-Preuß 1997a, 1168.
27S. für das Umweltschutz-Audit ähnlich Führ 1996, 247.

 

1.2  Kurze Geschichte des Datenschutzaudits

Die Idee eines Datenschutzaudits geht zurück auf das Umweltschutz-Audit, das in Form einer Verordnung der Europäischen Gemeinschaft28 und in Form einer Techniknorm der International Standardization Organisation (ISO)29 geregelt ist. Beide Regelungen des Umweltschutz-Audits haben ihre Wurzel in Techniknormen für Qualitätsmanagement in Unternehmen. Für dieses wurde in der ISO-Norm 9.000 und ihrer Normenreihe 1987 eine weltweit gültige Norm geschaffen.30 Diese Normen für Qualitätsmanagement wurden 1992 durch die britische Norm BS 777531 für die Auditierung von Umweltschutzmanagementsystemen konkretisiert und fortentwickelt. Die britische Norm war die Grundlage für die rechtliche Regelung des Umweltschutz-Audits in der Verordnung der Europäischen Gemeinschaft von 1993.32 Eine weltweite, europäische oder nationale Norm zur Regelung eines Datenschutzaudits ist nicht bekannt.33

Die Einführung eines Datenschutzaudits im späteren MDStV geht zurück auf einen Vorschlag der "Projektgruppe verfassungsverträgliche Technikgestaltung (provet)", den diese unter Leitung des Verfassers im Rahmen eines Gutachtens "Vorschläge zur Regelung von Datenschutz und Rechtssicherheit in Online-Multimedia-Anwendungen" für das Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie unterbreitet hat.34 Aufgrund dieses Vorschlags35 war das Datenschutzaudit in den ersten Entwürfen36 (§ 13 Teledienstegesetz - TDG)37 des Informations- und Kommunikationsdienste-Gesetzes (IuKDG) enthalten. Auch der parallel zum IuKDG erarbeitete Mediendienste-Staatsvertrag (MDStV) sah wortgleich in § 17 die Möglichkeit eines Datenschutzaudits vor.

Während der MDStV diese Vorschrift beibehielt, war sie in der am 15.12.1996 von der Bundesregierung beschlossenen Fassung des IuKDG38 überraschender Weise39 nicht mehr zu finden. Eine offizielle Begründung hierfür fehlt.40 Im Bundestag vertrat der FDP-Abgeordnete Laermann die Ansicht, das Datenschutzaudit sei zu begrüßen. Es könne jedoch freiwillig durchgeführt werden. "Wir wollen nicht alles überregulieren".41 Vermutet wurde, daß die Bundesregierung sich mangels Vorlage eines Ausführungsgesetzes noch nicht entschließen konnte, eine entsprechende Vorschrift in ihren Entwurf aufzunehmen.42 Diese Zurückhaltung bedeutete jedoch nicht, daß die Bundesregierung das Instrument des Datenschutzaudits verworfen hätte. Vielmehr wurde es weiterhin in den zuständigen Ministerien diskutiert.43

In den parlamentarischen Beratungen zum IuKDG setzten sich sowohl der Bundesrat44 als auch die Bundestagsfraktion der SPD45 für die Aufnahme eines Datenschutzaudits in das TDDSG ein und versuchten, in diesem Punkt den Gleichklang zwischen TDDSG und MDStV46 wieder herzustellen. Auch viele Stellungnahmen zur öffentlichen Anhörung vor dem Bundestags-Ausschuß für Bildung, Wissenschaft, Forschung, Technologie und Technikfolgenabschätzung sprachen sich für eine Aufnahme des Datenschutzaudits in das TDDSG aus.47 So äußerste sich der VDMA/ZVEI grundsätzlich positiv: "Ein ‚Datenschutzaudit‘ könnte, vorausgesetzt es erfolge auf freiwilliger Basis, durchaus sinnvoll sein."48 Noch entschiedener äußerte sich die Gesellschaft für Datenschutz und Datensicherheit (GDD) und begrüßte "ausdrücklich die Implementierung eines Datenschutzaudits im IuKDG.49 Auch der Hamburger Datenschutzbeauftragte hielt die Aufnahme einer Bestimmung zum Datenschutzaudit im TDDSG für "sinnvoll".50

Der MDStV51 hat das Datenschutzaudit in seinem § 17 wie folgt geregelt:

"Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahrens sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt."

Ein Gesetz, wie es § 17 Abs. 2 MDStV ankündigt, ist bisher noch nirgendwo erlassen worden. Auch ist bisher weder die Arbeit an einem solchen Entwurf noch gar der Entwurf eines solches Gesetzes bekannt.

Weder in der Begründung zum MDStV noch in den Stellungnahmen,52 die während des Gesetzgebungsprozesses zum Datenschutzaudit abgegeben worden waren, wurden konkrete Vorstellungen darüber entwickelt, wie ein Datenschutzaudit aussehen könnte. Nirgendwo zu finden sind Konzepte zum Anwendungsbereich, zum Gegenstand, zum Verfahren und zu den Bewertungskriterien eines Datenschutzaudits.

Erstmals konkretisiert wurde das Konzept eines Datenschutzaudits vom Verfasser am 13.5.1997 auf dem 14. RDV-Forum in Köln. Dieser Vortrag erschien in ausgearbeiteter Form im September 1997.53 Im Rahmen der Umsetzung und Evaluierung des IuKDG wurde dieses Konzept auf der ersten Fachveranstaltung des Bundesministeriums für Bildung, Wissenschaft, Forschung und Technologie "Chancen für die Wirtschaft, Erwartungen an die Verwaltung und Gesetzgebung" am 8.12.1997 in Bonn vorgestellt.54 Seither wurde es wiederholt vorgetragen55 und mit jeweils unterschiedlicher Schwerpunktsetzung publiziert.56

Die Idee eines Datenschutzaudits wurde im politischen Raum vielfach aufgegriffen und als Bestandteil eines modernen Datenschutz-Konzepts eingefordert. Prominente Beispiele hierfür sind:

Inzwischen gibt es auch aus der Wirtschaft und der Wissenschaft mehrere Stellungnahmen zum Datenschutzaudit.65 Auf Tagungen kommerzieller Kongreßveranstalter zum Thema Datenschutz ist es zu einem festen Bestandteil des Programms geworden.

Zur Etablierung des Datenschutzaudits wurden neben der erfolgten Regulierung im MDStV drei weitere Regelungsinitiativen unternommen und im Landesdatenschutzgesetz Brandenburg sogar eine Programmnorm für ein Datenschutzaudit aufgenommen.

Am 14.11.1997 hat die Fraktion BüNDNIS 90/DIE GRüNEN einen Gesetzentwurf zu einem neuen Bundesdatenschutzgesetz in den Bundestag eingebracht,66 in dem in § 17 ein Datenschutzaudit vorgesehen war. Diese Vorschrift ist nahezu wortgleich mit § 17 MDStV und lautet:

"Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahrens sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt."

Am 30.10.1998 legte der Landesbeauftragte für den Datenschutz in Schleswig-Holstein den Entwurf eines neuen Landesdatenschutzgesetzes vor, in dessen § 34 Abs. 3 ein Datenschutzaudit vorgesehen ist. Die Vorschrift lautet:

"Datenverabeitende Stellen können ihr Datenschutzkonzept durch die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz prüfen und beurteilen lassen. Das Nähere regelt die Verordnung nach § 5 Absatz 4."67

Durch die Vorabprüfung soll den datenverarbeitenden Stellen im öffentlichen Bereich die Sicherheit geboten werden, "vom Konzept her für eine rechtmäßige Datenverarbeitung gesorgt zu haben".68

In Brandenburg ist am 21.12.1998 eine Programmnorm zum Datenschutzaudit sogar Gesetz geworden.69 Die Vorschrift des § 11c des neuen Landesdatenschutzgesetzes lautet:

"Die öffentlichen Stellen können zur Verbesserung von Datenschutz und Datensicherheit sowie zum Erreichen größtmöglicher Datensparsamkeit ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. Sie können auch bereits geprüfte und bewertete Datenschutzkonzepte und -programme zum Einsatz bringen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt."

Umsetzungsregelungen, die erst eine Durchführung von Datenschutzaudits ermöglichen, fehlen aber auch hier.

Im Entwurf eines "Vierten Staatsvertrags zur änderung rundfunkrechtlicher Staatsverträge"70 sind die Datenschutzregelungen für den Rundfunk an die Regelungen des TDDSG und des MDStV angelehnt. Entsprechend der Regelung in § 17 MDStV ist in § 47e für Rundfunkveranstalter ebenfalls die Möglichkeit eines freiwilligen Datenschutzaudits vorgesehen. Diese Vorschrift lautet:

"Zur Verbesserung von Datenschutz und Datensicherheit können Veranstalter ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahrens sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt."

Auch dieser Entwurf enthält keine näheren Regelungen zur Ausgestaltung des Datenschutzaudits, sondern verschiebt die Realisierung dieser Programmnorm auf einen zukünftigen Zeitpunkt.

Für die Realisierung eines Datenschutzaudits von besonderer Bedeutung dürfte sein, daß das Bundesinnenministerium am 11.3.1999 einen Entwurf eines neuen BDSG vorgelegt hat, der eine Programmnorm für ein Datenschutzaudit vorsieht.71 § 9a BDSG-E lautet:

"Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahrens sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt."

Damit übernimmt der Bund weitgehend die Formulierung des § 17 MDStV. Sie wurde lediglich um die "datenverarbeitenden Stellen" als mögliche Adressaten des Datenschutzaudits erweitert. Allerdings wird durch eine Regelung im BDSG der Anwendungsbereich des Datenschutzaudit auf alle Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ausgeweitet.

Inzwischen gibt es bereits eine Reihe von Aktivitäten zur Einführung oder Durchführung von Datenschutz-Prüfungen:

28EG-Verordnung "über die freiwillige Beteiligung gewerblicher Unternehmen an einem Gemeinschaftssystem für das Umweltmanagement und die Umweltbetriebsprüfung"
(EG-UAVO), Nr. 1836/93 des Rates vom 29.6.1993, EG-AB1. Nr. L 168/1.

29ISO EN DIN 14.000 vom Oktober 1996 sowie weitere Normen der 14.000er Reihe.
30Die Normen der Reihe ISO 9.000 wurde 1994 novelliert. S. zur Geschichte des Qualitätsmanagements und der Normenreihe ISO 9.000 Wilhelm, DuD 1995, 330.
31Standardization of Environmental Management Systems.
32S. hierzu z.B. Lechelt 1998, 17 ff.; Theuer 1998, 56f.; Schottelius, BB 1997, Beilage 2, 8 ff.; Scherer, NVwZ 1993, 11f.; Sellner/Schnutenhaus, NVwZ 1993, 928f.;
Rhein 1996, 11 ff.

33Ebenso Königshofen, DuD 1999, 266 ff.
34Das Gutachten stammt vom 15.2.1996 - s. provet 1996-; der Vorschlag eines Datenschutzaudits befand sich bereits in einem Eckwerte-Papier zu dem Gutachten vom
15.12.1995. Eine JURIS-Recherche ergab keine Erwähnung des Datenschutzaudits vor diesem Zeitpunkt. Etwa zur gleichen Zeit wurde auch von Königshofen eine ähnliche
Idee ("Datenschutz-Gütesiegel") entwickelt – s. Königshofen, DuD 1999, 267f. -, ohne sie allerdings zu publizieren. Der Hinweis von Königshofen, die Idee des
"Datenschutz-Gütesiegels" sei schon früher z.B. bei Hassemer, DuD 1995, 449 diskutiert worden, ist unzutreffend. Dort heißt es lediglich: "Es ist jetzt auch die ‚Akzeptanz'
der neuen Technologien bei Käufern und Wählern, welche auf die datenschutzrechtliche Unbedenklichkeit wie ein Gütesiegel aufmerksam machen könnte".

35S. provet 1996, § 11 des vorgeschlagenen Multimedia-Datenschutz-Gesetzes.
36S. den ersten Referentenentwurf vom 28.6.1996.
37Die Datenschutzvorschriften waren damals noch nicht in einem eigenen Teledienstedatenschutzgesetz (TDDSG) zusammengefaßt, sondern Teil des TDG.
38BR-Drs. 966/96; BT-Drs. 13/3385.
39Bachmeier, DuD 1996, 672, stellte noch im November 1996 darüber "keinen politischen Streit" fest und rechnete fest mit der Verabschiedung der Vorschrift im IuKDG.
40Unverständnis über die Streichung äußert der Berliner Datenschutzbeauftragte 1997, 135.
41BT-Sten.Ber. 13/16352 (D) vom 13.6.1997.
42So z.B. Bizer 1997, 149; ähnlich Gounalakis/Rhode, K&R 1998, 328; Garstka, DVBl 1998, 988.
43S. Engel-Flechsig, DuD 1997, 15. S. auch die Regelung eines Datenschutzaudits im Entwurf eines neuen BDSG vom 4.5.1999.
44S. BT-Drs. 13/7835, 57.
45S. Entschließungsantrag der SPD-Bundestagsfraktion, BT-Drs. 13/7936, 5.
46S. hierzu näher Roßnagel 1999, Einführung, Rn. 17 ff..
47S. zu den Argumenten Kap. 1.3.
48Schriftliche Stellungnahme des ZVMA/ZVEI zum IuKDG vom 14.5.1997.
49Schriftliche Stellungnahme der GDD zum IuKDG vom 14.5.1997.
50Schriftliche Stellungnahme des Hamburger Datenschutzbeauftragten zum IuKDG vom 14.5.1997.
51Der MDStV ist am 1.8.1997 in Kraft getreten .
52Diese waren durchweg positiv.
53Roßnagel, DuD 1997, 505.
54S. Roßnagel 1997, 45.
55Z.B. am 12.5.1998 vor dem Arbeitskreis Datenschutzaudit Multimedia in Bonn, am 28.11.1998 auf der Tagung der Landesdatenschutzbeauftragten Nordrhein-Westfalen und
des Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster "Neue Instrumente im Datenschutz" in Münster und am 5.2.1999 vor dem
Fachbereich Multimediaplattform des Verbands Privater Rundfunk und Telekommunikation (VPRT) in Frankfurt.

56S. Roßnagel 1998a, 68; Roßnagel, MMR 1998, Heft 9, VII; Roßnagel, AgV-Forum 1/1999, 36; Roßnagel 1999b, i.E.
57Sachverständigenrat "Schlanker Staat" 1997, 92.
58Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 108.
59Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 104.
60Beschluß Nr. 7, angenommen mit 42:1:2 Stimmen.
61S. Kloepfer 1998, 101 ff.
62Mosdorf 1998, 24.
63Vogt/Tauss 1998, 19.
64Die 10 Punkte sind z.B. abgedruckt in DuD 1999, 68.
65S. hierzu die in Kap. 1.3 und im Literaturverzeichnis genannte Literatur.
66BT-Drs. 13/9082.
67Landesbeauftragter für den Datenschutz Schleswig-Holstein, LT-Drs. 14/1738, 80.
68Landesbeauftragter für den Datenschutz Schleswig-Holstein, LT-Drs. 14/1738, 80.
69GVBl. I, 243.
70Stand 31.3.1999.
71Inzwischen ist der Entwurf durch den Entwurf vom 4.5.1999 überholt, der an § 9a allerdings nichts änderte.
72S. hierzu ausführlich Königshofen, DuD 1999, 266 ff.
73S. hierzu auch Kap. 4.1.
74S. Königshofen, DuD 1999, 268.
75Prinzipien des Datenschutzes und der Datensicherung - allerdings eng angelehnt an die gesetzlichen Regelungen des BDSG - wurden bereits schon früher in die
öffentliche Diskussion gestellt; s. Wächter, DuD 1995, 465 ff., der auch auf die Erarbeitung einer "Corporate Policy" im Bereich Datenschutz und -sicherheit eingeht (469 ff.).

76S. die Dokumentation der Prinzipien und Leitlinien in DuD 1999, 285 ff.; s. auch http://www.silene.com/gdd/gdd8.html#multimedia,     http://www.oetb.de/multimed.htm
und  http://www.uni-kassel.de/fb10/oeff_recht/, die Prinzipien und Leitlinien können in der Newsgroup "d.soc.datenschutz" diskutiert werden.
77S. Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.
78Das Projekt wird im Rahmen der Gemeinschaftsinitiative ADAPT der Europäischen Union gefördert.

 

1.3  Das Datenschutzaudit in der Diskussion

Schon kurz nach Propagierung der Idee eines Datenschutzaudits in dem provet-Gutachten und in den ersten Entwürfen zum IuKDG und MDStV wurden dem Datenschutzaudit viele Vorschußlorbeeren erteilt. Da noch kein Konzept für ein Datenschutzaudit vorlag, bezogen sich die hohen Erwartung und das breite Lob auf das Datenschutzaudit als einen neuen Gedanken in der Datenschutzdiskussion. Die positiven Reaktionen auf den Vorschlag eines Datenschutzaudits bringen damit vor allem Hoffnungen zum Ausdruck, die mit diesem neuen und ergänzenden Ansatz verbunden werden.

Aufgrund der großen Defizite des geltenden Datenschutzrechts wurde die Idee eines Datenschutzaudits bisher überwiegend positiv aufgenommen.79 Es wird nicht nur für Multimedia-Dienste,80 sondern auch außerhalb dieses Bereichs für den Datenschutz allgemein erörtert.81 Mit ihm wurde "ein völlig neuer Gedanke in die traditionelle Datenschutzdiskussion eingeführt".82 Zukünftig wird es "ein wesentlicher Bestandteil eines modernen Datenschutzkonzepts" sein.83

Die Stellungnahmen erwarten, daß das Datenschutzaudit durch die Möglichkeit einer freiwilligen Auditierung zur Stärkung der Selbstkontrolle und zur Stimulierung des Wettbewerbs beiträgt.84 "Ein ‚Datenschutzaudit‘ könnte als Qualitätsmerkmal auf freiwilliger Basis eine positive Differenzierung des Leistungsangebots eines Wettbewerbers ergeben."85 Der Gedanke des Datenschutzaudits "spiegelt das Bedürfnis vieler Wirtschaftsunternehmen, auch auf diesem Gebiet Wettbewerbs bzw. Alleinstellungsmerkmale zu entwickeln, wider".86 Die Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft" hält "die Möglichkeit eines Datenschutzaudits für einen guten Weg, einen Anreiz für die Hersteller auf dem Gebiet der Informations- und Kommunikationstechnik zu schaffen, ihre Produkte einer Kontrolle von Datenschutz- und Datensicherheitsfunktionen zu unterwerfen".87 Das Datenschutzaudit könnte "die Wahrnehmung von Datenschutzfunktionen als ein Qualitätsmerkmal stärken und damit deutlich machen, daß Datenschutz nicht nur als Kostenfaktor für Unternehmen anzusehen ist, sondern längerfristig einen entscheidenden Wettbewerbs- und Standortvorteil darstellen kann".88

Das Datenschutzaudit wird als Instrument gesehen, den Einsatz neuer Datenschutztechnik zu stimulieren. Der Staatssekretär im Bundesjustizministerium Lanfermann weist zum einen darauf hin, daß das TDDSG erstmalig für das Datenschutzrecht der Technikgestaltung durch die datenverarbeitende Stelle Ziele vorgibt. Er sieht aber zum anderen, daß sich die daran geknüpfte Erwartung datenschutzfreundlicher Ausgestaltung der Technik durch die datenverarbeitenden Stellen nur dann erfüllen wird, wenn das Datenschutzaudit eingeführt wird.89

Die Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft" sieht das Datenschutzaudit als Teil der Selbstregulierung, wie sie von Art. 27 der EG-Datenschutzrichtlinie gefordert wird.90 Diese Verpflichtung begreift sie als "Chance", Selbstregulierung des Datenschutzes "für den Schutz des Rechts auf informationelle Selbstbestimmung fruchtbar zu machen".91 Für die Enquete-Kommission kann Selbstregulierung "gesetzlichen Detailregelungen im Hinblick auf ihre Akzeptanz, Flexibilität und Wirtschaftlichkeit überlegen sein".92 Um wirksam zu sein, setzt Selbstregulierung allerdings voraus, daß der Nutzer die Möglichkeit hat, den Umgang von Unternehmen mit seinen personenbezogenen Daten auch zu überprüfen oder überprüfen zu lassen.93 Ein Datenschutzaudit würde "die Ergebnisse der Selbstregulierung transparent machen können".94

Das Datenschutzaudit wäre auch ein geeignetes Instrument, um im übergang vom "Interventionsstaat" mit seiner Ergebnis- und Erfüllungsverantwortung zu einem Staat, der immer mehr Verantwortung auf Private verlagert, ausreichenden Datenschutz zu gewährleisten. Ein Staat, der sich auf seine "Gewährleistungsverantwortung" beschränkt, könnte die primäre Verantwortung für die Problemlösung im Bereich des Datenschutzes der gesellschaftlichen Eigenverantwortung überlassen, würde aber durch strukturierende Rahmenregelungen für eine gemeinwohlverträgliche Wahrnehmung der Eigenverantwortung sorgen.95

Zusätzlich zu den umgesetzten Datenschutzregelungen des TDDSG und des MDStV "können freiwillige Maßnahmen wie ein Datenschutzaudit auch international zu mehr Transparenz sowie einer Verbesserung des Datenschutzes beitragen".96 über das Datenschutzaudit könnten ausländische Anbieter von Telediensten in die Bemühungen um eine Verbesserung des Datenschutzes und der Datensicherheit eingebunden werden. Für den Bundesrat "böte sich damit auch die Möglichkeit, auf ausländische Anbieter von Telediensten Einfluß zu nehmen, die sich im Wettbewerb mit deutschen Anbietern veranlaßt sehen könnten, entsprechende Bewertungen ihres Datenschutzkonzepts einzuholen".97

Das Datenschutzaudit wird auch als eine wichtige Orientierungshilfe für die Nutzer von Telediensten gesehen, die deren Entscheidungsfindung unterstützen kann.98 Es würde "dem Nutzer die überprüfung des Umgangs eines Unternehmens mit personenbezogenen Daten ermöglichen"99 und damit auch zu einer Verbesserung des Verbraucherschutzes in internationalen Netzen beitragen.100 Ein Datenschutzaudit bietet zugleich "mehr Transparenz für die Verbraucher und mehr Eigenständigkeit für die Anbieter".101 Daher wird erwartet, daß es zu einem entscheidenden Faktor für die Bildung von Vertrauen in die Fähigkeit von Unternehmen wird, sich den neuen Anforderungen an den Datenschutz und die Datensicherheit zu stellen.102

Das Datenschutzaudit soll das Datenschutzbewußtsein stärken und zur Akzeptanz von Telediensten beitragen.103 Für den Bundesbeauftragten für den Datenschutz wäre ein Datenschutzaudit "angesichts der technischen Entwicklungen im Bereich der neuen Informations- und Kommunikationsdienste ... eine richtige Antwort auf das gestiegene Datenschutzbewußtsein. ... Das Fehlen eines Qualitätssiegels wie des Audits verhindert oder erschwert demgegenüber die Orientierung, die für eine breite Akzeptanz notwendig ist und die den massenhaften Einstieg ins informationstechnische Zeitalter überhaupt erst ermöglicht."104

Dies gilt insbesondere auch für Bedeutung des Datenschutzes in den einzelnen Unternehmen. Die Aufmerksamkeit, die dem Datenschutz durch einen Auditierungsprozeß entgegengebracht wird, geht oft auch mit einem Umdenken bei den Beschäftigten einher, die diesem Thema automatisch einen höheren Stellenwert einräumen. Dieser Effekt wird verstärkt, wenn die oberste Managementebene sich durch die Festlegung einer unternehmensweit verbindlichen Datenschutzpolitik, die für das Audit eine notwendige Voraussetzung ist, zum Datenschutz bekennt. Dies hat direkte positive Auswirkungen auf das Niveau des Datenschutzes im Unternehmen. Da ein Audit kein Einmalvorgang ist, sondern regelmäßig wiederholt werden muß, wird die Kontinuität der Beschäftigung mit dem Gegenstand gefördert und damit der Stellenwert im Unternehmen hoch gehalten. Außerdem werden permanente Lern- und Sensibilisierungseffekte erzielt.105

Von der Einführung eines Datenschutzaudits werden auch Entlastungs- und Unterstützungseffekte für die behördliche und betriebliche Datenschutzkontrolle erwartet.106 Für den Bundesrat spricht für eine Regelung des Datenschutzaudits auch "die überlegung, daß das Datenschutzaudit ein Element der Selbstkontrolle und eine Ergänzung der Datenschutzkontrolle durch die Datenschutzbeauftragten des Bundes und der Länder sowie die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich sein kann".107

Ein Audit erfordert eine systematische Analyse der Prozesse im Unternehmen und führt damit zu einer Aufdeckung latenter Schwachstellen und insgesamt zu einer höheren Transparenz über den bestehenden Datenschutzstandard im Unternehmen.108 Nach den unternehmensinternen Erfahrungen erwartet der Datenschutzbeauftragte der Telekom AG, daß durch das Datenschutzaudit zumindest die Fehlerquoten innerhalb des Unternehmens minimiert werden und die Sensibilität der Führungskräfte und Mitarbeiter für Fragen des Datenschutzes erheblich gesteigert wird. Ob eine solche Risikominimierung und Qualitätssteigerung für ein Unternehmen sich tatsächlich ergebniswirksam (umsatzsteigernd oder kostensenkend) auswirkt, muß im Einzelfall sicher noch bewiesen werden. Daß es sich aber so auswirken kann, liegt auf der Hand.109

Schließlich wurde noch darauf hingewiesen, daß im Zusammenhang mit dem Datenschutzaudit neue Geschäftsfelder geschaffen werden.110 Sowohl für das interne Audit als auch für die externe Prüfung werden Experten benötigt. Die Kosten, die für die Anbieter von Telediensten mit dem Audit verbunden sind, bewirken bei den Auditierern Einnahmen.

Bisher wurde grundsätzliche Kritik am Datenschutzaudit nur vereinzelt publiziert:111 Danach wird zum einen die Möglichkeit, ein Datenschutzaudit sinnvoll durchführen zu können, in Frage gestellt. Ein Datenschutzmanagementsystem sei wegen seiner Komplexität, Verzahnung mit anderen Managementsystemen und seiner ständigen Veränderung nur sehr eingeschränkt sinnvoll durch externe Gutachter auditierbar. Außerdem könnte die Einhaltung so komplizierter Rechtsregelungen, wie sie das Datenschutzrecht enthält, nicht sinnvoll durch externe Gutachter überprüft werden. Zum anderen wird kritisiert, das Datenschutzaudit sei ein "Ansatz einer externen Fremdregulierung". Aus der "formalen Freiwilligkeit" des Datenschutzaudits werde in der Praxis "ein faktischer Zwang" für die Unternehmen, sich an ihm zu beteiligen.112 Auch wenn diese Kritik bisher nur an einer Stelle veröffentlicht wurde, muß damit gerechnet werden, daß sie eine - insbesondere unter betrieblichen Datenschutzbeauftragten – nicht seltene Grundstimmung zum Ausdruck bringt, die zwischen Reserviertheit und Ablehnung schwankt. Sie beruht vor allem auf der Erfahrung, daß Zertifizierungen des Qualitätsmanagementsystems nach der Normenreihe DIN ISO 9.000 mit einem hohen bürokratischen Dokumentationsaufwand verbunden sei, der dem praktischen Nutzen nicht entspreche.113

Dieser Ablehnung des Datenschutzaudits wurde von mehreren Seiten widersprochen.114 Die ihr zugrundeliegende Kritik thematisiert zwar relevante Problempunkte für die Gestaltung eines Datenschutzaudits,115 geht aber in ihrer grundsätzlichen Ablehnung zu weit. Jedenfalls wird sie in den meisten Punkten durch die bisherigen Erfahrungen mit unternehmensinternen Datenschutzmanagementsystemen nicht bestätigt.116 Daher hat sich auch der Arbeitskreis "Datenschutzaudit Multimedia" von dieser Kritik nicht von seiner Zielsetzung abbringen lassen. Die Kritik wurde auch im Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI) nicht geteilt.117

Die Gesellschaft für Datenschutz und Datensicherung hält ein Datenschutzaudit "in dem Umfang (für) sinnvoll, wie es das Prinzip der betrieblichen Selbstkontrolle fördert. In einer Stellungnahme zu § 9a BDSG-E vom 11.3.1999 äußert sie zwar einige "erhebliche Bedenken". Sie würde es negativ bewerten, wenn ein Ausführungsgesetz das Audit auf datenverarbeitende Stellen insgesamt erstrecken würde, Unternehmensspezifika bei der Auditierung keine Rolle spielen sollten, eine übererfüllung gesetzlicher Anforderungen gefordert würde, die Stellung des betrieblichen Datenschutzbeauftragten durch die Ausgestaltung des Audits geschwächt, kleine und mittlere Unternehmen überlastet und das Audit sich auf eine "Momentaufnahme der Datenschutzorganisation" im Unternehmen beschränken sollte. Diese Bedenken würden jedoch relativiert, wenn das Audit auf Systeme, Programme und Dienstleistungen bezogen würde und Unternehmen, die solche anbieten, das Audit als Qualitäts- und Wettbewerbsfaktor im Rahmen ihrer Präsentation und Werbung herausstellen könnten. Die GDD erwartet vom Audit zumindest eine faktische Minimierung des Kontrollaufwands für die staatlichen Datenschutz-Aufsichtsbehörden und die betroffenen Unternehmen.118

Bei einer Diskussion mit dem Fachbereich Multimediaplattform des Verbands Privater Rundfunk- und Telekommunikationsanbieter (VPRT) am 5.2.1999 in Frankfurt wurde das Datenschutzaudit grundsätzlich begrüßt. Probleme wurden allerdings darin gesehen, daß die Datenschutzregelungen gerade im Multimediabereich so umfangreich und anspruchsvoll seien, daß sie von den betroffenen Unternehmen nicht oder kaum eingehalten werden könnten.119 Die Einführung eines Datenschutzaudits müßte mit einer überarbeitung der Datenschutzanforderungen einhergehen. Auch müsse sich der ökonomische Aufwand für die Durchführung des Audits in einem vertretbaren Rahmen halten.120 Besorgnis wurde geäußert, daß ein Datenschutzaudit zu Wettbewerbsverzerrungen führen könnte, wenn ausländische Anbieter am Datenschutzaudit teilnehmen könnten, aber nur an den – in Durchschnitt niedrigeren – Anforderungen ihres Heimatsstaats gemessen würden.

Nach einer repräsentativen Umfrage, die das Freizeit-Forschungsinstitut in Hamburg bei 3000 Personen über 14 Jahren zum Thema Multimedia und Datenschutz durchgeführt hat, sind die Erwartungen gegenüber einem "Datenschutz-Gütesiegel" derzeit noch gespalten. Von den Befragten glauben 31% nicht, daß ein solches "Siegel" viel Sinn macht. Etwa ein weiteres Drittel (30% der Befragten) hat hierzu keine Meinung. Da die Problemlagen des Datenschutzes jedoch erst in den kommenden Jahren deutlich zum Tragen kommen werden, überrascht die Unsicherheit im Antwortverhalten nicht. Die Mehrheit der Bevölkerung ist für die künftigen Problemfelder noch nicht sensibilisiert, da sie noch keinen Kontakt zu den neuen Technologien und ihren möglichen Auswirkungen hatte. Um so erstaunlicher ist, daß die größte Gruppe (38% der Befragten) ein "Datenschutz-Gütesiegel" begrüßen würde. Allerdings würden nur 16% der Befragten das "Datenschutz-Gütesiegel" auch ohne gesetzliche Regelung, etwa nach dem Prinzip des Umweltzeichens, begrüßen. Für den größeren Teil der Zustimmenden (22% der Befragten) ist von wesentlicher Bedeutung, daß zunächst gesetzliche Vorgaben für das "Datenschutz-Gütesiegel" geschaffen werden.121

Die Diskussion um ein Datenschutzaudit kann für die Bundesrepublik Deutschland so zusammengefaßt werden: Das Datenschutzaudit wird als neues Instrument des Datenschutzes weit überwiegend begrüßt. Es wird vor allem aufgrund seines wettbewerbsorientierten Ansatzes als sinnvolle Ergänzung bestehender Datenschutzinstrumente und aufgrund seines kommunikativen Ansatzes als hoffnungsvolles Instrument der Vertrauensbildung angesehen.

79S. z.B. Ulrich, DuD 1996, 668; Bachmeier, DuD 1996, 673.; Engel-Flechsig, DuD 1997,15;. Engel-Flechsig, RDV 1997, 66; Berliner Datenschutzbeauftragter 1997, 134f.;
Bizer 1997, 149.

80So z.B. Bundesrat, BT-Drs. 13/7385, 57; Roßnagel 1997, 45 ff.
81S. z.B. Berliner Datenschutzbeauftragter 1997, 134; Bundestags-Fraktion BüNDNIS 90/DIE GRüNEN, BT-Drs. 13/9082; Landesbeauftragter für den Datenschutz
Schleswig-Holstein, LT-Drs. 14/1738, 13; Vogt/Tauss 1998, 19.

82Bachmeier, DuD 1996, 673.
83Vogt/Tauss 1998, 19; ähnlich 62. Deutschen Juristentag, Beschluß D.7.
84Vogt/Tauss 1998, 19.
85Schriftliche Stellungnahme des ZVMA/ZVEI zum IuKDG vom 14.5.1997; Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI),
DuD 1999, 281 ff.

86Büllesbach 1997, 36.
87Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 104.
88Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 108; ähnlich
Hoffmann-Riem, DuD 1998, 687.

89Lanfermann, EDV 1998, 4.
90Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 108.
91Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 104, 108.
92Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 104; Swire 1997, 3 ff.;
Kuitenbrower 1997, 115;

93Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 104; Swire 1997, 15.
94Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 108.
95S. für den Datenschutz allgemein z.B. Hofmann-Riem, DuD 1998, 687; s. speziell für Multimediadienste Roßnagel, ZRP 1997, 26 ff.
96Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11003, 28.
97Bundesrat, BT-Drs. 13/7835, 57.
98S. z.B. Roßnagel, AgV-Forum 1999, Heft 1, 36 ff.; Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.
99Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 104.
100Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11003, 24.
10154. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 23./24.10.1997.
102S. Königshofen, DuD 1999, 267.
103S. Bundesrat, BT-Drs. 13/7385, 57; Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.
104Bundesbeauftragter für den Datenschutz 1997, 31.
105S. Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.
106S. z.B. SPD-Bundestagsfraktion, BT-Drs. 13/7936, 5; Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die
Informationsgesellschaft", BT-Drs. 13/11002, 108; Hoffmann-Riem, DuD 1998, 687.

107Bundesrat, BT-Drs. 13/7385, 57. Die Gesellschaft für Datenschutz und Datensicherung (GDD) erwartet eine Minimierung des Kontrollaufwands für die staatlichen
Aufsichtsbehörden, GDD-Mitteilungen 2/99, 4.

108Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.
109S. Königshofen, DuD 1999, 271.
110S. z.B. Arbeitskreis quot;Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.
111S. Drews/Kranz, DuD 1998, 94.
112Dieses Problem sieht auch die Gesellschaft für Datenschutz und Datensicherung, GDD-Mitteilungen 2/99, 3. Diese Argumente entsprechen der vehementen Kritik, die die
deutsche Wirtschaft und die Bundesregierung an den ersten Entwürfen zur UAVO geübt haben – s. hierzu Schottelius, BB, Beilage 2, 4f. Als für die Bundesrepublik
Deutschland als letzten Mitgliedstaat dann aber die Zustimmung aus allgemeiner Europatreue unvermeidlich war, "erfolgte trotz der vorher betonten überflüssigkeit des
Audit-Systems in Deutschland und dessen Unvereinbarkeit mit dem deutschen Umweltschutz-System ein Umschwenken auf eine nun wiederum fast emphatisch zu nennende
positive Einstellung" – Schottelius, BB, Beilage 2, 5. Heute liegen etwa 75% aller Standorte, die nach der UAVO auditiert sind, in der Bundesrepublik Deutschland.

113Dieses Problem sieht auch der Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 282, trotz seiner letztlich
positiven Bewertung eines Datenschutzaudits; ähnlich Gesellschaft für Datenschutz und Datensicherung, GDD-Mitteilungen 2/99, 3.

114S. Roßnagel 1998, 45 ff.; Königshofen, DuD 1999,266 ff.; Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999,
281 ff.

115Diese Kritikpunkte werden auch vom Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), s. DuD 1999, 282, erwogen,
letztlich jedoch nicht für durchschlagend erachtet. ähnlich auch Gesellschaft für Datenschutz und Datensicherung, GDD-Mitteilungen 2/99, 3f.

116S. Königshofen, DuD 1999, 271.
117S. hierzu DuD 1999, 281 ff.
118Gesellschaft für Datenschutz und Datensicherung, GDD-Mitteilungen 2/99, 3f.
119Ebenso Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999,281 ff.
120Ebenso Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.
121S. Opaschowski/Duncker 1998, 32f, 68.

 

1.4  Entwicklungen in anderen Staaten

Die Initiativen für ein Datenschutzaudit entsprechen in ihrem Grundanliegen vielfältigen Initiativen in anderen Staaten. Diese Initiativen beziehen sich auf unterschiedliche Formen und Zwecke der Datenverarbeitung. Ihre jeweilige Ausgestaltung ist meist aus dem spezifischen kulturellen, politischen und rechtlichen Hintergrund zu erklären, vor dem sie ihr Ziel erreichen wollen. Sie sind daher nicht ohne weiteres auf die Bundesrepublik Deutschland zu übertragen. Ihr gemeinsames Ziel besteht darin, Datenschutz und Datensicherheit durch Selbstverpflichtungen sowie deren Umsetzung, überprüfung und Bekanntmachung zu verbessern. Sie alle sind in jüngster Zeit entstanden und zeigen, daß die Umsetzung eines Datenschutzaudits auch international einem starken Trend entspricht.122 Beispiele sollen aus USA und Japan vorgestellt werden.

122S. z.B. für Datensicherheit Canadian General Standards Board 1998; ADDSecureNet http://www.addsecure.net/h4h/service.htm

 

1.4.1 Vereinigte Staaten von Amerika

Um das Vertrauen in den Datenschutz im Internet zu erhöhen und durch die dadurch steigende Akzeptanz Electronic Commerce zu befördern, um staatliche Regulierungen des Datenschutzes im Internet abzuwehren123 und auch um der Forderung des Art. 25 der EG-Datenschutzrichtlinie nach angemessenen Datenschutzniveau nachzukommen,124 haben sich in den USA mehrere Initiativen entwickelt, um im Rahmen der dort favorisierten Selbstregulierung der Wirtschaft125 auditähnliche Verfahren für den Datenschutz zu implementieren.126 Zwei prominente Beispiele seien kurz beschrieben.

Ein "Privacy Seal Programm" bietet TRUSTe an.127 TRUSTe ist eine unabhängige gemeinnützige Initiative, deren Mitglieder aus der Online-Industrie stammen. Sie hat es sich zur Aufgabe gemacht, das Vertrauen der Nutzer ins Internet zu stärken, indem sie dafür eintritt, daß der Umgang mit personenbezogenen Daten offengelegt wird und der Nutzer seine aktive Zustimmung zur Verwendung dieser Daten gibt. Anbieter von Webseiten können Teilnehmer an dem TRUSTe-Programm werden. Sie müssen sich nach den Datenschutzprinzipien von TRUSTe zu einer Datenschutzpolitik verpflichten, ihre Datenschutzpraktiken veröffentlichen, die Zustimmung der Nutzer zu diesen Praktiken einholen und Datensicherungsmaßnahmen durchführen.128 Nach dieser Verpflichtung erhalten sie ein "trustmark", das sie auf ihrer Homepage anbringen und das den Nutzer direkt zur Erklärung der Datenschutzpraktiken führt. Diese müssen Aussagen darüber enthalten, welche personenbezogenen Daten gesammelt werden, wie sie verwendet und wem sie zugänglich gemacht werden. Der Nutzer kann dann entscheiden, ob er weiter auf den Webseiten bleibt oder diese verläßt.

Der Abgleich zwischen den veröffentlichten Datenschutzpraktiken und den Präferenzen des Nutzers könnte einschließlich Verhandlungen über ein Entgegenkommen künftig entsprechend dem Standard "Platform for Privacy Preferences (P3P) des World Wide Web Consortiums automatisiert erfolgen.129 Hierfür hat Microsoft bereits ein Produkt namens "Privacy Wizard" angekündigt.130 Die Einhaltung der erklärten Datenschutzpraktiken soll über die "trustmark" von TRUSTe sichergestellt werden

Für die Vertrauenswürdigkeit des TRUSTe-Programms ist dessen Durchsetzung entscheidend. Der Anbieter muß sich weiter verpflichten, die Zusagen in der Erklärung der Datenschutzpraktiken einzuhalten. Dies wird von TRUSTe durch Kontrollen der Webseiten, durch probeweise übermittelte Kundendaten sowie hauptsächlich durch Beschwerdemöglichkeiten der Nutzer überprüft. Jeder Teilnehmer am TRUSTe-Programm muß ein "click-to-verify"-Siegel auf der Seite seiner Erklärung der Datenschutzpraktiken aufnehmen, das einen Nutzer auf sichere Weise mit dem TRUSTe-Server verbindet. Dort wird ihm eine "Watchdog-page"131 mit einem Formular angeboten, in das er seine Beschwerde eintragen kann. Um Beschwerden zu bearbeiten, sucht TRUSTe gemeinsam mit dem Anbieter nach Lösungen. Sind diese nicht befriedigend, ergreift TRUSTe weitere Maßnahmen, die bis zum Widerruf der "trustmark", dem Ausschluß aus dem Programm und der Meldung des Verstoßes an eine staatliche Behörde reichen kann.132

Eine Vereinigung, die "Online Seals Programms" unterstützt, ist die "Online Privacy Alliance". Ihr gehören über 80 weltweit operierende amerikanische Unternehmen und Vereinigungen an wie zum Beispiel America Online, Apple, AT&T, Bank of America, Cisco, Compaq, Dell, Disney, DoubleClick, Hewlett-Packard, IBM, Intel, Microsoft, Netscape, Time Warner, Yahoo, die Amercican Advertising Federation, die Direct Marketing Federation und The United States Chamber of Commerce.133 Ziel der Alliance ist es, für Online-Dienste und Electronic Commerce Vertrauen in den Datenschutz durch die Anbieter zu schaffen. Zu diesem Zweck müssen sich die Mitglieder verpflichten,

Um eine effektive Umsetzung dieser Selbstverpflichtung zu gewährleisten, sollten die Mitglieder sich an einem Vollzugssystem der Selbstregulierung beteiligen. Empfohlen wird die Teilnahme an einem "Privacy Seal Programm", wie es zum Beispiel TRUSTe anbietet.135

Vergleichbar mit dem Datenschutzaudit ist bei diesen Initiativen die Verpflichtung zu einer Datenschutzpolitik, deren Implementierung und Kontrolle, die Verwendung eines Datenschutzzeichens, der Einbezug der öffentlichkeit als Kontrollinstanz sowie Sanktionsmöglichkeiten im Rahmen der Selbstregulierung. Diese Initiativen lassen sich allerdings auf die Bundesrepublik Deutschland nicht unmittelbar übertragen. Gegenüber dem deutschen Datenschutzniveau fällt auf, daß keine materiellen Vorgaben zum Datenschutz erfolgen. So fehlen inhaltliche Anforderungen an Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten und an deren Zweckbindung sowie Vorgaben zur Datenvermeidung und Datensparsamkeit oder zum Angebot einer anonymen Inanspruchnahme von Internetdiensten und ihrer Abrechnung oder zur Verwendung von Pseudonymen. Die Prinzipien von TRUSTe oder der Online Privacy Alliance enthalten keine Verpflichtung zur baldmöglichen Löschung der Daten. Sie sehen auch keine Auskunftsrechte vor. Damit sind solche Vorgaben nicht ausgeschlossen. Es steht aber im Belieben des Anbieters, solche Anforderungen zum Gegenstand seiner Selbstverpflichtungen zu machen. Aufgrund dieses Mangels fehlt die Vergleichbarkeit der materiellen Datenschutzanstrengungen. Auch die Zielerreichung ist gefährdet. Die Initiativen sehen zwar wiederholte überprüfungen zur Einhaltung der Selbstverpflichtungen vor, zielen aber nicht auf eine kontinuierliche Verbesserung von Datenschutz und Datensicherheit.136 Zugespitzt: Entscheidend ist letztlich, daß die eigene Datenschutzpolitik veröffentlicht wird und sich der Anbieter an diese hält. Datenschutz ist reduziert auf die rechtzeitige Information des Nutzers und dessen Wahlmöglichkeit, das Angebot zu verlassen. Die Datenverarbeitung wird dadurch legitimiert, daß der Nutzer trotzt Kenntnis der Datenschutzpraktiken weiterhin das Angebot nutzt. Letztlich bestätigt das Siegel nur die Selbstverpflichtung zu dieser Form der Transparenz. Daher erhalten auch diejenigen Anbieter die "trustmark", die offen beschreiben, daß sie fleißig Daten sammeln und auch an Dritte weitergeben - selbstverständlich nur im wohlverstandenen Interesse des Nutzers.137

123Nach Harris & Associates/Westin 1997 fordern 58% der Computernutzer in den USA staatliche Gesetze für den Datenschutz im Internet.
124S. z.B. http://www.truste.org/webpublishers/pub_privacy.html .
125S. z.B. U.S. Department of Commerce 1997; ILPF 1998; OECD, Protection of Privacy on Global Networks http://www.oecd.org/subject/e_commerce/ .
126S. z.B. als übersicht Dyson 1997; s. auch die Beispiele Direct Marketin Association, Responsibly Conquer an New Frontier with The DMA's Marketing Online Privacy
Principles und Guidance
http://www.the-dma.org/busasst6/busasst-onmarkprivpr6a7.shtml ; Canadian Marketing Association, Code of Ethics & Standards of Practice
http://www.cdma.org/new/ethics_2.html ; s. hierzu auch die Beispiele in U.S. Department of Commerce 1997, Chapter 6.
127S. zum folgenden auch Blackburn/Lena/Wang 1997.
128S. http://www.truste.org/users/users_how.html .
129S. z.B. http://www.w3.org/TR/NOTE-P3P10-principles .
130S. http://privacy.linkexchange.com/ .
131S. http://www.truste.org/users/users_watchdog.html .
132S. http://www.truste.org/users/users_how.html .
133S. http://www.privacyalliance.org/who/ .
134S. http://www.privacyalliance.org/resources/ppguidelines.shtml .
135S. hierzu näher http://www.privacyalliance.org/resources/enforcement.shtml .
136Hierauf zielt z.B. die Initiative des Internet Law and Policy Forums, ILPF 1998.
137S. z.B. http://www.yahoo.com/info/privacy/ mit"click-to-verify"-Siegel, die Erklärung der Datenschutzpraktiken, allerdings ohne "trustmark" ist auf deutsch abrufbar unter
http://www.yahoo.de/docs/info/mail/datenschutz.html ; s. z.B. auch http://www.de.ibm.com/general/datenschutz/datenschutz.html .

 

1.4.2  Japan

In Japan bietet das Japan Information Processing Development Center (JIPDEC) seit April 1998 ein dem hier diskutierten Datenschutzaudit sehr ähnliches "Privacy Mark Award System" an. JIPDEC vergibt ein Datenschutzzeichen an Unternehmen, die ausreichende Maßnahmen zum Schutz personenbezogener Daten ergriffen und überprüft haben. Damit versucht das "Privacy Mark Award System", öffentliches Vertrauen in den Datenschutz in privaten Unternehmen zu unterstützen und zwischen den Unternehmen Wettbewerb um Datenschutz zu initiieren.

Das "Privacy Mark Award System" soll vollzugsvertretende Wirkung erzeugen.138 Das japanische Datenschutzgesetz von 1988 gilt nur für zentrale Verwaltungsorganisationen.139 Ein für den privaten Sektor geltendes Datenschutzgesetz konnte bisher aufgrund politischer Widerstände nicht erlassen werden. Ersatzweise hat das "Ministry of International Trade and Industry" (MITI) 1989 ein Set von "Personal Data Protection Guidelines" für verschiedene Bereiche des privaten Sektors zusammengestellt, an denen sich freiwillige Datenschutzmaßnahmen der Unternehmen orientieren.140 Diese Maßnahmen waren allerdings unzureichend.141 Das MITI veröffentlichte daher 1997 überarbeitete "Guidelines".142 Das "Privacy Mark Award System" ist eine von mehreren Maßnahmen, die Befolgung der "Guidelines" zu befördern.143

Das "Privacy Mark Award System" wird auf zwei Stufen betrieben.144 Auf der zentralen Stufe wirkt JIPDEC als Vergabeorganisation. Diese ist zuständig für die Prüfung der Anträge teilnehmender Unternehmen sowie die gesamte Durchführung des Systems. Bei ihr wurde ein Komitee eingerichtet, das für Vorschriften und Standards, die das System betreffen, für die Anerkennung von Zertifizierungsorgnaisationen und für den Widerruf der "Privacy Mark Certification" zuständig ist. Auf der dezentralen Stufe wirken anerkannte Zertifizierungsorganisationen, die von einer Gruppe von Unternehmen einer Branche gebildet wird. Sie sind zuständig für die Erarbeitung von Branchenempfehlungen, für die Annahme von Anträgen und für die Beratung und Unterstützung der Unternehmen. Inzwischen wurden mehrere Empfehlungen von den betroffenen Branchen erarbeitet. Zum Beispiel wurden für elektronische Netzwerke die "MITI-Guidelines" durch Datenschutzrichtlinien des Electronic Network Consortiums, einer Vereinigung der großen japanischen Online-Diensteanbieter,145 konkretisiert.146

138S. JIPDEC 1998, 24f.
139Law No. 95, December 1988.
140S. z.B. Horibe 1998, 3 ff.
141JIPDEC 1998, 27.
142MITI, Guidlines Concerning the Protection of Computer Processed Personal Data in Private Sector, http://www.datenschutz-berlin.de/sonstige/dokument/miti.htm .
143S. JIPDEC 1998, 17 ff.
144S. zum folgenden ausführlich JIPDEC 1998, 27 ff.
145S. http://www.nmda.or.jp/enc/index-english.html .
146ENC, "Guidelines For Protecting Personal Data" In Electronic Network Management http://www.nmda.or.jp/enc/privacy-rev-english.html .

Ein Unternehmen, das Niederlassungen in Japan hat, kann an dem System teilnehmen, wenn es ein "Compliance Programm" etabliert hat, das die Einhaltung der "MITI-Guidelines" oder spezifischer Branchenempfehlungen gewährleistet und diese Umsetzung durch ein Datenschutzmanagementsystem sicherstellt. Gegenstand des Programms ist das Unternehmen oder ein Unternehmensteil. Mit dem Antrag auf Zertifizierung muß das Unternehmen sein "Compliance Programm" vorlegen. Dieses wird von der Vergabeorganisation auf übereinstimmung mit den "MITI-Guidelines" oder Branchenempfehlungen sowie den Vorschriften und Standards des "Privacy Mark Systems" überprüft. Vor allem wird geprüft, ob ein funktionierendes Datenschutzmanagementsystem mit Zuständigkeiten, Befugnissen, Maßnahmen und Instrumenten eingerichtet ist. Das Unternehmen muß ausreichende Sicherheitsmaßnahmen vorsehen. Es muß eine ständige Kontaktstelle für Datenschutzfragen für seine Kunden unterhalten. Gegenüber anderen Organisationen, mit denen es Vertragsbeziehungen hat und denen es personenbezogene Daten übermittelt, muß es ausreichende Maßnahmen des Datenschutzes und der Datensicherheit vereinbaren. Das Datenschutzniveau muß mindestens jedes Jahr durch ein internes Audit überprüft werden. Die überprüfung erfolgt in der Regel an Hand der Antragsunterlagen. In Zweifelsfällen werden weitere Informationen nachgefordert. Eventuell erfolgt eine Anhörung oder es werden sogar Betriebsbesichtigungen durchgeführt. Eine überprüfung dauert etwa 10 Tage.

Die Zertifizierung wird auf der Homepage der Vergabeorganisation bekannt gemacht. Sie gilt für zwei Jahre und kann immer wieder für zwei Jahre verlängert werden. Die Vergabeorganisation und die anerkannten Zertifizierungsorganisationen können von dem Unternehmen als Stichprobe den Bericht des jährlichen Audits anfordern oder Betriebsbesichtigungen durchführen. Aufgrund so gewonnener Erkenntnis können Maßnahmen ergriffen werden, die von Empfehlungen bis hin zum Widerruf der Zertifizierung oder der Anerkennung der Zertifizierungsorganisation reichen können.

Das Unternehmen kann aufgrund der Zertifizierung einen Vertrag mit der Vergabeorganisation über das Führen des "Privacy Marks" schließen. Das Zeichen kann nach spezifischen Nutzungsregelungen zum Beispiel auf Briefbögen, Umschlägen, Visitenkarten, Werbeunterlagen oder der Homepage verwendet werden.

Das japanische "Privacy Mark Award System" bietet viele Parallelen zu dem hier untersuchten Datenschutzaudit. Wie dieses setzt es vor allem auf branchenbezogene Selbstregulierung der Standards, auf die Umsetzung durch ein Datenschutzmanagementsystem und die organisationsinterne Prüfung. Es beschränkt die externe überprüfung allerdings auf Stichproben. Der Hauptunterschied aber dürfte darin zu sehen sein, daß das "Privacy Mark Award System" erst einmal die Umsetzung von gesetzesvertretenden, aber letztlich unverbindlichen "Guidelines" befördern soll. Eine darüber hinaus gehende Verbesserung des Datenschutzes und der Datensicherheit ist daher allenfalls für künftige Zeiten ein Ziel dieses Systems.

 

2   Anforderungen an ein Datenschutzaudit

Welche Anforderungen müßte ein Datenschutzaudit erfüllen, um bei den unterschiedlichen Interessentengruppen auf Umsetzung und Annahme rechnen zu können? Aus Stellungnahmen in der Literatur sowie Gesprächen mit verschiedenen Gruppen über das Datenschutzaudit können am Beispiel der Teledienste folgende Erwartungen festgehalten werden:

2.1  Interessen der Anbieter von Telediensten

Für die Unternehmen ist es besonders wichtig, daß ein Datenschutzaudit für sie freiwillig ist. Sie wollen die Möglichkeit haben, darüber zu entscheiden, ob es für ihr Unternehmen oder ihr Angebot vorteilhafter ist, am Datenschutzaudit teilzunehmen oder nicht. Mit zusätzlichen Regulierungsvorgaben für ein Datenschutzaudit darf der marktwirtschaftliche Ansatz nicht konterkariert werden.147

Das Datenschutzaudit soll gegenüber Behörden, Gerichten und Betroffenen Rechtssicherheit gewährleisten.148

Für die Teilnahme am Datenschutzaudit muß es einen ausreichend hohen Anreiz geben, der neben internen Verbesserungen des Datenschutzes und der Datensicherheit vor allem in der Verwendung des Ergebnisses in der Außendarstellung gegenüber unterschiedlichen Anspruchsgruppen wie Mitarbeitern, Aktionären, Banken und Versicherungen, Behörden, Medien, der öffentlichkeit und vor allem den Nutzern von Telediensten gesehen wird.149

Allerdings müssen die Kosten im Vergleich zum Ergebnis in einem vertretbaren Rahmen bleiben.150 Dies ist nur dann gewährleistet, wenn das Datenschutzaudit nicht bürokratisch aufgebläht wird und zu einem unnütz hohen Dokumentationsaufwand führt.151 Es muß organisatorisch zu bewältigen sein.152

Vor allem für kleine und mittlere Unternehmen muß gewährleistet sein, daß sie sich am Datenschutzaudit beteiligen können. Weil diese kein eigenes Management für Spezialaufgaben oder Stabsabteilungen haben, denen diese Aufgaben übertragen werden können, sehen Art. 13 UAVO und Art. 10 UAVO-Rev-E für das Umweltschutz-Audit Förderungen der Mitgliedstaaten vor, um auch kleinen und mittleren Unternehmen die Teilnahme zu ermöglichen oder zu erleichtern.153

Das Datenschutzaudit darf nicht zu Wettbewerbsverzerrungen führen. Solche sind jedoch aufgrund der notwendigen Komplexitätsreduktion von Audits unvermeidlich. Je höher der Komplexitätsgrad des Bewertungsmaßstabs und des zu untersuchenden Gegenstands sind, desto problematischer ist eine Komplexitätsreduktion.154 Bei einem Datenschutzaudit findet die Komplexitätsreduktion durch die Vergabe eines Datenschutzauditzeichens an jeden Teilnehmer statt. Der "Datenschutzanfänger" wird ebenso wie der "Datenschutzprofi" registriert und kann das Datenschutzauditzeichen verwenden, wenn er auf seinem Niveau Fortschritte im Management seiner Datenschutzanstrengungen nachweist. Bestehende Unterschiede hinsichtlich des Datenschutzes werden durch eine eindimensionale Bestätigung unvermeidlich eingeebnet.155 Um so wichtiger ist es, daß die Ergebnisse weitgehend vergleichbar sind, also an die Managementsysteme und an die Gutachter weitgehend gleiche Anforderungen gestellt werden. Weiterhin ist es notwendig, das bestehende Unterschiede zumindest durch die an die öffentlichkeit gerichtete Datenschutzerklärung deutlich werden.156

Wettbewerbsverzerrungen werden insbesondere gegenüber ausländischen Anbietern befürchtet. Auf keinen Fall dürften die ausländischen Anbieter von Multimediadiensten, die infolge des Fehlens kostenträchtiger Datenschutzvorgaben bereits einen Wettbewerbsvorteil im globalen Markt genießen,157 die niedrigeren Datenschutzanforderungen in ihrem Heimatstaat dazu nutzen können, mit geringerem Aufwand ein Datenschutzaudit zu bestehen als die deutschen Anbieter.

Umgekehrt soll das Datenschutzaudit gerade einen Wettbewerbsvorteil bieten. Der muß allerdings auf tatsächlichen Leistungen im Datenschutz und der Datensicherheit beruhen. Das Datenschutzaudit muß dies verläßlich feststellen und gerade in dieser Hinsicht zu Transparenz und zur Differenzierung auf dem Markt beitragen.158

Damit das Ergebnis des Datenschutzaudits den Anspruchsgruppen vermittelt werden kann und von diesen als Differenzierungsmerkmal angenommen wird, sind zwei Voraussetzungen notwendig. Erstens dürfen die Anforderungen nicht zu niedrig sein, so daß ihre Erfüllung eine Auszeichnung rechtfertigt.159 Zweitens muß das gesamte Verfahren für die Anspruchsgruppen glaubwürdig sein.

Um die gewünschten Wirkungen des Datenschutzaudits zu erzielen, sind Informations- und Sensibilisierungsaktivitäten notwendig. Dies umfaßt auch die rechtzeitige Einbeziehung der Arbeitnehmervertretung.160

147S. hierzu z.B. Königshofen, DuD 1999, 271.
148S. zu dieser Zielsetzung für das Umweltschutz-Audit z.B. Sprenger/Maier 1997, 655 ff.
149Zum Konzept der Anspruchsgruppen im Rahmen der Unternehmenskommunikation s. z.B. Clausen/Fichter, 1995, 20 ff.
150S. z.B. Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 283.
151Dies wird von manchen dem Qualitätsmanagement nach ISO 9.000 zugeschrieben – s. z.B. Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie
Baden-Württemberg (VMI), DuD 1999, 282.

152Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 282f.
153Z.B. hat das Land Hessen hierfür ein Förderprogramm in Höhe von 5,5 Mio. DM aufgelegt – s. NJW 1997, Heft 39, S. LI.
154S. z.B. Schrader 1993.
155S. hierzu auch Hamschmidt 1995, 34; Freimann 1997, 569; Hönes/Küppers 1998, 9.
156S. Hönes/Küppers 1998, 9, für die Umwelterklärung sowie Kap. 3.6.
157S. hierzu z.B. Königshofen, DuD 1999, 266 ff.
158S. hierzu z.B. Königshofen, DuD 1999, 266 ff.
159Zugleich sollen sie aber auch bewältigt werden können.
160Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 283.

 

2.2  Interessen der Nutzer

Soweit die Nutzer sich für Datenschutz und Datensicherheit interessieren, ist für sie Transparenz zwischen unterschiedlichen Angeboten wichtig. Sie wollen wissen, wie datengierig oder datenschutzfreundlich ein Teledienst ist. Sie wünschen sich Vergleichbarkeit, um ihre Konsum-Entscheidung - etwa bei ähnlicher Qualität und vergleichbarem Preis - nach diesem Kriterium treffen zu können. Das unterschiedliche Datenschutzniveau unterschiedlicher Anbieter muß dem potentiellen Kunden oder Nutzer ebenso transparent gemacht werden können wie die unterschiedliche Qualität oder der unterschiedliche Preis.161 Ein Datenschutzaudit sollte zu einem offenen Wettbewerb um Datenschutz zwischen den Anbietern von Telediensten beitragen.

Die Glaubwürdigkeit des Verfahrens und des Ergebnisses ist für sie von ausschlaggebender Bedeutung. Das Datenschutzaudit ist für sie nur dann relevant, wenn die Aussagekraft der Datenschutzerklärung ihren Transparenzinteressen entspricht und sie der Objektivität und Korrektheit der überprüfung vertrauen können.

Die Nutzer wollen Fortschritte im Datenschutz und in der Datensicherheit. Neuen Risiken soll rechtzeitig begegnet werden. Neue Datenschutz- und Datensicherungsmöglichkeiten sollen umgehend genutzt werden und ihnen zugute kommen.

161S. hierzu z.B. Königshofen, DuD 1999, 266 ff.

 

2.3  Interessen der Allgemeinheit

Im Allgemeininteresse liegt es vor allem, daß der Datenschutz kontinuierlich verbessert wird. Vom Datenschutzaudit muß eine starke Anreizwirkung ausgehen, tatsächliche Verbesserungen des Datenschutzes und der Datensicherheit durchzuführen. Das Datenschutzaudit muß eine Prämierung der Besten im Datenschutz bewirken, um so einen Nachahmungseffekt zu erzielen.

Das Datenschutzaudit soll das gesellschaftliche und individuelle Gefährdungs- und Schadenspotential durch Datenschutzverletzungen reduzieren. Schäden durch Datenschutzverletzungen sind oft weder wiedergutzumachen noch monetarisierbar und ausgleichsfähig. Selbst wenn dies der Fall wäre, scheuen sich die Geschädigten, Ansprüche geltend zu machen, weil sie das Prozeßrisiko aufgrund der Informationsasymmetrie scheuen. Da nachträgliche Korrekturmaßnahmen nur bedingt greifen, sind Präventivmaßnahmen um so wichtiger. Diese zu realisieren, ist eine wichtige Aufgabe des Datenschutzaudits.

Die Aufwendungen für die Anstrengungen zu mehr Datenschutz sollen zu einer Internalisierung von Kosten führen, die bisher bei der Verarbeitung personenbezogener Daten zu Lasten Dritter oder der Allgemeinheit externalisiert werden. Nur wer diese Internalisierung vornimmt, soll den Vorteil der Werbemöglichkeit haben.

Das Datenschutzaudit sollte weiter zu einer Unterstützung und Entlastung der Datenschutzbeauftragten und Aufsichtsbehörden beitragen. Es sollte zu einer verbesserten Umsetzung von Datenschutzanforderungen und deren Kontrolle führen.

Daß durch das Datenschutzaudit keine Wettbewerbsverzerrungen eintreten, liegt auch im öffentlichen Interesse. Für das Datenschutzaudit müssen Mitnahmeeffekte weitgehend ausgeschlossen werden. Vielmehr muß sichergestellt werden, daß nur tatsächliche Verbesserungen des Datenschutzes prämiert werden.

Das Datenschutzaudit sollte zu einer "Sensibilisierung des Daten- und Verbraucherschutzgedankens bei den Nutzern beitragen". Dies könnte vor allem durch seine Verwendung als Marketing-Argument geschehen.162

162Bundesrat, BT-Drs. 13/7385, 57.

 

3   Konzeption eines Datenschutzaudits

Die Konzeption eines Datenschutzaudits besteht aus mehreren Elementen. Notwendig sind Festlegungen hinsichtlich des Auditierungskonzepts, des Gegenstandsbereichs, der Teilnehmer, der Kriterien und des Verfahrens. Hinsichtlich der Außenwirkung des Datenschutzaudits ist zu klären, wie eine überprüfung des Audits erfolgen soll, wie die auditierten Unternehmen registriert werden und wie sie das Ergebnis der Auditierung verwenden dürfen. Schließlich ist zu klären, in welchem Verhältnis das Datenschutzaudit zu der bereits eingeführten Institution des betrieblichen oder behördlichen Datenschutzbeauftragten stehen soll. Bevor diese einzelnen Elemente einer Datenschutzaudit-Konzeption erörtert werden, soll das Vorbild des Umweltschutz-Audit kurz vorgestellt werden.

3.1   Vorbild Umweltschutz-Audit

Die Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft" des Deutschen Bundestags forderte ausdrücklich, daß für eine Modernisierung des Datenschutzes "Modelle in Analogie zu bestehenden, international anerkannten Systemen wie der Zertifizierung von Qualitätsmanagement (insbesondere ISO 9000er-Reihe), dem Umwelt-Audit (ISO 14000er-Reihe und EU-Umwelt-Audit-RL163) oder den Common Criteria im Sicherheitsbereich u.ä. in Betracht gezogen werden" sollten.164

Da das Umweltschutz-Audit nach der EG-UAVO gegenüber der Auditierung nach ISO 14.001 das weitergehende Modell ist, soll das Umweltschutz-Audit an diesem erläutert werden. Auf die Alternativen, die die ISO-Normen zum Qualitätsmanagement bieten, wird später ergänzend eingegangen.165

163Gemeint ist die EG-Umweltaudit-Verordnung.
164Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11003, 24.
165S. Kap. 4.2.

 

3.1.1  Regelungskonzept des Umweltschutz-Audits

Seit dem 11. April 1995 gilt in der gesamten Europäischen Gemeinschaft die EG-Verordnung "über die freiwillige Beteiligung gewerblicher Unternehmen an einem Gemeinschaftssystem für das Umweltmanagement und die Umweltbetriebsprüfung" (EG-UAVO)166. Diese unmittelbar geltende EG-Verordnung wird ergänzt durch das Umweltauditgesetz (UAG)167 und vier Rechtsverordnungen168, die zur ihrer innerstaatlichen Umsetzung ergangen sind.

Entsprechend Art. 20 UAVO hat die Europäische Kommission nach fünf Jahren Erfahrung mit dem Umweltschutz-Audit am 30.10.1998 einen Vorschlag für eine Revision der UAVO vorgelegt.169 Dieser Vorschlag sieht vor, das weitgehend vergleichbare Umweltschutz-Audit-Verfahren der ISO-Norm 14.001 zu übernehmen und um die außenwirksamen Bestandteile der bisherigen UAVO zu ergänzen.170 Mit einer Umsetzung dieses Vorschlags ist in etwa einem Jahr zu rechnen.171 Im folgenden wird daher das derzeit noch geltende Konzept des Umweltschutz-Audits dargestellt. Veränderungen durch den UAVO-RevE werden in den Fußnoten beschrieben.

Durch das Umweltschutz-Audit sollen die Eigenverantwortung des Unternehmens für seine Umweltauswirkungen und sein Umweltmanagement gestärkt und Vollzugsdefizite verringert werden. Die Teilnahme an dem Verfahren ist freiwillig. Als Anreiz wird dem erfolgreich teilnehmenden Unternehmen ermöglicht, mit der zertifizierten Umwelterklärung Image-Werbung in der öffentlichkeit zu betreiben und sich im Wettbewerb von anderen, nicht oder nicht erfolgreich teilnehmenden Unternehmen zu unterscheiden.

Gegenstand des Umweltaudits sind die Aktivitäten eines Unternehmens172 an einem Standort.173 Für diesen Standort geht das Unternehmen eine Selbstverpflichtung ein, die einschlägigen Umweltrechtsvorschriften einzuhalten174 und das bestehende betriebliche Umweltschutzniveau kontinuierlich zu verbessern.175 Als anzustrebender Umweltschutzstandard gilt die jeweils wirtschaftlich vertretbare Anwendung der besten verfügbaren Umwelttechnik.176 Das Verfahren wird in neun Schritten durchgeführt, die sich zu drei Abschnitten zusammenfassen lassen.

I. Herstellung der Eingangvoraussetzungen

Bevor das eigentliche Audit beginnen kann, sind in einem interessierten Unternehmen die Eingangsvoraussetzungen zu schaffen. Die geschieht in vier Schritten.

  1. Das Unternehmen verpflichtet sich auf der höchsten Managementebene schriftlich zu einer bestimmtenn Umweltpolitik, die im Einklang mit den Verordnungszielen steht, indem es Gesamtziele und Handlungsgrundsätze für den betrieblichen Umweltschutz beschreibt.
  1. Das Unternehmen führt selbst eine Umweltprüfung am Standort durch. Diese schließt mit einer Bestandsaufnahme des Umweltstatus - Ermittlung aller relevanten Umwelteinwirkungen des Standortes - und des Umweltrechtsstatus - Darstellung aller für den Standort relevanten Umweltrechtsnormen, Verwaltungsvorschriften und Verwaltungsakte - ab.177
  1. Auf dieser Grundlage erstellt das Unternehmen ein Umweltprogramm mit den konkreten Umweltzielen, einem Katalog konkreter Maßnahmen und einem Fristenplan zu deren Umsetzung.
  1. Parallel zum Umweltprogramm wird ein Umweltmanagementsystem eingerichtet, das die Organisationsstruktur, die Zuständigkeiten sowie die Verfahren, Abläufe und Mittel zur Verwirklichung der betrieblichen Umweltpolitik festlegt.178

II. Interne periodische Prüfung

Nach der Einführung dieser organisatorischen Voraussetzungen folgt das eigentliche Auditverfahren.

  1. In einer von dem Unternehmen selbst durchgeführten Umweltbetriebsprüfung wird systematisch analysiert und dokumentiert, ob Organisation, Management und Betriebsabläufe mit der Umweltpolitik und dem Umweltprogramm übereinstimmen. Am Ende der jeweiligen Planungsperiode, spätestens jedoch alle drei Jahre, ist die Umweltbetriebsprüfung zu wiederholen. In ihr werden dann vor allem die Veränderungen im Planungszeitraum erfaßt und bewertet.
  1. Als Ergebnis der jeweiligen Umweltbetriebsprüfung verfaßt das Unternehmen eine Umwelterklärung179. Diese ist für die öffentlichkeit bestimmt und enthält eine Darstellung der Umweltpolitik, des Umweltprogramms und des Umweltmanagementsystems, eine Standortbeschreibung, eine Zusammenfassung der Umweltauswirkungen mit zusammengefaßten Zahlenangaben und deren Beurteilung.180

III. Validierung und Registrierung

Nach den internen Teilen des Audits folgt der dritte, nach außen gerichtete Abschnitt: die externe Prüfung und die Kommunikation mit der öffentlichkeit.

  1. Ein zugelassener unabhängiger Umweltgutachter prüft, ob Umweltpolitik, Umweltprogramm, Umweltmanagementsystem, Umweltbetriebsprüfung und Umwelterklärung den Anforderungen der Verordnung entsprechen.181 Wenn alle Voraussetzungen erfüllt sind, bestätigt er die Umwelterklärung.
  1. Im Falle einer positiven Validierung durch den externen Gutachter wird die Umwelterklärung veröffentlicht und an die zuständige Behörde zur Standortregistrierung im Verzeichnis der am Umweltschutz-Audit teilnehmenden Unternehmen weitergeleitet.182 Der Standort wird aus dem Verzeichnis gestrichen, wenn die Registrierungsstelle feststellt, daß er nicht mehr alle Anforderungen der Verordnung erfüllt.183 Die Eintragung wird abgelehnt oder vorübergehend aufgehoben, wenn die Umweltbehörde einen Verstoß gegen einschlägige Umweltvorschriften gemeldet hat.184 Als registerführende Behörde fungieren die Industrie- und Handelskammern und die Handwerkskammern.185
  1. Aufgrund der Standortregistrierung ist das Unternehmen berechtigt, eine Teilnahmeerklärung, wie sie in Anhang IV der EG-UAVO dargestellt ist,186 für Image-Werbung zu nutzen.187 Sie darf auf Schautafeln am Standort, auf dem Briefkopf, auf den Umwelterklärungen des Unternehmens, in Broschüren, Presseinformationen und allgemeiner Werbung des Unternehmens genutzt werden.188 Die Verwendung zur Produktwerbung ist allerdings untersagt, da die Prüfung sich auf das Managementsystem und nicht auf ein Produkt erstreckt hat.189

Die externen Gutachter müssen für einen bestimmten Unternehmensbereich zugelassen werden. Für diesen müssen sie nachweisen, daß sie die erforderliche Zuverlässigkeit, Fachkunde und Erfahrung besitzen.190 Als Zulassungsstelle fungiert die Deutsche Akkreditierungs- und Zulassungsgesellschaft für Umweltgutachter mbH (DAU),191 deren Gesellschafter der Bundesverband der Deutschen Industrie, der Deutsche Industrie- und Handelstag, der Zentralverband des Deutschen Handwerks und der Bundesverband Freier Berufe sind.192 Sie ist mit der Zulassung und Beaufsichtung der Umweltgutachter beliehen.193 Die Prüfungsrichtlinien für die Zulassung und die Ermessensrichtlinien für die Aufsicht über die Umweltgutachter werden von einem pluralistisch besetzten Umweltgutachterausschuß festgelegt.194 Die DAU und der Ausschuß stehen unter der Aufsicht des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit.

Die Zulassungs-, Aufsichts- und Registrierungsverfahren sind im UAG mit 39 Paragraphen und in drei Verordnungen mit insgesamt 20 Paragraphen sehr detailliert geregelt.195

166Verordnung (EWG) Nr. 1836/93 des Rates vom 29.6.1993, EG-ABl. Nr. L 168/1.
167Gesetz vom 7.12.1995, BGBl I, 1591.
168Verordnung über das Verfahren zur Zulassung von Umweltgutachtern und Umweltgutachterorganisationen sowie zur Erteilung von Fachkenntnisbescheinigungen nach dem
Umweltauditgesetz (UAG-Zulassungsverfahrensverordnung - UAGZVV) vom 18.12.1995, BGBl I, 1841; Verordnung über die Beleihung der Zulassungsstelle nach dem
Umweltauditgesetz (UAG-Beleihungsverordnung - UAGBV) vom 18.12.1995, BGBl I, 2013; Verordnung über Gebühren und Auslagen für Amtshandlungen der
Zulassungsstelle und des Widerspruchsausschusses bei der Durchführung des Umweltauditgesetzes (UAG-Gebührenverordnung - UAGGebV) vom 18.12.1995, BGBl I, 2014;
Verordnung nach dem Umweltauditgesetz über die Erweiterung des Gemeinschaftssystems für das Umweltmanagement und die Umweltbetriebsprüfung auf weitere Bereiche
(UAG-Erweiterungsverordnung – UAG-ErwV) vom 3.2.1998, BGBl I, 338.

169KOM (1998) 622 endgültig, EG ABl. Nr. C 400/7 vom 22.12.1998.
170S. zum Revisionsentwurf u.a. Krisor, ökologisches Wirtschaften 3-4/1998, 25; Lütkes/Ewer, NVwZ 1999, 19; Frings/Schmidt 1998, 395 ff.
171S. hierzu näher Lütkes/Ewer, NVwZ 1999, 25f.
172Aufgrund der Erweiterung des Teilnehmerkreises führt Art. 2 l UAVO-RevE entsprechend ISO 14.001 Nr. 3.12 für die Teilnehmer den Begriff der "Organisation" ein - s.
hierzu näher Lütkes/Ewer, NVwZ 1999, 22f.

173Art. 3 UAVO. S. hierzu auch Art. 2 l Abs. 2 Satz 2 und 2 m UAVO-RevE, für die trotz des Organisationsbegriffs der Standort die entscheidende Prüfeinheit bleibt.
174S. hierzu UAVO-RevE Anhang I B 1. Die Organisationen müssen außerdem Verfahren eingerichtet haben, die sie dazu befähigen, die Anforderungen der
Umweltrechtsvorschriften andauernd einzuhalten.

175S. UAVO-RevE Anhang I B 2.
176Art. 3a UAVO. Diese Anforderung fehlt in der UAVO-RevE. Diese Forderung ist für genehmigungsbedürftige Anlagen jedoch in der Richtlinie 96/61/EG vom 24.9.1996 über
die integrierte Vermeidung und Verminderung der Umweltverschmutzung – EG ABl. 1996, Nr. L 257, 26 - enthalten und für diese Anlagen damit weiterhin Teil der
objektiven Prüfkriterien – s. näher Lütkes/Ewer, NVwZ 1999, 24.

177Nach der UAVO-RevE solle die Reihenfolge zwischen 1. und 2. entsprechend ISO 14.001 umgedreht werden – s. Art. 3 Nr. 1a UAVO-RevE und Lütkes/Ewer,
NVwZ 1999, 21.

178Nach Art. 3 Nr. 1 b UAVO-RevE muß das Managementsystem die Anforderungen des Anhangs I A und I B erfüllen. Der Anhang I A stellt die wörtliche übernahme der Nr. 4
der ISO 14.001, ihres Hauptteils, dar. Der Anhang I B enthält weitergehende Anforderungen, insbesondere zur Kommunikation mit der öffentlichkeit. S. näher
Lütkes/Ewer, NVwZ 1999, 23.

179S. Art. 5 UAVO. Nach Art. 3 Nr. 1 d und Anhang III UAVO-RevE sollen die Anforderungen an die Umwelterklärung weiter differenziert werden – s. näher Krisor,
ökologisches Wirtschaften 3-4/1998, 27; Lütkes/Ewer, NVwZ 1999, 24; s. hierzu auch Kap. 3.6.1.

180Nach Art. 3Nr. 2 b UAVO-RevE muß die Umwelterklärung jedes Jahr novelliert und validiert werden, um die Registrierung beizubehalten.
181S. Art. 4 UAVO; s. hierzu auch Art. 3 Nr. 1 e und Anhänge III 3.2 und 3.3 sowie V 5.4.
182S. Art. 8 UAVO. Nach Art. 3 Nr. 2 UAVO-RevE wird die Beibehaltung der Registrierung davon abhängig gemacht, daß die Organisationen das Umweltmanagementsystem
und das Programm für die Umweltbetriebsprüfung nach Anhang V 5.6 von Umweltschutzgutachtern prüfen lassen und jährlich validierte Neufassungen der Umwelterklärung
der zuständigen Stelle übermitteln und öffentlich zugänglich machen.

183S. Art. 8 Abs. 3 UAVO.
184S. Art. 8 Abs. 4 UAVO.
185S. § 32 UAG.
186Nach Art. 8 UAVO-RevE soll ein spezielles Logo eingeführt werden, um den Bekanntheitsgrad des Umweltschutz-Audits zu erhöhen – s. hierzu auch Storm,
NVwZ 1998, 343f.

187Der Entwurf der EG-Kommission, EG ABl. Nr. C 76,2 vom 27.3.1992, sah in Anhang 3 noch ein spezielles Logo vor. Sowohl auf Drängen der Umweltverbände als auch
der Industrie wurde dieses jedoch nicht in die UAVO übernommen, sondern durch das EG-Emblem mit den Sternen der Mitgliedstaaten sowie einer beigefügten
"kleingedruckten" Teilnahmeerklärung mit Hinweis auf die auditierten Standorte ersetzt – s. hierzu Führ, EuZW 1992, 473f.; Führ, NVwZ 1993, 858; Sellner/Schnutenhaus,
NVwZ 1993, 931; Vetter 1998, 215 ff.

188S. z.B. auch Sellner/Schnutenhaus, NVwZ 1993, 931; Scherer, NVwZ 1993, 14; Vetter 1998, 223 ff.
189S. Art. 10 UAVO. Nach Art. 8 Abs. 2 UAVO-RevE sollen die Werbevorschriften gelockert werden. Nach dieser Vorschrift soll das Logo im Zusammenhang mit
umweltbezogener Information der Tätigkeiten, Produkte und Dienstleistungen einer Organisation verwendet werden dürfen. Voraussetzung hierfür ist nach Art. 8 Abs. 3
UAVO-RevE, daß es sich um Aussagen handelt, die in der Umwelterklärung validiert worden sind. Das Logo darf jedoch nach Art. 8 Abs. 4 UAVO-RevE nicht in
allgemeiner Werbung für Produkte, Tätigkeiten und Dienstleistungen eingesetzt werden. Es darf außerdem nicht bei vergleichenden Werbeaussagen verwendet und nicht auf
Produkten und ihrer Verpackung angebracht werden.

190S. hierzu §§ 5 - 7 UAG.
191S. § 28 UAG.
192Zur vorhergehenden Auseinandersetzung, ob für die Zulassung der Gutachter und die Aufsicht über sie eine Behörde oder eine Selbstverwaltungseinrichtung der Wirtschaft
zuständig sein sollte, s. z.B. Lübbe-Wolff, DVBl. 1994, 368; Ewer, NVwZ 1995, 458; Lütkes, NVwZ 1996, 231; Kothe 1996, 11.

193S. UAG-Beleihungsverordnung.
194S. §§ 21 -27 UAG
195Dies ist die mit Abstand ausführlichste und längste Umsetzungsregelung in Europa – wie die Sachverständigenkommission zum Umweltgesetzbuch kritisch bemerkt,
UGB-E 1998, 752.

 

3.1.2  Erfahrungen mit dem Umweltschutz-Audit

In der Bundesrepublik Deutschland begann die Anwendung des Umweltschutz-Audit im Sommer 1995, so daß inzwischen auf mehr als drei Jahre Erfahrung – den ersten Auditierungszyklus – zurückgeblickt werden kann. Die bisherigen Erfahrungen mit dem noch jungen Umweltschutz-Audit sind differenziert, aber überwiegend positiv. Es wird von vielen Unternehmen akzeptiert, verändert die unternehmensinternen Strukturen und Aufmerksamkeiten und zeigt erste Verbesserungsergebnisse.196

Der Deutsche Bundestag hat am 22.6.1995 zu dem von ihm beschlossenen UAG eine Entschließung angenommen, in der in Nummer 5 die Bundesregierung aufgefordert wird, "dem Deutschen Bundestag bis zum 31. Dezember 1997 über die Erfahrungen mit dem Vollzug des Gesetzes, insbesondere mit der Zulassungsstelle und dem Umweltgutachterausschuß zu berichten".197 Am 18.6.1998 hat die Bundesregierung ihren "Bericht über die Erfahrungen mit dem Vollzug des Umweltauditgesetzes (UAG)" vorgelegt.198

Nach diesem Bericht hat die DAU bis zum 31.12.1997 437 Zulassungsverfahren (einschließlich Wiederholungsprüfungen) durchgeführt. Bei einer Duchfallquote von 59,5% wurden insgesamt 198 Umweltgutachter zugelassen. Darunter befinden sich 29 Umweltgutachterorganisationen. Darüber hinaus erhielten 99 Personen eine Fachkundebescheinigung nach § 8 UAG.199 Bis Ende 1998 wurden 229 Umweltgutachter, davon 33 Umweltgutachterorganisationen zugelassen.200 Die Gebühren für die Zulassung betrugen zwischen 8.200 und 9.000 DM. Aus der relativ geringen Zahl von Widersprüchen gegen die Verwaltungsentscheidungen der DAU schließt die Bundesregierung, daß diese hohe Akzeptanz genießen und die hohen Durchfallraten ein Zeichen für das hohe Fachkundeniveau der Zulassungsverfahren sind.201

Bis Ende 1997 wurden von der DAU 28 Fälle von Anlaßaufsicht bearbeitet. Gegenstand der Aufsichtsverfahren waren unter anderem Verstöße gegen die Zeichnungsbefugnis, Fragen der Unparteilichkeit oder Validierung ohne erforderliche Zulassung für den begutachteten Unternehmensbereich.202

Die Industrie- und Handelskammern und die Handwerkskammern haben durch schriftliche Vereinbarung den Deutschen Industrie- und Handelstag (DIHT) als "gemeinsame Stelle" nach § 32 Abs. 2 UAG benannt. Der DIHT hat somit die Aufgabe, jährlich ein fortgeschriebenes Verzeichnis der registrierten Betriebsstandorte zu erstellen und an die zuständigen Stellen zu übermitteln. Die Handwerkskammern habe die Registrierung auf 20 Kammern konzentriert, während die Industrie- und Handelskammern 44 Registrierungsstellen unterhalten. Für die Registrierung erheben die Kammern eine Gebühr, die sich im Durchschnitt auf 811,28 DM belief. Für die Bundesregierung hat sich die übertragung der Registrierung auf die Kammern als richtig erwiesen. Die Kammern genießen als Selbstverwaltung der Wirtschaft bei den Unternehmen Vertrauen. Daher werden sie in der Regel sehr frühzeitig bei bevorstehenden Validierungen und Registrierungen um Rat gefragt, können also in der Regel bereits im Vorfeld drohende Konflikte durch Gespräche mit Unternehmen und Gutachtern vermeiden. Andererseits haben sie bewiesen, daß sie in der Lage sind, Verstöße zu ahnden.203

Die Beteiligung der zuständigen Umweltbehörden nach § 33 Abs. 2 UAG hat sich als Verfahren bewährt. Eine geringe Zahl von Registrierungen mußte aufgrund von Hinweisen der Umweltbehörden zunächst ausgesetzt werden. Von den ausgesetzten Fällen wurde die Mehrzahl dadurch gelöst, daß das Unternehmen Nachbesserungen vorgenommen hat und die Behörde ihre Bedenken zurückstellen konnte. In einzelnen Fällen haben Unternehmen ihren Antrag zurückgenommen, weil der Einwand der Behörde sich als durchgreifend und eine Nachbesserung sich als nicht möglich erwies.204

Die Zugänge zum Standortregister belaufen sich auf circa 40 Neueinträge pro Monat. Ende 1997 waren 1035 Standorte in Deutschland eingetragen.205 Ende 1998 betrug die Zahl bereits 1734.206 Aufgrund der UAG-Erweiterungsverordnung ist mit einer weiteren Steigerung der Neuteilnahmen zu rechnen, da durch sie weiteren Branchen die Teilnahme ermöglicht wurde. Die größte Gruppe der bisherigen Teilnehmer stammt aus dem Ernährungsgewerbe (11,9%) und der Chemie (11,9%). Es folgen Unternehmen aus dem Stahl- und Leichtmetallbau (8,9%), dem Maschinenbau (8,6%), der Kunststoffherstellung (7,2%) sowie der Automobilindustrie (6,1%).207 44% der Standorte haben mehr als 250 Mitarbeiter, 37% haben 50 bis 250 Mitarbeiter und 19% weniger als 50 Mitarbeiter.208

Deutschland hat allein mehr registrierte Standorte als alle übrigen EG-Mitgliedstaaten zusammen. Aber auch in anderen Mitgliedstaaten wie österreich (108), Schweden (87) und Dänemark (43) sowie Norwegen (30) läßt sich im Vergleich zur Einwohnerzahl ebenfalls eine hohe Teilnahmebereitschaft feststellen.209 In anderen Mitgliedstaaten wie Großbritannien (48), den Niederlanden (20) und Italien (1) bleibt die Zahl der registrierten Standorte deutlich hinter den Zertifizierungszahlen nach der Umweltmanagementnorm ISO 14.001 in diesen Ländern zurück. Besonders zurückhaltend ist die Teilnahmebereitschaft am EG-System in Frankreich.210 Im Verhältnis hierzu war die Umweltmanagementnorm ISO 14.001 in Europa erfolgreicher. Nach ihr ließen sich bis Juni 1998 bereits 2.448 Unternehmen zertifizieren.211 Nur in der Bundesrepublik Deutschland und in österreich liegt das Umweltschutz-Audit nach der UAVO vorn.212

Zur Evaluierung des Umweltschutz-Audits wurden zahlreiche empirische Untersuchungen durchgeführt, die alle im wesentlichen zu den gleichen Ergebnissen kommen. Im folgenden werden wichtige Ergebnisse der Untersuchungen des Umweltgutachterausschusses (UGA), der Arbeitsgemeinschaft Selbständiger Unternehmer e.V. (ASU) und der Verwaltungshochschule Speyer vorgestellt.

Als Kosten für die Einführung des Umweltmanagementsystems einschließlich der betriebsinternen Kosten wurden zwischen 6.000 DM und 800.000 DM angegeben. Als arithmetisches Mittel ergab sich ein Betrag von 102.241 DM.214

Die ASU-Befragung hat außerdem ergeben, daß 59% der Unternehmen technische änderungen an vorhandenen Anlagen vorgenommen haben. In 49% der Unternehmen wurden Problemstoffe verringert oder substituiert. In 37% der Unternehmen wurde unter Einsatz neuer Technik das Produktionsverfahren umgestellt. 33% der Unternehmen haben ihre Produktplanung und 34% das Transportwesen nach ökologischen Kriterien optimiert. Danach konnten Umweltentlastungen in 46% der Unternehmen durch Abfallverringerung, in 32% der Unternehmen durch Wasser-/Abwasserreduktion, in 26% durch Verminderung des Energieeinsatzes und in 22% durch Emissionsminderungen erzielt werden.216

Die Bundesregierung hat die bisherigen Erfahrungen mit dem Umweltschutz-Audit, seiner Regulierung und administrativen Durchführung "insgesamt als positiv" bewertet. Die "rege Beteiligung von Unternehmen am Umwelt-Audit-System und deren positive Erfahrungen bei der Umsetzung des Umwelt-Audit-Systems in ihren Betrieben belegen auch daß die vom UAG gesetzten Rahmenbedingungen für den Erfolg des Systems förderlich sind".218 Die ökologische Wirksamkeit konnte in einer Untersuchung des Bundesumweltministeriums und des Bundesumweltamts aus methodischen Gründen bisher nicht oder nur sehr schwierig und mit großem Aufwand objektiv und umfassend bewertet werden. An diesem Punkt wird Verbesserungsbedarf gesehen und die Bundesregierung will sich bei der Revision der UAVO für eine Verbesserung der ökologischen Wirksamkeit und ökonomischen Effizienz des Umweltschutzauditsystems einsetzen.219

196S. z.B. Freimann 1997, 563 ff.; Degenhart u.a. 1995.
197BT-Drs. 13/1755.
198BT-Drs. 13/11127.
199S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127,2.
200Lütkes/Ewer, NVwZ 1999, 20.
201S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 2f.
202S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 2f.
203S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 5.
204S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 5.
205S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 6f.
206S. Lütkes/Ewer, NVwZ 1999, 20; s. hierzu auch Frings/Schmidt 1998, 395.
207S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 7; s. hierzu auch die Tabelle in Wagner/Budde, ZUR 1997, 255.
208S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 7; s. hierzu auch die Tabelle in Wagner/Budde, ZUR 1997, 254.
209S. hierzu auch Frings/Schmidt 1998, 395.
210S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 7: alle Zahlen beziehen sich auf Ende 1997.
211S. hierzu auch Lütkes/Ewer, NVwZ 1999, 20.
212S. Schottelius, NVwZ 1998, 810.
213S. zu den Motiven auch die Tabelle in Wagner/Budde, ZUR 1997, 256.
214S. hierzu die Zusammenfassung im Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 7.
215ASU/UNI 1997, 24 ff.
216S. ASU/UNI 1997, 29 ff.; s. hierzu auch die Zusammenfassung im Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 7.
217Wagner/Budde. ZUR 1997, 258.
218S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 8; ähnlich auch Hüwels (DIHT) nach Stuer/Rüde, DVBl 1998, 86.
219S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 8.

 

3.1.3 Konsequenzen für ein Datenschutzaudit

Die Idee des Umweltschutz-Audits ist von der deutschen Wirtschaft nach anfänglichem Widerstand220 aufgenommen und umgesetzt worden. Im Gegensatz zur Wirtschaft in anderen Mitgliedstaaten hat sie das rechtlich geregelte, in seiner Außenwirkung abgesicherte und unter staatlicher Kontrolle stehende Auditverfahren dem privaten Verfahren nach ISO 14.001 weit überwiegend vorgezogen. Die Konzeption des Umweltschutz-Audits entspricht offensichtlich ihren Möglichkeiten und Bedürfnissen. Ihre Erwartungen gegenüber dem Audit werden zu einem sehr großem Teil erfüllt. Dementsprechend ist sie auch bereit, den organisatorischen und finanziellen Aufwand für die Durchführung des Auditverfahrens zu erbringen. Die Nachfrage nach dem Umweltschutz-Audit ist relativ groß, auch im Dienstleistungsbereich, bei Banken und Versicherungen, in der Landwirtschaft, im Transportgewerbe und in der öffentlichen Verwaltung. Diese und weitere Teilnehmergruppen können sich seit Inkrafttreten der UAG-Erweiterungsverordnung 1998 ebenfalls am Umweltschutz-Audit beteiligen.221

Die Gutachter, denen entscheidende Bedeutung für die Akzeptanz des Verfahrens zukommt,222 haben ebenfalls die Bedingungen der Zulassung und Aufsicht akzeptiert. Für sie hat sich durch das Umweltschutz-Audit ein neuer Geschäftsbereich eröffnet.

Die Bundesregierung, insbesondere das Bundesumweltministerium, sieht das Umweltschutz-Audit ebenfalls als einen Erfolg an. Die Umweltschutzbehörden der Länder sehen im Umweltschutz-Audit eine geeignete Ergänzung und Entlastung zu ihrer Aufsichtstätigkeit und unterscheiden in ihrer Aufsichtstätigkeit zwischen auditierten und nicht-auditierten Standorten.223 In einigen Bundesländern wurden Regelungen erlassen, die Erleichterungen im Umweltordnungsrecht für auditierte Standorte vorsehen.224

In der öffentlichkeit stießen die Umwelterklärungen der Unternehmen auf großes Interesse. Mehrere Umweltinstitute veranstalteten "Rankings" deutscher Unternehmen, die in der Presse mit großer Aufmachung publiziert wurden.225 Daher kann auch davon ausgegangen werden, daß der Kommunikationsaspekt des Umweltschutz-Audits in der öffentlichkeit weitgehend angenommen wird. Die Unternehmen haben die Erfahrung gemacht, daß sie eine breite Palette von Anspruchsgruppen mit Ihren Umweltberichten und -erklärungen erreichen können. Sie werden etwa zu 22% an Mitarbeiter, zu 16% an Medien, zu 15% an Kunden, zu 110% an Lieferanten, zu 13% an die öffentlichkeit am Standort, zu 8% an Behörden, zu ebenfalls 8% an Verbände und zu weiteren 8% an Sonstige abgegeben.226

Für die Unternehmen haben die Umweltschutz-Audits auch Auswirkungen auf deren Haftungssituation. Die Umweltbetriebsprüfungen vermögen zum einen - als eine Art Frühwarnsystem – das tatsächliche Haftungsrisiko zu senken, indem Risiken erforscht, vermindert und kontrolliert werden und die Einhaltung von Sorgfaltspflichten gewährleistet wird. Zum anderen kann ein funktionierendes Umweltmanagementsystem sowohl faktisch als auch rechtlich die Ausgangssituation für die Gefährdungshaftung nach UmwHaftG, die Verschuldenshaftung nach § 823 BGB und die strafrechtliche Verantwortlichkeit verbessern.227 Für ein Datenschutzaudit sind ähnliche Auswirkungen zu erwarten. Nach § 7 Abs. 1 Satz 2 BDSG-E entfällt die Ersatzpflicht aus der Verschuldenshaftung nach Satz 1, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Dieser Nachweis wird mit einem Datenschutzaudit erheblich leichter fallen als ohne ein solches.

Wie hoch der Effekt des Umweltschutz-Audits für die Umwelt ist, kann aus methodischen Gründen nicht oder nur sehr schwierig und mit großem Aufwand objektiv und umfassend bewertet werden. Jedenfalls führt das Umweltschutz-Audit zu einer Verringerung des Ressourcenverbrauchs und der Emissionen in den auditierten Betrieben.

Insgesamt kann das in der gesamten Europäischen Gemeinschaft geltende Verfahren des Umweltschutz-Audits als Vorbild für die Konzeption eines Datenschutzaudits genommen werden. Allerdings muß immer wieder geprüft werden, inwieweit es für die völlig andere Zielsetzung des Datenschutzes als tauglich erscheint. Zwei grundsätzliche Unterschiede sind bereits hier zu nennen, auch wenn erst später daraus Konsequenzen gezogen werden.

Für das Umweltmanagementsystem sind die Grundrechte der Nachbarn oder eventuell auch der Käufer des produzierten Produkts zwar zu beachten, stehen aber nicht im Mittelpunkt der Anstrengungen. Sie sind von der Tätigkeit der Organisation eher indirekt betroffen. Die besondere Kommunikationsmöglichkeit des Umweltschutz-Audits richtet sich daher nicht vorwiegend und nicht schwerpunktmäßig an die Nachbarn oder Produktkäufer, sondern breiter und gleichmäßiger an alle Anspruchsgruppen. Dagegen besteht etwa im Bereich der Teledienste eine direkte und damit viel stärkere Verbindung zwischen Anbieter und Nutzer. Die personenbezogenen Daten des Nutzers sind - unter anderem - unmittelbar Gegenstand der Kooperation. Das Vertrauen des Nutzers in die korrekte Datenverarbeitung ist unmittelbare Voraussetzung der Kooperation.228 Die besondere Kommunikationsmöglichkeit des Datenschutzaudits dürfte daher überwiegend und unmittelbar auf den Nutzer ausgerichtet sein.229 Dies mag für andere Anwendungsfelder der Verarbeitung personenbezogener Daten nicht im gleichen Maß gelten. Werden die Daten Dritter verarbeitet, könnte sich die Situation des Datenschutzaudits stärker der des Umweltschutz-Audits annähern. Ein gradueller Unterschied dürfte aber auch in diesem Fall bestehen.

Der zweite Unterschied betrifft den Gegenstandsbereich des Datenschutzaudits und die daraus abzuleitende Werbemöglichkeit. Gegenstandsbereich des Umweltschutz-Audits ist der Standort. Daher gilt der Grundsatz: Die Werbemöglichkeit kann sich nur auf den auditierten Standort, nicht aber auf ein nicht auditiertes Produkt beziehen.230 Für die Datenverarbeitung und insbesondere für Teledienste scheidet der Standort als tauglicher Gegenstandsbereich aus. Vielmehr hat sich das Audit auf die jeweilige Anwendung zu beziehen.231 Da aber - wie bei Telediensten - oft die Anwendung das "Produkt" des datenverarbeitenden Unternehmens ist und das Angebot des Unternehmens sich auf die Anwendung beschränkt, läßt sich eine klare Unterscheidung zwischen "Unternehmen" "Anwendung" und "Produkt" nicht treffen. Die Konzeption des Datenschutzaudits muß daher auf die Grundüberlegung auch des Umweltschutz-Audits zurückkehren, daß die Werbemöglichkeit sich nur auf den auditierten Gegenstand beziehen kann. Diese Grundüberlegung muß beim Datenschutzaudit zu anderen Ergebnissen wie beim Umweltschutz-Audit führen: Mit dem Datenschutzauditzeichen darf für die auditierte Anwendung - innerhalb der Anwendung und in der allgemeinen Unternehmenswerbung - geworben werden.232

Trotz dieser Unterschiede empfiehlt es sich, das Datenschutzaudit an dem Vorbild des Umweltschutz-Audits zu orientieren. Für die übertragung von Erkenntnissen aus dem Bereich des Umweltschutz-Audits auf den des Datenschutzaudits werden im folgenden die umweltrechtlichen Regelungen nicht noch einmal wiederholt. Auf sie wird - soweit erforderlich - in den Fußnoten hingewiesen. Vielmehr wird ihr Gehalt - soweit sinnvoll - bereits auf das Datenschutzaudit übertragen.

220S. hierzu Schottelius, BB 1997, Beilage 2, 8; s. zu den anfänglichen Bedenken aus rechtlicher Sicht z.B. Kloepfer, DB 1993, 1129.
221S. hierzu näher Knopp, BB 1998, 1121 ff.
222S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 8.
223S. hierzu auch Sellner/Schnutenhaus, NVwZ 1993, 932.
224Dies wird von Art. 10 Abs. 2 UAVO-RevE den Mitgliedstaaten zur Aufgabe gemacht – s. hierzu auch Lütkes/Ewer, NVwZ 1999, 24. S. zu Möglichkeiten der
"Deregulierung" z.B. Feldhaus, UPR 1997, 341; Kniep, GewArch. 1997, 142; IHK Frankfurt (Oder) 1996; Lübbe-Wolff, ZUR 1996, 173; Hansmann 1996, 214 ff.;
Rhein 1996, 209 ff.; Spindler, ZUR 1998, 289.

225S. z.B. Capital 5/1998 vom 24.4.1998: "Der Shareholder-Value wird grün"; Hönes/Küppers 1998.
226S. Clausen/Fichter, 1995, 67.
227S. hierzu Schneider, Verwaltung 1995, 367, 381f.; Falk, EuZW 1997, 593; Ganse/Gasser/Jasch 1997, 17, 109 ff.; Dombert 1998, 249 ff.; Strate/Wohlers 1998, 267 ff..
228S. hierzu Kap. 1.
229Ohne daß dies die Kommunikation mit anderen Anspruchsgruppen in irgendeiner Weise ausschließt.
230Das Werbeverbot für Produkte soll jedoch nach dem UAVO-Rev-E gelockert werden - s. hierzu näher Kap. 3.6.
231S. näher Kap. 3.3.2.
232S. näher Kap. 3.6.

 

3.2  Auditierungskonzept

Das entscheidende Mittel, um die genannten Ziele zu erreichen, ist die Einführung eines Datenschutzmanagementsystems und dessen wiederkehrende interne und externe überprüfung und Verbesserung. Entsprechend seiner Herkunft aus dem Lateinischen (audire - hören) bezeichnet Audit eine strukturierte Anhörung betroffener Personenkreise durch kompetente Prüfer.233 Dieser Begriff ist seit längerem im Sprachschatz der Wirtschaftsprüfer zu finden und meint dort eine Rechnungs- oder Buchprüfung. Auditverfahren können verschiedene Ziele verfolgen. Sie können einmal der überprüfung der übereinstimmung des Unternehmenshandelns mit den geltenden Vorschriften dienen (Kontrollaudit), der Beurteilung des Firmenwertes (Aquisitionsaudit)234, der Bewertung von Produkten (Produktaudit) und der überprüfung von Organisationsstrukturen und -abläufen (Systemaudit).235

233Kothe 1996, 5.
234S. Scherer, NVwZ 1993, 12.
235Dabei besteht jedoch keine einheitliche Verwendung der jeweiligen Terminologie, s. z.B. Heuvels, Umwelt-Wirtschafts-Forum 1993, Heft 3, 44; zu den verschiedenen
Formen von Audits s. z.B. auch Köck, JZ 1995, 643f.; Janke 1995, 38 ff.; Rhein 1996, 9 ff.; Lechelt 1998, 18f.

 

3.2.1 Systemaudit

Wie bereits ausgeführt, würde die Ausgestaltung des Datenschutzaudits als eines öffentlichen, rechtlich geregelten Verfahrens im Form eines reinen Kontroll-Audits zu kurz greifen. Für viele Unternehmen mögen interne Kontrollen, ob sie die geltenden Datenschutzbestimmungen einhalten, sinnvoll sein. In dieser Hinsicht mag das Diskursprojekt "quid!", das ein Gütesiegel für die Einhaltung rechtlicher Anforderungen an den betrieblichen Datenschutz untersucht, seine Berechtigung haben.236 Die gleiche Zielrichtung verfolgt die vom Landesdatenschutzbeauftragten Schleswig-Holstein vorgeschlagene Regelung, Verfahren zur Verarbeitung personenbezogener Daten im Bereich der Landesverwaltung vorab zu überprüfen.237 Es kann aber nicht die einzige Aufgabe für ein öffentliches Datenschutzaudit sein, die Einhaltung rechtlicher Anforderungen, die für alle gelten, noch einmal gesondert zu regeln und - vor allem - zu prämieren.

Ebenso kann eine Aquisitionsbewertung keine Aufgabe für das Datenschutzaudit sein. Ein Aquisitionsaudit mag für die Eigen- oder Fremdbewertung eines Unternehmens hilfreich sein. Es ist jedoch zu bezweifeln, daß den Datenschutzvorkehrungen große Bedeutung für den wirtschaftlichen Wert eines Unternehmens zugerechnet wird.

Ein Produktaudit könnte schon eher die Zielsetzungen des Datenschutzaudits erfüllen. Ein solches haben wohl alle die im Sinn, die "datenschutzfreundliche Produkte auf dem Markt" fördern wollen,238 die einen "Blauen Engel" für datenschutzfreundliche Produkte fordern239 oder die ein "Gütesiegel" vorsehen wollen.240 Dann wäre aber das Umweltqualitätszeichen241 das geeignete Vorbild,242 nicht das Umweltschutz-Audit.

Für die Qualitätsprüfung von IT-Produkten gibt es bereits die Zertifizierung von Sicherheitseigenschaften durch das Bundesamt für die Sicherheit in der Informationstechnik (BSI). Nach § 4 BSIG und der BSI-Zertifizierungsverordnung243 kann der Hersteller oder Vertreiber informationstechnischer Systeme oder Komponenten ein Sicherheitszertifikat beantragen. Erfüllt er die Voraussetzungen der beantragten Sicherheitsstufe, wird ihm das Zertifikat schriftlich erteilt. Das BSI veröffentlicht mit seiner Einwilligung die Zertifizierung in einer Liste zertifizierter Produkte. Das Zertifikat kann der Inhaber zur Information der Verbraucher und zur Produktwerbung benutzen.244

Diese Produktzertifizierung gibt es bisher nur für das Kriterium der Sicherheit im Sinn von Verfügbarkeit, Vertraulichkeit und Integrität nach § 2 BSIG. Sie könnte auf die Prüfung der Datensicherheit im Sinn des § 9 BDSG und seiner Anlage sowie produktbezogener Datenschutzanforderungen245 ausgeweitet werden und wäre insoweit sehr hilfreich. Die Regelung in § 9a BDSG-E, daß Anbieter von Datenverarbeitungssystemen und -programmen ihre technischen Einrichtungen prüfen und bewerten lassen sowie das Ergebnis veröffentlichen können, sollte in dieser Weise konkretisiert werden.246

Für Anwendungen datenverarbeitender Stellen greift eine reine Produkt-Zertifizierung jedoch zu kurz und würde für diese die Ziele des Datenschutzaudits verfehlen. Die Anwendung besteht aus mehr als nur aus technischen Einrichtungen sowie Datenverarbeitungssystemen und -programmen. Für diese kann die datenschutzfreundliche Konzeption und Ausführung in Form eines "Blauer Engels" oder eines BSI-Zertifikats geprüft und bestätigt werden.247 Dies setzt jedoch deren abschließende Qualifizierung voraus. Die Prüfung ist auf einen ganz spezifischen Gegenstand bezogen, für ein abschließendes Urteil sehr voraussetzungsvoll und muß bei jeder neuen Version des geprüften Gegenstandes erneut durchlaufen werden.248 Eine solche Prüfung ist statisch und objektbezogen.

Dagegen soll das Datenschutzaudit prozeßbezogen sein und einen dynamischen Lernprozeß initiieren. In ihm soll die Fähigkeit einer datenverarbeitenden Stelle Unternehmens überprüft und prämiert werden, flexibel auf die rasanten Veränderungen der Informations- und Kommunikationstechniken zu reagieren und die sich dadurch immer wieder neu stellenden Herausforderungen für den Datenschutz zu meistern. Daher zielt das Datenschutzaudit nicht auf die einmalige Evaluierung eines Produkts, sondern auf die Fähigkeit, immer wieder neue Lösungen zu generieren, und daher auf die kontinuierliche Verbesserung eines Datenschutzmanagementsystems. Gegenstand des Datenschutzaudits ist die Funktionsfähigkeit und Zweckmäßigkeit des organisationsinternen Datenschutzmanagements.249

Diese Bestimmung des Gegenstands und der Zielsetzung eines Datenschutzaudits beeinflussen den Prüfungsumfang und die Prüfungstiefe. Das Audit kann nicht die vollständige und abschließende Prüfung der Datenschutzkonformität eines Teledienstes oder einer sonstigen Anwendung umfassen.250 Es kann vielmehr nur auf eine überprüfung des Datenschutzmanagementsystems und der Datenschutzerklärung zielen, die als Grundlage für die Bewertung der Funktionsfähigkeit und Zweckmäßigkeit des internen Datenschutzmanagements genommen wird. Die Feststellungen und Erklärungen der verschiedenen Datenschutzverantwortlichen für eine Anwendung werden im Rahmen des internen Audits überprüft und zur zusammenfassenden Datenschutzerklärung zusammengestellt. Diese wird vom externen Datenschutzgutachter danach überprüft, ob sie mit dem geltenden Datenschutzrecht vereinbar ist und ausreichende Ansatzpunkte für eine kontinuierliche Verbesserung des Datenschutzes enthält.251 Ob die Datenschutzerklärung die tatsächliche Konzeption, Ausgestaltung und Betriebsweise der Anwendung korrekt wiedergibt, hat der externe Datenschutzgutachter stichprobenweise durch Betriebsbesichtigungen, Tests, Befragung der Beschäftigten, Protokollanalysen und ähnliche Maßnahmen zu überprüfen.252 Um es nochmals zu betonen: Das Datenschutzaudit darf nicht auf eine bürokratische Verdopplung behördlicher Kontrollen anhand abgeschlossener Kriterienkataloge hinauslaufen. Vielmehr soll sich der Gutachter von der Eignung des Datenschutzmanagementsystems überzeugen, die Einhaltung des Datenschutzrechts sicherzustellen sowie engagiert und kreativ zu einer Verbesserung des Datenschutzes beizutragen.253

Die Möglichkeit, ein solches Datenschutzaudit sinnvoll durchführen zu können, wird jedoch in Frage gestellt: Ein Datenschutzmanagementsystem sei wegen seiner Komplexität, Verzahnung mit anderen Managementsystemen und seiner ständigen Veränderung nur sehr eingeschränkt sinnvoll durch externe Gutachter auditierbar. Außerdem könne die Einhaltung so komplizierter Rechtsregelungen, wie sie das Datenschutzrecht enthält, nicht sinnvoll durch externe Gutachter überprüft werden.254 Diese Kritik verkennt zum einen, daß die Auditierung in der Regel nicht durch externe Gutachter, sondern durch das Unternehmen selbst erfolgt - unter aktiver Mitwirkung des betrieblichen Datenschutzbeauftragten.255 Umweltschutzmanagementsysteme sind ebenso kompliziert und dynamisch - und dennoch funktioniert ein Audit bei den etwa 2000 Unternehmen, die sich in der Bundesrepublik Deutschland an ihm beteiligen. Auch dürfte das Umweltrecht nicht weniger kompliziert sein als das Datenschutzrecht. Wenn kritisiert wird, ein Datenschutzaudit könne bestenfalls eine Momentaufnahme des Datenschutzmanagementsystems bewerten,256 so wird dabei zum einen verkannt, daß das Datenschutzaudit gerade die Wandlungsfähigkeit des Managementsystems bewerten soll, seine Fähigkeit also, auf die rasant sich wandelnden Anforderungen an den Datenschutz immer wieder adäquat zu reagieren. Zum anderen wird gerade der Prozeßcharakter eines Datenschutzaudits übersehen, der in aufeinanderfolgenden Prüfzyklen gerade zu einer kontinuierlichen Verbesserung des Datenschutzes beitragen soll.

Nach den überlegungen dieses Abschnitts kann festgehalten werden: Erstens soll das Datenschutzaudit eine Ressource nutzen, die für den Datenschutz bisher noch nicht genutzt wird, nämlich die Möglichkeiten eines Datenschutzmanagements.257 Dementsprechend ist das Datenschutzaudit als Systemaudit zu konzipieren. Dies bedeutet zweitens mit Blick auf die Konkretisierung der Programmnorm des § 9a BDSG-E, daß zwischen der Produktzertifizierung für technische Einrichtungen der Anbieter von Datenverarbeitungssystemen und -programmen und dem Datenschutzaudit für das Datenschutzmanagementsystem der datenverarbeitenden Stellen unterschieden werden sollte.258 Drittens darf das Datenschutzaudit nicht durch einen abschließenden Kriterienkatalog zu einem bürokratischen Soll-Ist-Vergleich erstarren. Vielmehr ist im Rahmen eines offenen Kriteriensystems vom Datenschutzgutachter die Eignung des Datenschutzmanagementsystems festzustellen und zu bewerten.259 Der Integrität und Fähigkeit des Datenschutzgutachters kommt daher eine besondere Bedeutung zu.260 Die folgenden Ausführungen beschränken sich auf das Datenschutzaudit im Sinn eines solchen Systemaudits für das Datenschutzmanagementsystem.

236S. Kap. 1.2.
237S. Kap. 1.2.
238So in der Begründung zu § 17 des Gesetzentwurfs der Bundestagsfraktion BüNDNIS90/DIE GRüNEN, BT-Drs. 13/9082, 24. In diesem Sinn könnte auch die
Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 104, verstanden werden,
wenn sie "die Möglichkeit eines Datenschutzaudits für einen guten Weg (hält), einen Anreiz für die Hersteller auf dem Gebiet der Informations- und Kommunikationstechnik
zu schaffen, ihre Produkte einer Kontrolle von Datenschutz- und Datensicherheitsfunktionen zu unterwerfen".

239So der Berliner Datenschutzbeauftragte 1997, 134.
240So die Begründung zu § 17 des MD-StV; Bachmeier, DuD 1996, 680; Engel-Flechsig, DuD 1997, 15.
241S. zum "Blauen Engel", der ohne eigentliche Rechtsgrundlage verliehen wird, z.B. Roller, EuZW 1992, 499 ff.; Wimmer, BB 1989, 565 ff. S. zur "Europäischen Blume"
EG-Verordnung über ein europäisches Umweltzeichen vom 23.3.1992, EG-ABl. L 99/1, s. zu diesem auch EG-Kommission, Entscheidung über einen Mustervertrag über die
Bedingungen für die Verwendung des Umweltzeichens der Gemeinschaft vom 15.9.1993, EG-ABl. L 243/13.

242Das Diskursprojekt "quid!" an der Fachhochschule Frankfurt am Main orientiert sich für das Gütesiegel für den betrieblichen Datenschutz an der von der Schwedischen
Zentralorganisation der Angestellten und Beamten (TCO) entwickelten Norm für die Einhaltung von Strahlungswerten für Computerbildschirme.

243BSI-Zertifizierungsverordnung vom 7.7.1992, BGBl. I 1230; s. hierzu außerdem die BSI-Kostenverordnung vom 29.10.1992, BGBl. I, 1838.
244S. hierzu z.B. Blattner-Zimmermann, DuD 1998, 222f.
245S. z.B. für ISDN-Anlagen Pordesch/Hammer/Roßnagel 1991 und Hammer/Pordesch/Roßnagel 1993; für Chipkarten Konferenz der Datenschutzbeauftragten des Bundes und
der Länder, DuD 1997, 254; Weichert, DuD 1997, 266.

246S. hierzu näher Kap. 5.1.
247Bei einem reinen Produkt-Audit käme als weiteres Problem die Integration des Produkts in seine – meist unsichere - Anwendungsumgebung hinzu.
248S. für die Datensicherheit z.B. die Produktzertifizierung durch das BSI nach dem BSIG.
249So Kothe 1996, 5 für das Umweltschutz-Audit; für das Datenschutzaudit Roßnagel, DuD 1997, 509; so dürfte wohl auch die Enquete-Kommission "Zukunft der Medien in
Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 104, zu verstehen sein, wenn sie einen Vorteil des Datenschutzaudits
darin sieht, "dem Nutzer die überprüfung des Umgangs eines Unternehmens mit personenbezogenen Daten ermöglichen".

250Zu Prüfungsumfang und -tiefe beim Umweltschutz-Audit s. z.B. Müggenborg, DB 1996, 125; Lübbe-Wolff, DVBl 1995, 367; Köck, JZ 1995, 648; Schneider,
Verwaltung 1995, 379; Hansmann 1996, 210f.; Bartram 1998, 80; Wohlfahrt/Signon 1998, 109 ff.; Ewer 1998, 116 ff.

251S. zu den Kriterien des Audits näher Kap. 3.4.
252S. für das Umweltschutz-Audit z.B. Lechelt 1998, 12.
253Zu den Konsequenzen dieser eingeschränkten Prüfung für die Werbemöglichkeiten.
254Zu beiden Argumenten s. Drews/Kranz, DuD 1998, 94.
255S. hierzu ausführlich Roßnagel, DuD 1997, 512 ff.
256So Drews/Kranz, DuD 1998, 94.
257S. hierzu für das Umweltschutz-Audit näher Theuer 1998, 59 ff.
258S. hierzu Kap.5.1.
259S. näher Kap. 3.4.
260S. hierzu näher Kap. 3.8.

 

3.2.2 Freiwilliges Audit

Das Datenschutzaudit sollte freiwillig sein.261 Für die Unternehmensvertreter, die sich bisher zum Datenschutzaudit geäußert haben ist dies eine essentielle Voraussetzung für die Akzeptanz des Datenschutzaudits.262 Die Freiwilligkeit führt zwar dazu, daß möglicherweise gerade die Unternehmen nicht am Verfahren teilnehmen, für deren Datenverarbeitung ein großer Verbesserungsbedarf und ein besonderes Interesse in der öffentlichkeit besteht.263 Für eine freiwillige Teilnahme sprechen jedoch vor allem zwei Erwägungen: Zum einen läßt die Freiwilligkeit der Beteiligung einen wesentlich größeren Raum für die Formulierung anspruchsvoller Vorgaben, die zu erreichen tatsächlich nicht alle Unternehmen in der Lage sind. Zum anderen widerspräche eine verpflichtende Teilnahme der Systematik des Instruments. Denn wenn die Eigenverantwortlichkeit der Unternehmen gestärkt werden soll, so wäre hierfür kein Raum, wenn die Teilnahme verpflichtend ist. Außerdem kommt der öffentlichkeit eine entscheidende Rolle zu, indem sie über die Marktnachfrage die Unternehmen zu einer Teilnahme veranlassen soll. Als marktorientiertes Instrument kann das Datenschutzaudit aber nur funktionieren, wenn die Teilnahme an ihm freiwillig ist. Das Datenschutzaudit ist gerade kein "Ansatz einer externen Fremdregulierung"264, sondern ein Instrument der unternehmensinternen Selbstregulierung mit öffentlicher Anerkennung.

Wenn darauf hingewiesen wird, daß größere Unternehmen sich dem freiwilligen Angebot zur Teilnahme an einem Datenschutzaudit nicht lange entziehen könnten und für sie "aus der formalen Freiwilligkeit ... ein faktischer Zwang" werde,265 so wird damit ein Effekt angedeutet, den das Datenschutzaudit gezielt erreichen will. Allerdings wird dabei verkannt, daß mit dem Datenschutzaudit kein autoritärer Zwang ausgeübt werden soll, sondern nur die Marktmechanismen für den Datenschutz ausgenutzt werden. Das Datenschutzaudit ist damit ebenso "zwanghaft" oder "freiwillig", wie die - wohl auch von den Kritikern anerkannten - Mechanismen des Wettbewerbs. Wenn Datenschutz und Datensicherheit sowie das Werben mit der Teilnahme am Datenschutzaudit zu einem Wettbewerbsfaktor werden, entsteht ein - gewollter - Wettbewerbsdruck auf konkurrierende Unternehmen. Dies zu beklagen, heißt marktwirtschaftliche Konkurrenz zu beklagen.266

Durch die Freiwilligkeit unterscheidet sich das Datenschutzaudit von Regelungen zur Vorabkontrolle oder zur Technikfolgenabschätzung. Nach Art. 20 der EG-Datenschutzrichtlinie haben die Mitgliedstaaten festzulegende Verarbeitungen personenbezogener Daten, die spezifische Risiken für die Rechte und Freiheiten der Betroffenen beinhalten können, durch die Kontrollstellen nach Art. 28 der EG-Datenschutzrichtlinie vorab überprüfen zu lassen. Diese Anforderung wurde im Entwurf zur Novellierung des Bundesdatenschutzgesetzes des Bundesinnenministeriums267 durch § 4d Abs. 5 und 6 umgesetzt. Danach sind die betrieblichen oder behördlichen Datenschutzbeauftragten für die Durchführung der Vorabkontrolle zuständig. Nach § 7 Abs. 3 des Niedersächsischen Landesdatenschutzgesetzes, nach § 7 Abs. 6 des Hessischen Landesdatenschutzgesetzes268 und nach § 20 des Entwurfs für ein Bundesdatenschutzgesetz der Bundestagsfraktion BüNDNIS90/DIE GRüNEN269 ist vor der Entscheidung über den Einsatz oder die wesentliche änderung von automatisierten Verfahren, von denen spezifische Risiken ausgehen können, eine Technikfolgenabschätzung durchzuführen. Das Ergebnis der Technikfolgenabschätzung und seine Begründung sind dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten (§ 7 Abs. 6 des Hessischen Landesdatenschutzgesetzes) oder zu veröffentlichen (§ 20 des Entwurfs für ein Bundesdatenschutzgesetz der Bundestagsfraktion BüNDNIS90/DIE GRüNEN). Die Verfahren dürfen nur eingesetzt werden, wenn sichergestellt ist, daß die spezifischen Risiken wirksam beherrscht werden können. Im Unterschied zum Datenschutzaudit ist die Durchführung der Vorabkontrolle verpflichtend. Auch findet sie nur einmalig vor dem ersten Einsatz des Verarbeitungsverfahrens statt und orientiert sich allein an der Gesetzmäßigkeit des Verfahrens. Die Vorabkontrolle liefert keinen Beitrag zur kontinuierlichen Verbesserung des Datenschutzes und zur Markttransparenz der Datenschutzanstrengungen in einer Anwendung.

261Ebenso Entschließungsantrag der SPD-Bundestagsfraktion, BT-Drs. 13/7936, 5; Vogt/Tauss 1998, 19; Bachmeier, DuD 1996, 680; Roßnagel, DuD 1997, 509; kritisch
gegenüber der freiwilligen Teilnahme am Umweltschutz-Audit Führ, EuZW 1992, 471, und Führ, NVwZ 1993, 860. Die EG-Kommission hatte in den ersten
Konzeptentwürfen zum Umweltschutz-Audit 1990 noch eine Rechtspflicht zur Teilnahme am Umweltschutz-Audit vorgesehen. Erst angesichts des massiven Widerstands
zahlreicher europäischer Industrieverbände und einiger Mitgliedstaaten ersetzte die Kommission ihr Konzept eines Zwangsaudits durch die später verabschiedete Form einer
freiwilligen Teilnahme – s. Scherer, NVwZ 1993, 16.

262S. z.B. VDMA/ZVEI, Schriftliche Stellungnahme zur Anhörung zum IuKDG am 14.5.1997; Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie
Baden-Württemberg (VMI), s. DuD 1999,281 ff.; Königshofen, DuD 1999, 266 ff..

263Aus diesem Grund enthält § 14 des Allgemeinen Teils des vorgeschlagenen Umweltgesetzbuchs eine Verpflichtung für Großbetriebe, eine öko-Bilanz durchzuführen.
264So Drews/Kranz, DuD 1998, 94.
265So Drews/Kranz, DuD 1998, 94.
266Dieses Argument brachte die deutsche Wirtschaft ursprünglich auch gegen das Umweltschutz-Audit vor – s. Schottelius, BB 1997, Beilage 2, 8, hat sich davon aber nicht
abhalten lassen, sich in großer Zahl zu beteiligen.

267Stand 13.1.1999.
268S. hierzu auch die Begründung in LT-Drs. 14/3830, 20, nach der die Regelung in Umsetzung des Art. 20 der EG-Datenschutzrichtlinie erfolgt ist.
269BT-Drs. 13/9082. Nach der Begründung zu § 20 ist diese Regelung an § 7 Abs. 3 des Niedersächsischen Landesdatenschutzgesetzes orientiert und dient der Umsetzung des
Art. 20 der EG-Datenschutzrichtlinie.

 

3.2.3 Auszeichnung der "Datenschutzvorreiter"

Das Datenschutzaudit ist ein Angebot zur Auszeichnung der Besten. Zwar wäre es schön, wenn sehr viele datenverarbeitende Stellen zu diesen Besten gehören würden. Doch darf dieses Ziel nicht durch eine Reduzierung der Anforderungen erkauft werden. Das Datenschutzaudit wird von den "Anspruchsgruppen" nur dann akzeptiert werden, wenn es ein verläßliches Unterscheidungsmerkmal zwischen hohem und niedrigem Datenschutz- und Datensicherheitsniveau ist. Die bestätigte Datenschutzerklärung muß einen diskriminierenden Aussagewert haben. Die Bestätigung muß zwar grundsätzlich von jedem Unternehmen – bei entsprechenden Anstrengungen - erreicht werden können, darf aber nicht von jedem "Datenschutznachzügler" auch tatsächlich erreicht werden, sondern muß die "Datenschutzvorreiter" von diesem unterscheiden. Das Datenschutzaudit setzt daher hohe Anforderungen voraus. Es muß am Markt als Auszeichnung derer verstanden werden, die diesen hohen Maßstab erreichen.270 Unter dieser Voraussetzung hat das Datenschutzauditzeichen einen Aussagewert und hilft bei der Auswahl von Angeboten. Nur dann geht von ihm ein entsprechender Anreiz aus, auch zu diesem Kreis der "Datenschutz-Besten" zu gehören. Das Datenschutzaudit könnte so auch auf die Unternehmen ausstrahlen, die noch nicht das notwendige Niveau erreichen, für die es aber erstrebenswert wird, ebenfalls dieses Unterscheidungsmerkmal für sich verwenden zu können.

Dieser Auszeichnungscharakter des Audits wird verkannt, wenn kritisierend darauf hingewiesen wird, daß von den 300.000 Unternehmen, die theoretisch am Umweltschutz-Audit teilnehmen könnten, sich bisher nur circa 2.000 Unternehmen in der Bundesrepublik Deutschland beteiligen.271 Zwar wäre mit Blick auf den Umweltschutz zu wünschen, daß noch viel mehr Unternehmen am Umweltschutz-Audit teilnehmen. Würden jedoch alle 300.000 Unternehmen oder die weit überwiegende Mehrzahl von ihnen sich am Umweltschutz-Audit beteiligen, verlöre dieses seinen Diskriminierungscharakter und wäre für die einzelnen Unternehmen als Auszeichnung kaum noch erstrebenswert.

Ob eine datenverarbeitende Stelle oder ein Anbieter von Telediensten am Datenschutzaudit teilnimmt, wird daher stark von seinem Akzeptanzbedarf und von seiner Orientierung auf bestimmte Anspruchsgruppen abhängen. Vermutlich genügen den wirtschaftlichen Anspruchsgruppen wie Business-Kunden, Aktionären, Banken oder Versicherungen auf internen überprüfungen basierende Zusicherungen. Private und öffentliche Kunden sowie gesellschaftliche Anspruchsgruppen wie Behörden, Datenschutzbeauftragte, Medien Datenschutzvereinigungen und die öffentlichkeit werden solchen Zusicherungen weniger Vertrauen schenken als externen und vergleichbaren Datenschutzvalidierungen.272

270Dies ist ein weiterer Grund dafür, daß eine reine Rechtmäßigkeitsprüfung, der nur der für alle gleichermaßen gültige Maßstab des geltenden Datenschutzrechts zugrunde liegt,
für ein Datenschutzaudit nicht genügt – s. hierzu auch Kap. 3.4.1.

271So z.B. Schottelius, NVwZ 1998, 810.
272S. für den Umweltschutz z.B. Dyllick, UWF 1995, 26; Feldhaus, UPR 1998, 43.

 

3.3  Anwendungsbereich

Ist das Konzepts eines Datenschutzaudits grob bestimmt, stellt sich eine Fülle von Fragen, wie es zu konkretisieren ist. Zu klären ist hinsichtlich des Anwendungsbereichs des Datenschutzaudits, wer teilnehmen darf, was auditiert wird, in welchem räumlichen Bereich geprüft wird.

3.3.1 Gegenstandsbereich: Anwendungen

Eine der schwierigsten Fragen in der Konzipierung eines Datenschutzaudits dürfte die nach seinem möglichen Gegenstand sein. Hierzu wurden bisher nirgendwo konkrete Vorstellungen publiziert.273 Auch die Orientierung am Umweltschutz-Audit hilft nicht viel weiter. Denn dort ist Gegenstand des Audits das Umweltmanagementsystem eines bestimmten Unternehmensstandorts. Ob das Umweltmanagementsystem geeignet und effektiv ist, wird an den Umweltauswirkungen des jeweiligen Standorts überprüft. Die Umweltbetriebsprüfung muß daher neben den Organisationsstrukturen des Unternehmens auch alle relevanten Einwirkungen auf die verschiedenen Umweltbereiche erfassen, die sich aus den gewerblichen Tätigkeiten an einem Unternehmensstandort ergeben. In Parallelführung dazu für das Datenschutzaudit auf den Standort der Datenverarbeitung abzustellen, paßt in Zeiten weltweiter Vernetzung nicht mehr als Bezugspunkt der Prüfung.

Was aber könnte als Gegenstand des Datenschutzaudits gewählt werden? Die datenschutzrechtlichen Anknüpfungspunkte wie Datei, Verarbeitungszweck oder datenverarbeitende Stelle sind hierfür ungeeignet. Die Verarbeitung personenbezogener Daten findet in vielen Fällen in zahlreichen Dateien, zu unterschiedlichen Zwecken und zum Teil stellenübergreifend, unter Umständen sogar lokal nicht faßbar in Netzen statt. Die Risiken moderner Informations- und Kommunikationstechniken lassen sich mit einem auf diese Gegenstände bezogenen Audit nicht erfassen274. Andererseits ist der Bezug auf das Unternehmen oder eine Organisation in vielen Fällen zu weit. Dies wäre möglich, wenn in einem Unternehmen die Erhebung, Verarbeitung und Verwertung personenbezogener Daten nur zu einem oder wenigen definierten Zwecksetzungen erfolgt. In einem weltweit in vielen verschiedenen Branchen operierenden Konzern mit unterschiedlichsten Produkten, Dienstleistungen und internen Anwendungen ist dies nicht möglich. Im Ergebnis muß die überprüfung des Managementsystems und die Erklärung über dessen erfolgreiche überprüfung gegenständlich begrenzt sein und zugleich die wesentlichen Zusammenhänge der Verarbeitung personenbezogener Daten erfassen.

Hier wird vorgeschlagen, das Datenschutzaudit auf eine Anwendung der Informations- und Kommunikationstechnik zu beziehen. Als Anwendung könnte der einer übergreifenden Zielsetzung einer oder mehrerer verantwortlicher Stellen dienende Prozeß des systematischen Zusammenwirkens technisch-organisatorischer Komponenten gefaßt werden, in dem personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Im Geltungsbereich des BDSG könnte eine Anwendung etwa ein Krankenhausinformationssystem, ein Verkehrsleit- und -informationssystem, ein Personaldatenverarbeitungssystem oder ein Auskunftssystem sein.

Die Anwendung sinnvoll zu bestimmen, wäre Aufgabe der jeweiligen datenverarbeitenden Stelle. Ob dies gelungen ist, wäre in der internen Datenschutzprüfung und vom externen Gutachter zu überprüfen. Entscheidend sollte sein, daß durch die Bestimmung der Anwendung eine in sich geschlossene Struktur für die Erhebung, Verarbeitung und Verwendung personenbezogener Daten erfaßt wird, die die spezifischen Datenschutzrisiken vollständig erfaßt.275 Dies erfordert eine integrierte Sicht der Verarbeitung personenbezogener Daten wie etwa die Zusammenschau aller Zwecke der Anbahnung, des Abschlusses und der Abwicklung eines Vertrages. Zu einer Anwendung einer bestimmten Dienstleistung gehören beispielsweise die Datenverarbeitungssysteme zum Marketing, zur Kundenverwaltung, zur Erbringung der Vertragsleistung, zur Abrechnung, zum Bezahlen und zur Quittungserstellung, zur Wartung und zur Auswertung der Kundenkontakte sowie ihre Schnittstellen und Kommunikationswege. Die Anwendung ist daher relativ weit zu fassen. Andererseits muß die Anwendung prüfbar bleiben. Wenn daher für die Bestimmung der Anwendung eine geschlossene Struktur verlangt wird, so bezieht sich diese auf die spezifische Zielsetzung der Anwendung und die vollständige Erfassung der damit verbundenen Datenschutzrisiken. Dies schließt nicht aus, daß eine solche Anwendung Schnittstellen nach außen zu anderen Anwendungen hat. So gibt ein Krankenhausinformationssystem personenbezogene Daten an die Anwendungen von ärzten und anderer Krankenhäuser, der Kassen und Verrechnungsstellen weiter. Dennoch kann das Krankenhausinformationssystem als geschlossene Struktur beschrieben werden, deren Zielsetzung und Risiken sich von denen der anderen Anwendungen unterscheidet. Die Grenze der Anwendung wird dann durch die definierten Schnittstellen zu diesen anderen Anwendungen beschrieben.

Auch wird darauf hingewiesen, daß ein praktischer Bedarf besteht, ein Datenschutzaudit für Servicerechenzentren vorzusehen.276 Gemäß Art. 17 Abs. 2 EG-Datenschutzrichtlinie hat der für die Verarbeitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag einen Auftragsverarbeiter zu wählen, der hinsichtlich der zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet. Hiervon hat sich der Auftraggeber zu überzeugen. Nach der Umsetzung dieser Regelung in § 11 des BDSG-E könnte dieses Verfahren erleichtert werden, wenn der Auftragnehmer den Auftraggeber auf ein auditiertes Datenschutzmanagementsystem verweisen kann. Eine Kontrolle vor Ort durch den Auftraggeber ließe sich bei einem auditierten Dienstleister hinsichtlich des zeitlichen und organisatorischen Aufwands begrenzen.

Die datenverarbeitende Stelle als solche sollte nicht als Gegenstand des Datenschutzaudits gewählt werden.277 Sie ist diejenige Stelle, die ihre Anwendung auditieren läßt. Soweit sie nur eine Anwendung betreibt, betrifft das Audit ihren gesamten Tätigkeitsbereich. Soweit eine Stelle wenige Anwendungen betreibt, sollte sie diese zusammenfassen und ihre gesamte Datenverarbeitung überprüfen und zertifizieren lassen können. Sie soll jedoch entscheiden können, mit welchen Anwendungen sie am Datenschutzaudit teilnimmt. Insbesondere wenn die Anwendungen zu zahlreich oder zu disparat sind, können einzelne oder zusammengefaßte Anwendungen Gegenstand des Datenschutzaudits sein.

273S. z.B. provet 1996, Begründung zu § 11 des vorgeschlagenen Multimedia-Datenschutz-Gesetzes: "Datenschutzkonzept sowie technische Einrichtungen"; Begründung zu
§ 17 MD-StV: "Konzeption des Angebots, eventuell auch auf Hard- und Software"; ebenso Engel-Flechsig, DuD 1997, 15; Bachmeier, DuD 1996, 673; Bachmeier,
DuD 1996, 680; Berliner Datenschutzbeauftragter 1997, 134, will das Audit beziehen auf "Angebote" und Ulrich, DuD 1996, 668, will es auf "multimediale Einrichtungen
und Dienste" beziehen. Das Diskursprojekt "quid!" – s. Kap. 1.1.2 – will das "Gütesiegel" beziehen auf die Verarbeitung personenbezogener Daten in Betrieben; der
Landesdatenschutzbeauftrage Schleswig-Holstein – s. Kap. 1.1.3 – will die Vorabüberprüfung auf "Verfahren" anwenden – s. LT-Drs. 14/1738, 80; Gesellschaft für Datenschutz
und Datensicherung, GDD-Mitteilungen 2/99, 3f.: Datenverarbeitungssysteme und –programme sowie bestimmte DV-Dienstleistungen".

274S. zu diesen z.B. Roßnagel/Bizer 1995, 38 ff.
275In den Anhängen zur EG-Umwelt-Audit-Verordnung wird in einem Kriterienkatalog festgelegt, welche Umweltaspekte bei der Umweltbetriebsprüfung zu berücksichtigen sind
- s. Anhang 1 Teil C der EG-AUVO.

276Gesellschaft für Datenschutz und Datensicherung, GDD-Mitteilungen 2/99, 4.
277Ebenso Gesellschaft für Datenschutz und Datensicherung, GDD-Mitteilungen 2/99, 3f.

 

3.3.2 Organisationsübergreifende Anwendungen

Für die Bestimmung des Gegenstandsbereichs, für den das Datenschutzmanagementsystem zuständig ist und auf das hin es überprüft wird, sind - wie beim Umweltschutz-Audit auch - Abgrenzungprobleme und damit verbundene Mißbrauchsmöglichkeiten zu bedenken. Ohne deren Lösung könnte das Datenschutzaudit zu Ergebnissen führen, die weder für sich glaubwürdig noch untereinander vergleichbar sind.

Das Grundproblem besteht darin, daß das Datenschutzaudit die gesamte Anwendung erfassen muß, die Grenzen einer Anwendung aber oft nicht mit dem Verantwortungsbereich einer datenverarbeitenden Stelle übereinstimmt. Dadurch kann einerseits eine Situation entstehen oder auch bewußt herbeigeführt oder ausgenutzt werden, in der eine einheitliche Anwendungen auf verschiedene datenverarbeitende Stellen aufgeteilt ist, die rechtlich von einander unabhängig sind. Einzelne besonders "sensitive" Teile der Anwendung könnten dadurch aus der überprüfung herausfallen. Diese könnte auf die "sauberen" Teile beschränkt werden. Durch eine ungerechtfertigte Prämierung der "sauberen" Teile würde die Wettbewerbswirkung des Datenschutzaudits verfälscht. Andererseits kann von einer datenverarbeitenden Stelle nicht mehr erwartet werden, als daß sie ihren möglichen Einfluß zur Verbesserung des Datenschutzes und der Datensicherheit geltend macht.

Die Lösung des Problems kann nicht darin liegen, den Ansatz des Umweltschutz-Audits zu übernehmen. Danach ist das Audit auf den "Standort" beschränkt. Externe Stellen, die gesellschaftsrechtlich nicht mit der Unternehmung des "Standortes" identisch sind, fallen vollständig aus dem Gegenstandsbereichs des Audits heraus, auch wenn sie die gleiche Produktionslinie betreffen oder sonst sachlich mit der umweltverbrauchenden Tätigkeit des Standortunternehmens zusammenfallen.278 Dieser Ansatz wird schon wegen der räumlichen Beschränkung auf den "Standort" der Aufgabe eines Datenschutzaudits nicht gerecht. Seine übernahme würde aber auch einen sachlichen Unterschied zwischen Umweltschutz einerseits sowie Datensicherheit und Datenschutz andererseits unberücksichtigt lassen. Für die strenge Standort- und Unternehmensorientierung des Umweltschutz-Audits kann geltend gemacht werden, daß Umweltschutzbemühungen an jeder Produktionsstufe ansetzen können, mithin also die Prüfung auf jeder Stufe ungeachtet der vor- und nachgelagerten Produktionsstufen sinnvoll sein kann. Für den Umweltschutz kann gelten, daß der Standard der Umweltschutzbemühungen insgesamt die Summe der Einzelmaßnahmen auf jeder Produktionsstufe ist. Dagegen muß für den Datenschutz und die Datensicherheit viel stärker der Blickwinkel der Sicherheitstechnik eingenommen werden: Datenschutz und Datensicherheit einer Anwendung versagen insgesamt, wenn es aufgrund fehlender Schutzmaßnahmen an nur einer Stelle zu einem Datenmißbrauch kommt. Daher ist beim Datenschutzaudit in stärkerem Maß erforderlich, die Anwendung in ihrer Gesamtheit in die Prüfung einzubeziehen.

Aber auch der gegenteilige Ansatz, für ein Datenschutzaudit die vollständige Einbeziehung aller Stellen zu fordern, die an einer Anwendung beteiligt sind, wäre nicht sachgerecht. Er würde zwar dem Gefährdungsaspekt gerecht werden, die Durchführung eines Datenschutzaudits in vielen Fällen verhindern, in denen auch ein auf Teile der Anwendung beschränktes Audit hilfreich wäre. Nicht immer wird eine Anwendung von einer datenverarbeitenden Stellen koordiniert, oft findet ein Zusammenwirken vieler gleichberechtigter Partner statt: Ein Beispiel könnte eine Electronic Mall sein: Sie könnte so organisiert sein, daß der Mallbetreiber nur die technische Plattform zur Verfügung stellt, auf der mehrere Händler, Zusteller und Anbieter von Zahlungsverfahren mit vielleicht wiederum mehreren Partnern ihre Waren und Dienstleistungen selbstverantwortlich anbieten, für den Kunden sich das Aussuchen, Einkaufen und Bezahlen aber als einheitlichen Vorgang darstellt. Solange nur eine beteiligte Stelle sich weigert, am Audit teilzunehmen, sind auch alle anderen an einer Teilnahme gehindert. Es wäre unrealistisch, einer datenverarbeitenden Stelle die Teilnahme am Datenschutzaudit nur dann zu ermöglichen, wenn alle anderen an der Anwendung Beteiligten ebenfalls teilnehmen. Denn diese Teilnahme kann nicht erzwungen werden und würde eventuell an der notwendigen Beteiligung von weiteren "Zulieferern" und "Auftragnehmern" dieser Stelle scheitern. Das Verfahren würde sich bis auf weiteres selbst blockieren.279 Eine strikte Verfolgung dieses Ansatzes würde somit das Datenschutzaudit als Instrument des Datenschutzes und der Datensicherheit zu sehr einschränken.

Die Lösung des Problems kann nur in einem vermittelnden Ansatz gefunden werden. Einerseits darf der Gegenstandsbereich des Datenschutzaudits nicht über die Verantwortungsgrenzen hinaus ausgedehnt werden. Andererseits ist der Verantwortungsbereich für den Zweck des Datenschutzaudits in einem weiten Sinn zu verstehen und die Ausrichtung des Datenschutzaudits auf einen mit dem weiten Verständnis des Verantwortungsbereichs korrespondierenden Gegenstandsbereichs streng zu kontrollieren.

Um den Gegenstandsbereich genau bestimmen zu können, ist in einem ersten Schritt erforderlich, daß eine vollständige Datenflußanalyse der Anwendung mit allen an der Verarbeitung personenbezogener Daten beteiligten Stellen erstellt wird. Danach ist in einem zweiten Schritt zu bestimmen, welche Datenverarbeitungsschritte in den erweiterten Verantwortungsbereich der teilnehmenden Stelle gehören. Diese interne Datenverarbeitung der Anwendung muß vollständig vom Datenschutzaudit erfaßt sein.

Zur internen Datenverarbeitung gehören alle Funktionen, die die teilnehmende Stelle selbst erfüllt. Dabei kann sich ergeben, daß ein großes Unternehmen einzelne Funktionen der Anwendung - etwa die Kundendatenverwaltung - für alle Anwendungen zentralisiert hat. Dadurch kann eine "Randfunktion" der Anwendung vom Umfang her größer sein als alle anderen Teile der Anwendung zusammen. Allerdings liegt dann eben eine sehr große "Anwendung" vor. Jedenfalls sollte dieses Problem nicht durch Reduzierung des Gegenstandsbereichs gelöst werden. Vielmehr können die Ergebnisse des Audits einer Anwendung bezogen auf die zentralisierte Teilfunktion auch für andere Audits verwendet werden.

Zur internen Datenverarbeitung im weiteren Sinn gehört auch die Verarbeitung oder Nutzung personenbezogener Daten im Auftrag nach § 11 BDSG. Für diese bleibt der Auftraggeber verantwortlich. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten oder nutzen. Das Datenschutzmanagementsystem des Auftraggebers muß die Datenverarbeitung oder Nutzung im Auftrag in sein Aufgabenspektrum aufnehmen. Daher sind die über einen Auftrag ausgelagerten Verarbeitungsschritte in den Gegenstandsbereich des Datenschutzaudits aufzunehmen. Entweder hat der Auftraggeber alle notwendigen Informationen zusammenzutragen oder er macht die Teilnahme des Auftragnehmers am Datenschutzaudit zum Vertragsbestandteil.

Zur internen Datenverarbeitung sind schließlich auch die Stellen zu rechnen, die zwar einem anderen Unternehmen zuzurechnen sind, zu denen das teilnehmende Unternehmen aber in einem spezifischen gesellschaftsrechtlichen Beteiligungsverhältnis steht. Maßstab für das Beteiligungsverhältnis könnte zum einen sein, daß das teilnehmende Unternehmen an dem anderen Unternehmen in der Form beteiligt ist, daß es auf dieses einen beherrschenden Einfluß im Sinn des § 17 AktG ausüben und damit auch zur Teilnahme am Datenschutzaudit veranlassen kann. Dies wird nach § 17 Abs. 2 AktG bei einer Mehrheitsbeteiligung vermutet. Stehen zwei oder mehr Kapitalgesellschaften, die an der gleichen Anwendung beteiligt sind, zueinander in einem Beherrschungsverhältnis sollten sie nur gemeinsam an dem Datenschutzaudit teilnehmen können.

Eine andere Begründung für das relevante Beteiligungsverhältnis könnte in dem Ausschluß von mißbräuchlichen und den Wettbewerb verzerrenden Gestaltungen gesehen werden. So müßten sich bei einer Beteiligungsgrenze von mehr als 50% des Nennkapitals nur zwei Anwender ein gemeinsames Unternehmen etwa zur "Kundendatenverarbeitung" gründen, um dessen Datenverarbeitung für beide Anwendungen aus dem Gegenstandsbereich des Datenschutzaudits auszunehmen. Diese Mißbrauchsmöglichkeit spricht für eine geringere Beteiligungsgrenze. Aus Gründen der Nachvollziehbarkeit und Transparenz könnte eine Beteiligung ab 20% des Nennkapitals nach § 271 Abs. 1 Satz 3 HGB als Grenzwert gewählt werden.280 Diese Grenzziehung hat allerdings den Nachteil, daß das teilnehmende Unternehmen mangels bestimmenden Einflusses die Teilnahme des anderen Unternehmens nicht durchsetzen kann. Sie sollte daher, trotz des bestehenden Mißbrauchspotentials nicht verfolgt werden.

Diese überlegungen gelten sowohl für "Tochter-" wie auch für "Schwesterunternehmen". Als Tochterunternehmen gelten alle Unternehmen, die von einem Unternehmen beherrscht werden. Oft - und gerade im Bereich der neuen Medien - gründen große Unternehmen mehrere "Töchter", um auf diese einzelne Bestandteile einer Anwendung oder eines Teledienstes zu verteilen. Wenn nun eine "Tochter" am Datenschutzaudit teilnehmen möchte, wesentliche Teile der Anwendung aber von der "Schwester" bearbeitet werden, so unterscheidet sich diese Situation insofern von der "Mutter-Tochter-Beteiligung", als das teilnehmende Tochterunternehmen selbst keine Beteiligung an der "Schwester" hat. Vielmehr werden beide Unternehmen vom gleichen Mutterkonzern beherrscht. Dennoch ergeben sich hier die gleichen Teilnahme- und Mißbrauchsprobleme wie im "Mutter-Tochter-Verhältnis". Daher ist auf die Beteiligung der "Mutter" an den "Töchtern" abzustellen. übt sie einen beherrschenden Einfluß auf mehrere Töchter aus, die an der gleichen Anwendung beteiligt sind, kann sie die Einbeziehung der Datenverarbeitungsschritte all dieser "Töchter" am Datenschutzaudit durchsetzen. Die "Töchter" können daher nur gemeinsam am Datenschutzaudit teilnehmen.

Aus der Datenflußanalyse ergeben sich auch die externen Verarbeitungsschritte der untersuchten Anwendung. Diese fallen zwar aus dem Gegenstandsbereich des Datenschutzaudits heraus. Für sie sollten aber die Schnittstellen und Datenströme zu den externen Stellen in der Weise transparent gemacht werden, als sie in der Datenschutzerklärung konkret dargestellt werden müssen. Darüber hinaus sollte die Zusammenarbeit mit "Zulieferern" und "Abnehmern" personenbezogener Daten in der Weise einbezogen werden, wie dies für das Umweltschutz-Audit vorgesehen ist. Die EG-UAVO fordert für das Umweltschutz-Audit auch den betriebliche Umweltschutz bei Lieferanten und Auftragnehmern zu "berücksichtigen".281 Dadurch soll die Möglichkeit ausgeschlossen werden, die "Umweltbilanz" durch Auslagerung "schmutziger" Verfahrensschritte vordergründig zu verbessern.282 Ebenso sollte für das Datenschutzaudit zwar kein eigenes Datenschutzaudit für "Zulieferer" und "Abnehmer" personenbezogener Daten verlangt werden. Doch sollten das interne Audit und der Datenschutzgutachter deren Anstrengungen für Datenschutz und Datensicherheit insoweit berücksichtigen, daß sie Wettbewerbsverzerrungen und Mißbrauch in der Ausgestaltung der "Verarbeitungskette" ausschließen können. Schließlich muß aus der Datenschutzerklärung zu erkennen sein, ob die Anwendung vollständig auditiert ist oder ob bestimmte Datenverarbeitungsschritte ausgeblendet werden mußten.

Für öffentlich-rechtliche datenverarbeitende Stellen müssen die vorgenannten überlegungen zum Gegenstandsbereich des Datenschutzaudits sinngemäß gelten. Dort kann ein Einbezug von Datenverarbeitungsschritten und ein Ausschluß von Mißbrauchsmöglichkeiten zwar nicht über Anteilsbeteiligungen begründet werden. Doch können ähnliche Probleme erfaßt werden, wenn auf die Weisungsbefugnis im Rahmen der Fachaufsicht abgestellt wird. Danach kann eine öffentlich-rechtliche datenverarbeitende Stellen als "Tochter" gelten, wenn eine weisungsbefugte übergeordnete Stelle ebenfalls an der Anwendung beteiligt ist. Als "Schwester" kann sie angesehen werden, wenn sie an der Anwendung beteiligt ist und die gleiche übergeordnete Stelle für sie und die am Audit teilnehmende Stelle weisungsbefugt ist.

Die das Audit verzerrende Aufteilung der Datenverarbeitung auf unterschiedliche datenverarbeitende Stellen bleibt trotz der hier vorgeschlagenen Regelungen ein schwieriges Problem des Datenschutzaudits. Hier wird es in starkem Maß auf den Datenschutzgutachter ankommen, Wettbewerbsverzerrungen durch organisations- und gesellschaftrechtliche Gestaltungsmöglichkeiten zu verhindern. Zumindest wird er dafür sorgen können, daß die gewählte Gestaltungsform in der Datenschutzerklärung als Problem transparent gemacht wird.

278Eine Ausnahme kennt die UAVO nur insoweit, als auch der betriebliche Umweltschutz und Praktiken bei Lieferanten und Auftragnehmern zu berücksichtigen sind
- s. Anhang I Teil C.Nr.8 i.V.m. Anhang I Teil B Nr. 4 lit.b).

279S. für das Umweltschutz-Audit Hemmelskamp/Neuser/Zehnle, ZEW-Wirtschaftsanalysen 1994, 211.
280S. für das Umwelt-Audit Hemmelskamp/Neuser/Zehnle, ZEW-Wirtschaftsanalysen 1994, 212f.
281S. Anhang I Teil C.Nr.8 i.V.m. Anhang I Teil B Nr. 4 lit.b) der EG-AUVO.
282Führ, NVwZ 1993, 859.

 

3.3.3 Gegenstandsbereich: Teledienste?

Für das Datenschutzaudit im Anwendungsbereich des TDDSG bietet es sich an, als Gegenstandsbereich für das Datenschutzmanagementsystem und seine Auditierung den jeweiligen "Teledienst" zu wählen. Zu prüfen ist jedoch, ob dieser Zuschnitt des Gegenstandsbereichs der Zielsetzung des Datenschutzaudits gerecht wird.

Teledienste sind nach § 2 TDG "elektronische Informations- und Kommunikationsdienste, die für eine individuelle Nutzung von kombinierbaren Daten wie Zeichen, Bilder oder Töne bestimmt sind und denen einen übermittlung mittels Telekommunikation zugrunde liegt". In § 2 Abs. 2 TDG findet sich eine nicht abschließende und nicht trennscharfe Auflistung von fünf wichtigen Beispielen für Teledienste. Diese sind

Für die Bestimmung des richtigen Gegenstandsbereichs des Datenschutzaudits ist weniger die Abgrenzung zwischen Telediensten und Mediendiensten292 oder Telekommunikationsdiensten293 von Bedeutung als die vielmehr die Abgrenzung von Telediensten untereinander. Was umfaßt ein Teledienst?

Im Kontext des TDG wird unter Teledienst nicht eine Gesamtheit des Angebots eines Online-Anbieters verstanden, sondern jeweils das einzelne Angebot, wie zum Beispiel jede Web-Page, jeder Wetterdienst, jede Newsgroup, jeder Makler-, Bestell- oder Buchungsdienst.294 Nur auf diese Weise kann das TDG für die Verantwortlichkeit oder die Anbieterkennzeichnung die Besonderheiten des jeweiligen Dienstes berücksichtigen und zu sachgerechten Lösungen führen.

Demnach besteht ein Gesamtangebot häufig aus der Kombination mehrerer Teledienste. So können in der Homepage eines Anbieters neben Unternehmens- und Produktinformationen gleichzeitig Wettervorhersagen, Börsendatendienste und Suchmaschinen, die alle als Teledienste einzuordnen sind, und sogar auch redaktionelle Inhalte, die als Mediendienste zu qualifizieren sind, verwandt werden. Aus Sicht des Nutzers stellt sich das ganze jedoch als ein einheitliches Angebot dar. ähnlich ist etwa das Angebot eines elektronischen Shopping-Centers anzusehen: Es bietet zum Beispiel den Kunden die Möglichkeit, bei verschiedenen Händlern die angebotenen Produkte anzuschauen und sich zu informieren, einen elektronischen Warenkorb zu nutzen, Produkte direkt über das Netz zu bestellen und mit einem elektronischen Bezahlverfahren zu bezahlen. Je nach konkreter technischer und organisatorischer Ausgestaltung des Shopping-Centers kann es sein, daß alle diese Angebote unterschiedliche Teledienste sind oder als ein Teledienst zu qualifizieren sind. Für den Nutzer ist das elektronische "Schaufesterbummeln", Einkaufen und Bezahlen jedoch ein einheitlicher Vorgang.

Daher wird die Auffassung vertreten, daß in einer wertenden Gesamtschau das vollständige, unter einer bestimmten Homepage (Eingangsseite) präsentierte Angebot eines Unternehmens, einschließlich des bei den untergeordneten Seiten abrufbaren Angebots, als diejenige "Einheit" oder "Dienst" betrachtet werden müsse, auf die es für die Abgrenzung zwischen Tele- und Mediendienst ankomme.295 Jedoch bieten weder TDG noch MDStV vom Wortlaut her einen Anhaltspunkt für eine wertende Gesamtbetrachtung, die trotz unterschiedlicher Angebote den Schwerpunkt eines Angebots über die Anwendung eines Normenkomplexes entscheiden lassen würde. Die bisher überwiegende Meinung geht deshalb von der jeweiligen Kommunikationsart und dem Kommunikationsinhalt, nicht jedoch vom gesamten Angebot aus.296 Eine Einschränkung von der Einzelbetrachtung ist allerdings für die Fälle denkbar, in denen sich die Funktionen innerhalb eines Gesamtangebots aus der Sicht eines durchschnittlichen Nutzers nicht mehr isolieren lassen. Dieses kann bei der Unterbreitung von verschiedenen Angeboten auf einer einzigen Seite gegeben sein. Das Angebot stellt sich dann möglicherweise als Einheit dar, so daß es dann auf eine Gesamtschau ankommt.297

Daher muß die Wahl eines Teledienstes als Gegenstandsbereich des Datenschutzaudits am Maßstab der "Anwendung" überprüft werden. Der Teledienst kann für sich als Gegenstandsbereich gewählt werden, wenn er aus der Nutzersicht als eine in sich abgeschlossene Anwendung angesehen werden kann. Dagegen sind mehrere Teledienste zu einem Gegenstandsbereich zusammenzufassen, wenn sie sich nur zusammengenommen dem Nutzer als eine Anwendung darstellen.

Beispielsweise bedeutet dies für den Electronic Commerce: Nach dem Wortlaut des § 2 Abs. 2 Nr. 5 TDG, der von einem "Angebot...mit Bestellmöglichkeit" spricht, müssen etwa die Warenpräsentation, die Warenkorbfunktion und die Bestellmöglichkeit als ein einheitlicher Teledienst qualifiziert werden. Dieser Teledienst könnte einer Anwendung entsprechen und somit Gegenstandsbereich eines Datenschutzaudits sein. Allerdings ist der Einbezug möglicher Bezahlverfahren zu berücksichtigen. Da es sich um Individualkommunikation handelt, müssen internetbasierte Zahlungsverfahren nach § 2 Abs 2 Nr. 1 TDG als ein eigener Teledienst angesehen werden. Zumindest wenn nur ein spezifisches und in den Bestellvorgang eingepaßtes Bezahlverfahren vorgesehen ist, wird jedoch für den Bestell- und Bezahldienst von einer einheitlichen Anwendung auszugehen sein. Das Bezahlverfahren ist dann in den Gegenstandsbereich des Datenschutzaudits aufzunehmen. Etwas anderes mag gelten, wenn der Nutzer frei zwischen unterschiedlichen, nicht mit dem Bestellvorgang verknüpften Bezahlweisen wählen kann. Allerdings kann sich innerhalb eines Bezahlverfahrens das Problem ebenfalls ergeben. So sind etwa für die Kreditkartenzahlung mittels SET sowohl der Händler als Kartenakzeptant als auch das Payment-Gateway als Anbieter eigener Teledienste zu qualifizieren, obwohl es sich um eine einheitliche Anwendung handelt.

Die hier angesprochenen Probleme und Lösungsmöglichkeiten sind für Mediendiensten vergleichbar. Ein Mediendienst ist nach § 2 Abs. 1 MDStV "das Angebot und die Nutzung von an die Allgemeinheit gerichteten Informations- und Kommunikationsdiensten ... in Text, Ton oder Bild", die telekommunikativ verbreitet werden. Beispiele für Mediendienste sind Fernseheinkauf, Verteildienste, Fernsehtext, Pay-TV oder ein Online-Presse-Archiv. Insoweit ist der Gegenstandsbereich für beide vergleichbar. Ob die Informations- und Kommunikationsdienste an die Allgemeinheit gerichtet (Mediendienste) oder für eine individuelle Nutzung gedacht sind (Teledienste), spielt für den grundsätzlichen Zuschnitt des Gegenstandsbereichs keine entscheidende Rolle. Vergleichbar ist die Situation auch im Telekommunikationsbereich. Hier stellen sich für Telekommunikationsdienstleistung nach §§ 3 Nr. 18 TKG, 2 Nr. 6 TDSV vergleichbare Probleme und können ähnliche Lösungen wie für Teledienste gesucht werden.

283S. hierzu kritisch Spindler, in: Roßnagel 1999, § 2 TDG, Rn. 57, 73 ff., der zumindest moderierte Newsgroups und Diskussionsforen als "redaktionelle Gestaltungen"
dem MDStV zuordnet.

284S. BT-Drs. 13/7385, 18f.; Engel-Flechsig/Maennel/Tettenborn, NJW 1997, 2982f.
285S. z.B. Spindler, in: Roßnagel 1999, § 2 TDG, Rn. 58, 79.
286S. BT-Drs. 13/7385, 19; zur Einordung von Hompages s. Spindler, in: Roßnagel 1999, § 2 TDG, Rn. 70ff.; v. Heyl, ZUM 1998, 118f.
287S. z.B. Spindler, in: Roßnagel 1999, § 2 TDG, Rn. 82f.; a.A. Meyer, in: Roßnagel 1999, § 2 MDStV, Rn. 66.
288BT-Drs. 13/7385, 19.
289S. z.B. Spindler, in: Roßnagel 1999, § 2 TDG, Rn. 87 ff.
290S. zu diesen z.B. Spindler, in: Roßnagel 1999, § 2 TDG, Rn. 91 ff.
291BT-Drs. 13/7385, 19.
292S. aus der umfangreichen Literatur zur Abgrenzung z.B. Kuch, ZUM 1997, 225; Engel-Flechsig, ZUM 1997, 234; Kröger/Moos, AfP 1997, 675; Hochstein,
NJW 1997, 2977; Gounalakis, NJW 1997, 2993; Roßnagel, NVwZ 1998, 3f.; v. Heyl, ZUM 1998, 115; Gounalakis/Rhode, CR 1998, 487; Gounalakis/Rhode,
K&R 1998, 321; Spindler, in: Roßnagel, RMD, § 2 TDG, Rn. 25 ff.; Meyer, in: Roßnagel, RMD, § 2 MDStV, Rn. 45 ff.

293S. z.B. Engel-Flechsig, RDV 1997, 61; Roßnagel, NVwZ 1998, 3f.
294S. z.B. Spindler, in: Roßnagel 1999, § 2 TDG Rn. 43; Pichler, MMR 1998, 80; v. Heyl, ZUM 1998, 118; Engel-Flechsig/Maennel/Tettenborn, NJW 1997, 2982.
295S. z.B. Waldenberger, MMR 1998, 125.
296S. z.B. Spindler, in: Roßnagel 1999, § 2 TDG Rn. 43; Pichler, MMR 1998, 80; v. Heyl, ZUM 1998, 118; Engel-Flechsig/Maennel/Tettenborn, NJW 1997, 2982
297S. Spindler, in: Roßnagel 1999, § 2 TDG, Rn. 45, 48.

 

3.3.4 Teilnehmer

An dem Datenschutzaudit sollten alle datenverarbeitende Stellen teilnehmen können.298

Für Behörden ist der Mechanismus der freiwilligen Teilnahme und der Kontrolle durch unabhängige Gutachter sowie die Verwendung der Teilnahmeerklärung im Wettbewerb mit nicht teilnehmenden Behörden allerdings nicht so gut geeignet wie für private Anbieter, die untereinander im Wettbewerb stehen. Die Validierung durch externe Gutachter ist nicht so ohne weiteres mit der Eigenkontrolle der Gesetzesbefolgung durch die Behörden selbst, mit der Aufsicht durch die vorgesetzte Behörde und mit der parlamentarischen Verantwortlichkeit zu vereinbaren. Andererseits sehen sowohl die UAG-Erweiterungs-Verordnung wie auch der Revisionsentwurf zur UAVO vor, daß sich auch Behörden und Kommunen am Umweltschutz-Audit beteiligen können.299 Auch für diese sollte das Ziel gelten, ein Datenschutzmanagement aufzubauen, das Datenschutz und Datensicherheit kontinuierlich verbessert und hierfür überobligationsmäßige Leistungen erbringt.300 Spezifische Bindungen und Einschränkungen durch das für sie geltende öffentliche Recht müssen von den Datenschutzgutachtern bei der Validierung berücksichtigt werden.

Das Datenschutzaudit sollte auch für ausländische Anbieter von Telediensten offenstehen. Es könnte ein geeignetes Instrument für ausländische Diensteanbieter sein, die vom Ausland aus ihre Teledienste anbieten wollen, ohne auf den in der Bundesrepublik geltenden hohen Datenschutzstandard zu verzichten, um hierfür die Akzeptanz bei deutschen Nutzern zu erhöhen.301 Das Datenschutzaudit hätte dadurch eine wichtige Funktion bei der Sicherstellung eines hohen Datenschutzstandards im internationalen Bereich. Der Bundesrat sieht im Datenschutzaudit eine "Möglichkeit, auf ausländische Anbieter von Telediensten Einfluß zu nehmen, die sich im Wettbewerb mit deutschen Anbietern veranlaßt sehen könnten, entsprechende Bewertungen ihres Datenschutzkonzepts einzuholen."302 Aufsichtsmaßnahmen wie etwa Untersagungsverfügungen können gegen ausländische oder im Ausland operierende Anbieter ohnehin nicht verhängt werden. Die Datenschutzfreundlichkeit ihres Angebots kann nur dann gefördert werden, wenn sie diese verkaufsfördernd im Inland einzusetzen können. Ausländische Anbieter, die in Deutschland Kunden werben wollen, sollten über die Marktkonkurrenz gehalten sein, sich um eine Auditierung ihres Angebots zu bemühen.303

298Diese werden von § 3 Abs. 8 BDSG speichernde Stellen genannt, künftig werden sie nach § 3 Abs. 7 BDSG-E als verantwortliche Stellen bezeichnet.
299S. zur Teilnahme von Kommunen und kommunalen Einrichtungen am Umweltschutz-Audit Frings 1998, 433 ff.; Richter 1998, 339 ff.; Landesanstalt für Umweltschutz
Baden-Württemberg 1998.

300Zu den positiven Effekten eines kommunalen Umweltmanagementsystems s. Landesanstalt für Umweltschutz Baden-Württemberg 1998, 8 ff.; Frings 1998, 435 ff.
301S. Engel-Flechsig, DuD 1997, 15.
302Bundesrat, BT-Drs. 13/7385, 57.
303Berliner Datenschutzbeauftragter 1997, 134.

 

3.4  Kriterien

Ziel der Prüfung ist es, das Datenschutzmanagement danach zu bewerten, ob es für die jeweilige Anwendung geeignet und effektiv ist, die Einhaltung des geltenden Datenschutzrechts sicherzustellen und eine kontinuierliche Verbesserung des Datenschutzes zu erreichen. Die Prüfung verwendet also zwei Maßstäbe: einen objektiven, für allen gleichen Maßstab und einen subjektiven, den der einzelne Anbieter nach seinen individuellen Möglichkeiten bestimmt.

3.4.1 Objektive Kriterien

Der objektive Maßstab, der für alle Unternehmen und Anwendungen gleichermaßen als Minimalstandard zugrunde gelegt wird, sind die Vorschriften des Datenschutzrechts. Da diese für alle Teilnehmer gleich sind, wird ein hohes Maß an Vergleichbarkeit und Wettbewerbsgerechtigkeit sichergestellt. Durch diesen Maßstab wird das Datenschutzaudit zu einem Instrument innerbetrieblichen Gesetzesvollzugs.

Einige Vorschläge wollen die Datenschutzprüfung auf die Rechtmäßigkeitskontrolle beschränken.304 Dies kann aber nicht das einzige Kriterium für ein freiwilliges, wettbewerbsorientiertes öffentliches Datenschutzaudit sein. Allein für die Erfüllung der ohnehin bestehenden Pflicht, die Datenschutzgesetze einzuhalten, kann es keine besondere Anerkennung geben. Das Datenschutzaudit soll die besonderen Anstrengungen einer datenverarbeitende Stelle mit einer Werbemöglichkeit prämieren. Es darf daher keine Auszeichnung für Selbstverständliches sein. Das Datenschutzaudit soll ein qualitätsbezogenes Unterscheidungsmerkmal im Wettbewerb sein. Es verliert seine Qualität als Unterscheidungsmerkmal, wenn es nur das bestätigt, was ohnehin jeder tun muß. Die Rechtmäßigkeitskontrolle ist daher ein notwendiger Bestandteil eines jeden Datenschutzaudits. Denn die Bestätigung für besondere Anstrengungen im Datenschutz setzt voraus, daß die geltenden Datenschutzanforderungen eingehalten werden. Die Gesetzeskonformität des Angebots ist aber noch kein hinreichender Maßstab für ein Datenschutzaudit. Hinzu kommen müssen freiwillige, individuell festgelegte, aber über das Normale hinausgehende Anstrengungen zur Verbesserung des Datenschutzes und der Datensicherheit.

Soweit das Datenschutzrecht klare Anforderungen an die datenverarbeitende Stelle oder an den Anbieter von Telediensten enthält, ist die Feststellung des objektiven Prüfungsmaßstabs kein Problem. Die Wahl des für die Anwendung jeweils geltenden Datenschutzrechts gibt dem Datenschutzaudit einen klaren und verläßlichen Maßstab. In der Regel dürfte es kein Problem bereiten, etwa das Handlungsgebot des § 3 Abs. 5 TDDSG zu überprüfen, den Nutzer vor der Erhebung personenbezogener Daten über Art, Umfang, Ort und Zwecke ihrer Erhebung, Verarbeitung und Nutzung zu unterrichten.305 Das gleiche gilt etwa auch für die Anforderungen an die Technikgestaltung in § 4 Abs. 2 TDDSG, dem Nutzer jederzeit einen Abbruch der Verbindung zu ermöglichen, die Nutzungsdaten spätestens nach Beendigung der Nutzung zu löschen, den Teledienst gegen Kenntnisnahme Dritter zu schützen und personenbezogene Daten über die Inanspruchnahme verschiedener Teledienste getrennt zu verarbeiten.306 Selbst wenn im Einzelfall das eine oder andere Tatbestandsmerkmal interpretationsbedürftig sein sollte, läßt sich im Rahmen des Datenschutzaudits eine ausreichende Klärung zwischen dem Anbieter, dem Datenschutzgutachter, der zuständigen Datenschutzbehörde und der Registrierungsstelle erreichen.307 In diesen Fällen erfüllt das Datenschutzaudit für den Anbieter die Funktion, ein höheres Maß an Rechtssicherheit zu bieten.

Wie aber ist zu verfahren, wenn das Datenschutzrecht keine klaren und eindeutigen Anforderungen enthält? Was soll objektiver Maßstab sein, wenn das Recht etwa statt präziser Handlungs- oder Gestaltungsanforderungen nur ein Optimierungsziel nennt und dies gar noch unter den Vorbehalt der Zumutbarkeit stellt. Ein solches Ziel ist zum Beispiel in § 3 Abs. 4 TDDSG formuliert: "Die Gestaltung und Auswahl technischer Einrichtungen für Teledienste hat sich an dem Ziel, keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen, auszurichten."308 Diese Zielsetzung der Datenvermeidung oder Datenminimierung wird konkretisiert durch § 4 Abs. 1 TDDSG: "Der Anbieter hat dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist."309 Die gleichen Optimierungsziele sieht § 3a BDSG-E für das künftige allgemeine Datenschutzrecht vor. Dort ist die Anforderung der Anonymisierung und Pseudonymisierung nicht unter den Vorbehalt der Zumutbarkeit gestellt, sondern statt dessen von der Voraussetzung abhängig gemacht, daß der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Ein weiteres Beispiel aus dem Bereich des allgemeinen Datenschutzes sind technische und organisatorische Maßnahmen nach § 9 BDSG. Sie stehen unter dem Vorbehalt der Angemessenheit.

Für die Konkretisierung von Optimierungszielen und Abwägungsklauseln könnte argumentiert werden, daß im konkreten Einzelfall jeweils nur ein Ergebnis rechtlich richtig sein kann. Gefordert ist das Ergebnis, das sich bei einer Berücksichtigung aller erforderlichen Belange und ihrer richtigen Gewichtung ergibt. Wer aber soll die Feststellung aller erforderlichen Belange und ihre Gewichtung vornehmen? Die abstrakt rechtsdogmatisch zutreffende Feststellung, daß es rechtlich ein richtiges Ergebnis geben muß, wird den Bedingungen der vollzugspraktischen Durchsetzung der Optimierungen und Abwägungen nicht gerecht. über die für die Feststellung der Belange und ihre Gewichtung notwendigen Informationen verfügt fast ausschließlich allein der Anbieter des Teledienstes.310 Diese wird der Gutachter nicht gegen den Anbieter in ausreichendem Maß erheben können. Er ist auf die Informationen angewiesen, die ihm der Anbieter präsentiert. Diese werden in der Regel die Konkretisierung des Optimierungsziels oder der Abwägung durch den Anbieter stützen. Ohne umfangreiche eigene Aufklärungen wird der Datenschutzgutachter die Feststellungen und Gewichtungen des Anbieters selten widerlegen können. Dem Charakter des Datenschutzaudits als eines freiwilligen Instruments zur Stärkung der Selbstverantwortung des Datenverarbeiters311 würde es jedoch nicht entsprechen, dem Datenschutzgutachter richterliche Aufklärungs- und Entscheidungskompetenzen zuzuschreiben. Vielmehr ist für das Datenschutzaudit das Zusammenspiel von objektiven Mindestkriterien und subjektiven Kriterien einer kontinuierlichen Verbesserung des Datenschutzniveaus fruchtbar zu machen.

Das Datenschutzrecht fungiert im Rahmen des Datenschutzaudits als objektiver, für alle Teilnehmer gleicher Minimalstandard. Dieser Funktion entspricht es, wenn der Datenschutzgutachter die Datenschutzerklärung daraufhin überprüft, ob die vom Anbieter vorgenommenen Konkretisierungen der datenschutzrechtlichen Anforderungen vertretbar sind. Auch für die Konkretisierung der Optimierungsziele und Abwägungen genügt es, wenn er sich auf die Prüfung beschränkt, ob die Angaben des Anbieters die getroffenen Schlußfolgerungen rechtfertigen. Die Richtigkeit der Angaben wird er auf Plausibilität kontrollieren und stichprobenweise verifizieren. Hinsichtlich der Konkretisierung des Prüfungsmaßstabs durch den Anbieter stellt sich für ihn nicht die positive Frage: Was wäre die richtige Optimierung der Datensparsamkeit? Vielmehr muß er die negative Frage beantworten: Kann er die Bestätigung der Datenschutzerklärung versagen? Diese Frage wird er nur dann bejahen können, wenn die Konkretisierung des Anbieters nicht mehr vertretbar ist.

Wenn auf diese Weise im Rahmen des objektiven Maßstabs letztlich nur ein Mindeststandard an Optimierung und Abwägung durchgesetzt werden kann, ist dies im Rahmen des Datenschutzaudits kein Nachteil. Denn eine Optimierung des Datenschutzes und der Datensicherheit oder eine Abwägung zugunsten von mehr Datenschutz und Datensicherheit wird beim subjektiven Kriterium berücksichtigt. Die Konkretisierung der Optimierungs- und Abwägungsgebote hängt ohnehin von der Zumutbarkeit, von der subjektiven Möglichkeit, letztlich von den individuellen Umständen ab. Wenn Datenschutz und Datensicherheit nach subjektiver Leistungsfähigkeit befördert werden, entspricht dies genau dem Charakter und der Zielsetzung des Datenschutzaudits.

304So z.B. der Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff., Gesellschaft für Datenschutz und
Datensicherung, GDD-Mitteilungen 2/99, 3: "erhebliche Akzeptanzprobleme" bei einer Forderung nach übererfüllung; das Diskursprojekt "quid!" und der Entwurf des
Landesdatenschutzbeauftragten Schleswig-Holstein – s. zu diesen Kap. 1.2. Für die Anwendungsfelder für das "Gütesiegel" zur Verarbeitung personenbezogener Daten in
Betrieben oder die Vorabüberprüfung von Verfahren in der Landesverwaltung mag die Beschränkung einen Sinn machen, wenn auch für diese eine kontinuierliche
überobligationsmäßige Verbesserung des Datenschutzes erstrebenswert wäre.

305S. hierzu z.B. Bizer, in: Roßnagel 1999, § 3 TDDSG, i.E.
306S. hierzu z.B. Schaar, in Roßnagel 1999, § 4 TDDSG, i.E.
307S. hinsichtlich der Datenschutzbehörde und der Registrierungsstelle näher Kap. 3.9.2.
308S. die gleiche Regelung für Mediendienste in § 12 Abs. 5 MDStV.
309S. die gleiche Regelung für Mediendienste in § 13 Abs. 1 MDStV.
310Hier besteht für das Datenschutzaudit eine vergleichbare Situation wie für das Umweltschutz-Audit etwa hinsichtlich der Pflicht zur Abfallvermeidung und Abfallverminderung
nach § 5 Abs. 1 Nr. 3 BImSchG. Auch für die Konkretisierung dieser Pflicht verfügt fast ausschließlich der Anlagenbetreiber über die erforderlichen Informationen
- s. z.B. Roßnagel 1994, § 5 Rn. 634 ff.

311S. Kap. 1.1.1.

 

3.4.2 Subjektive Kriterien

Der subjektive, auf dem objektiven aufbauende Maßstab ist die Selbstverpflichtung zur kontinuierlichen Verbesserung des Datenschutzes oberhalb datenschutzrechtlicher Pflichten. In Orientierung am Umweltschutz-Audit müßte sich die datenverarbeitende Stelle zwar zum Einsatz der besten, verfügbaren Technik und Organisation verpflichten. Durch die Anbindung dieser Verpflichtung an die "wirtschaftliche Vertretbarkeit" ist die jeweilige Verbesserung des Datenschutzes und der Datensicherheit jedoch in die Verantwortung des Unternehmens gestellt. Im einzelnen stellt die datenverarbeitende Stelle im Datenschutzprogramm312 einen Maßnahmenkatalog für die Anwendung auf und legt für die einzelnen Maßnahmen Durchführungsfristen fest. Der Prüfungsmaßstab besteht dann darin festzustellen, wie hoch der Grad der übereinstimmung zwischen geplanten und durchgeführten Maßnahmen ist.313 Für die "übererfüllung" der gesetzlichen Anforderungen wird also gerade kein objektiver Maßstab angelegt.314 Vielmehr bestimmen die datenverarbeitenden Stellen selbst, um wieviel sie ihre Datenschutzanstrengungen über das rechtlich geforderte Minimum hinaus verbessern wollen.315

Der subjektive Maßstab setzt an der Leistungsfähigkeit des einzelnen Unternehmens an.316 Dadurch sind merkwürdige Konstellationen möglich: So kann beispielsweise ein Unternehmen mit bereits installierter innovativer Technik und datenschutzgerechter Organisation nur noch auf vergleichsweise geringe Verbesserungen verweisen, wohingegen ein Unternehmen, das mit solchen Maßnahmen erst beginnt, sensationelle Verbesserungsleistungen dokumentieren kann, ohne jedoch im Ergebnis den Standard des ersten Unternehmens zu erreichen. Oder es kann die Situation entstehen, daß ein Unternehmen mit ehrgeizigen Zielen und der Festlegung von kurzen Durchführungsfristen, die sich dann am Ende des jeweiligen Prüfungszeitraumes lediglich zu 75% realisieren ließen, in der "Gesamtnote" schlechter dasteht als eine datenverarbeitende Stelle, die in ihr Datenschutzprogramm lediglich betriebswirtschaftlich notwendige Maßnahmen einstellt, diese aber jeweils zu 100% realisiert.317 Diese Probleme können teilweise durch die Vorgabe von Bewertungskriterien reduziert werden. Sie sind aber dem Grundsatz des Audits geschuldet, marktorientierte Anreize für eine freiwillige kontinuierliche Verbesserung des Datenschutzes entsprechend der Selbstverantwortung - und dies heißt auch entsprechend der Leistungsfähigkeit - des jeweiligen Unternehmens zu setzen. Das Datenschutzauditzeichen kann aufgrund solcher Effekte nicht verweigert werden. Die notwendige Transparenz im Wettbewerb kann jedoch über die Datenschutzerklärung hergestellt werden.

Ziele, die durch solche Anstrengungen immer besser erreicht werden können, sind etwa die datenschutzgerechte Organisation von Abläufen wie die organisatorische Trennung von Zahlung, Lieferung und Service oder der Verarbeitung von Verbindungs-, Nutzungs- und Abrechnungsdaten, der Schutz vor übereilter Einwilligung, die Unterrichtung der Betroffenen, die Organisation von Auskunft, Berichtigung, Sperrung und Löschung, die Verwendung als datenschutzkonform zertifizierter technischer Einrichtungen,318 die Erforschung und Fortentwicklung von datenschutzgerechten Dienstleistungen und Produkten oder die Integration von Datenschutz und Datensicherheit in die technischen Bestandteile der Anwendungen.

Als solche Anstrengungen im Rahmen einer zusätzlichen kontinuierlichen Verbesserung des Datenschutzes und der Datensicherheit sind auch Verbesserungen anzuerkennen, datenschutzrechtliche Zielbestimmungen und Optimierungsgebote besser zu erfüllen oder Abwägungen stärker zugunsten des Datenschutzes und der Datensicherheit ausfallen zu lassen.319 Diese Zielsetzungen und ihre Konkretisierung in Form von Prinzipien für die Systemherstellung, Systemauswahl, Systemkonfiguration und Nutzung, sind zwar rechtlich vorgegeben und fallen somit unter die Einhaltung von Datenschutzregelungen. Sie können aber im Rahmen des Datenschutzrechts mehr oder minder gut erreicht werden. Ihre optimale Erfüllung sicherzustellen, sollte eine Hauptfunktion des Datenschutzaudits sein.320 Wer hier einen höheren Aufwand betreibt als andere, verdient eine Auszeichnung. Insgesamt sollte diese Funktion des Datenschutzaudits darin gesehen werden, "die Ziele der Dateneinsparung und eines hohen Datenschutzniveaus durch Stärkung der unternehmerischen Selbstverantwortung, der Transparenz und des Wettbewerbs zu erreichen".321

Als Verbesserungen sind auch Anstrengungen anzusehen, auf die Ausnutzung datenschutzrechtlich gegebener Niveauunterschiede zu verzichten. Beispielsweise ist für die Datenverarbeitung im Zusammenhang mit einem Vertragsverhältnis das BDSG mit seinen für die Datenverarbeitung privater Stellen geltenden Normen einschlägig, auch wenn der Vertrag dem mit Hilfe eines Teledienstes abgeschlossenen wurde. Das Schutzniveau des BDSG bleibt jedoch hinter dem Schutzniveau des TDDSG zurück. Insbesondere der Grundsatz der Datensparsamkeit ist im BDSG (noch) nicht normiert. Es besteht die Gefahr, daß die Forderung des TDDSG nach einer anonymen Nutzung und Bezahlung von Telediensten unterlaufen wird, wenn sich der Käufer bei Abschluß des Kaufvertrags durch die Gestaltung der Vertragsabwicklung identifizieren lassen muß. Um das Regelungsziel des TDDSG zu erreichen, müssen dessen Anforderungen in das allgemeine Datenschutzrecht ausstrahlen. Anknüpfungspunkt könnte der im allgemeinen Datenschutzrecht geltende Erforderlichkeitsgrundsatz sein.322 Das Datenschutzaudit sollte dazu führen, lebensweltlich zusammengehörende Sachverhalte ganzheitlich zu sehen, nicht formaljuristisch aufzuspalten, sondern als zusammenhängende Abläufe an einem hohen Datenschutzniveau zu orientieren.

Die Abwägungs- und Optimierungsklauseln sind somit zweimal Prüfungskriterien: einmal in einer vertretbaren Konkretisierung des Anbieters als für alle Teilnehmer gleicher Mindeststandard und einmal als Verbesserungsziel für die individuellen Datenschutzanstrengungen. Für den Anbieter ist es weder erforderlich noch sinnvoll in der Datenschutzerklärung detailliert aufzuschlüsseln, welche Maßnahme der Erfüllung des objektiven und welche der des subjektiven Kriteriums dient. Entscheidend ist ein Gesamtkonzept für das Datenschutzmanagement, in dem der Datenschutzgutachter durchgängig die Einhaltung der Mindeststandards erkennen kann und in der er auch ausreichende überobligationsmäßige Beiträge feststellt.

Der konkrete subjektive Maßstab ergibt sich aus der Datenschutzpolitik und deren Konkretisierung in einem Datenschutzprogramm. Für die Formulierung der Datenschutzpolitik ist es nicht notwendig, daß jeder Anbieter die Prinzipien und Leitlinien, denen er sein Unternehmen verpflichten will, jeweils immer wieder selbst erarbeitet. Vielmehr wäre dies der geeignete Ort für eine Selbstregulierung der Branchen323 oder internationaler "Codes of Conduct". Für den Bereich der Multimediadienste könnten etwa die "Prinzipien und Leitlinien zum Datenschutz bei Multimediadiensten" des Arbeitskreises "Datenschutzaudit Multimedia" als Vorbild dienen.324 Anbieter von Internetdiensten könnten sich auch an der Recommendation No. R(99)5 des Europarats zum Schutz der Privatsphäre im Internet orientieren.325 Jeder einzelne Anbieter könnte diese als Datenschutzpolitik seines Unternehmens übernehmen oder sie seinen spezifischen Verhältnissen anpassen. Er könnte sie zur Orientierung wählen, wenn er in seinem Datenschutzprogramm für einen bestimmten Zeitraum die Maßnahmen festlegen muß, mit denen er selbstgesteckte Ziele erreichen will.

Bei der Prüfung des subjektiven Maßstabs ist in der Datenschutzprüfung zu kontrollieren, ob die im Datenschutzprogramm selbstgesteckten Ziele erreicht werden konnten, festzustellen, an welchen Gründen eine Erfüllung der Ziele scheiterte, und ein Datenschutzprogramm für die nächste Auditperiode aufzustellen. Dieses Datenschutzprogramm muß ein in sich geschlossenes Konzept enthalten, wie das Datenschutzmanagementsystem die selbstgewählten Prinzipien und Leitlinien für den Datenschutz umsetzt. Es darf sich an der individuellen Leistungsfähigkeit des Anbieters ausrichten, muß aber als Entwicklungskonzept zu einer kontinuierlichen Verbesserung des Datenschutzes überzeugen. Dies festzustellen, ist eine Aufgabe des Datenschutzgutachters. Ihm kommt daher eine besondere Bedeutung für die Vertrauenswürdigkeit des gesamten Auditsystems zu.326

312S. für das Umwelt-Audit Art.2 lit c) der EG-AUVO.
313S. dazu Anhang II Teil F Nr. 2 lit. b) der EG-AUVO.
314Dies jedoch unterstellen Drews/Kranz, DuD 1998, 94, und kritisieren diese falsche Annahme.
315S. für das Umweltschutz-Audit z.B. Theuer 1998, 50.
316Dies fordert auch die Gesellschaft für Datenschutz und Datensicherung, GDD-Mitteilungen 2/99, 3f.
317Zu dieser Kritik am Prüfungsmaßstab für das Umwelt-Audit z.B. Wruk, UWF 1993, Heft 3, 61. Dieses Phänomen wird auch als "ökologische Zertifizierung normaler
betriebswirtschaftlicher Prozesse" - Halley/Pfriem, UWF 1993, Heft 3, 51 - bzw. als "Prämierung von Trendsparen" - Kurz/Spiller ZAU 1992, 305 - bezeichnet.

318S. hierzu näher Kap. 3.2.1 und 5.1.1.
319S. hierzu ausführlich Kap. 3.4.1.
320S. hierzu für § 3 Abs. 4 TDDSG Bundesrat, BT-Drs. 13/7385, 57; s. allgemein Roßnagel, DuD 1997, 508.
321S. provet 1996, Begründung zu § 11 des vorgeschlagenen Multimedia-Datenschutz-Gesetzes; ebenso Begründung zu § 17 MD-StV; Bachmeier, DuD 1997, 680;
Engel-Flechsig, DuD 1997, 15; Vogt/Tauss 1998, 19.

322S. hierzu Grimm/Löhndorf/Scholz, DuD 1999, 275.
323S. hierzu auch die Verhaltenskodizes, die sich viele Branchen in Großbritannien und den Niederlanden gegeben haben - s. hierzu Kap. 1.1.4.
324S. DuD 1999, 285 ff. sowie die WWW-Nachweise in Kap. 1.1.2.
325S. MMR 1999, XIVf.
326S. hierzu auch Kap. 3.8.

 

3.4.3 Gewährleistung von Vergleichbarkeit und Zielerreichung

Die Kriterien des Datenschutzaudits müssen zwei Funktionen erfüllen: Sie müssen zum einen sicherstellen, daß die Ziele des Datenschutzaudits erreicht werden. Sie müssen insbesondere zu einer Verringerung des Vollzugsdefizits beitragen und eine kontinuierliche Verbesserung des Datenschutzniveaus in der jeweiligen Anwendung bewirken. Zum anderen müssen sie die Vergleichbarkeit der Teilnahmeerklärung gewährleisten. Für diese Funktionserfüllung stellen sich insbesondere zwei Probleme: Wie können hinsichtlich des objektiven Kriteriums Zielerreichung und Vergleichbarkeit bei Anwendungen, insbesondere bei Tele- und Mediendiensten gesichert werden, die vom Ausland aus angeboten werden? Wie kann hinsichtlich des subjektiven Kriteriums bei individueller Maßstabswahl eine Vergleichbarkeit der jeweilige Fortschritte im Datenschutz und in der Datensicherheit erreicht werden?

Für das erste Problem bietet sich folgende Lösung an: Anbieter, die ihre Anwendung, etwa einen Teledienst vom Ausland aus betreiben, aber in der Bundesrepublik Deutschland anbieten,327 unterliegen für die Verarbeitung personenbezogener Daten in ihrem Heimatland den dortigen Datenschutzgesetzen. Sie können nicht am Maßstab des TDDSG und anderer deutscher Datenschutzregelungen gemessen werden. Sie nur an den Anforderungen ihres Heimatstaates zu messen, würde zu Wettbewerbsverzerrungen führen. Da für sie nicht der gleiche Maßstab wie für ihre deutschen Konkurrenten gelten kann, muß aber zumindest ein vergleichbarer Maßstab gewählt werden. Da sie am deutschen Datenschutzaudit teilnehmen und am Markt damit werben wollen, den deutschen Datenschutzanforderungen gerecht zu werden und darüber hinaus weitere Anstrengungen für den Datenschutz zu unternehmen, müssen sie an vergleichbaren Anforderungen wie ihre deutschen Konkurrenten gemessen werden.

Für sie sollte der gleiche Maßstab gelten, den § 14 Abs. 5 SigG für die Berücksichtigung ausländischer Bestätigungen für technische Komponenten328 und § 15 SigG für die Gleichstellung ausländischer digitaler Signaturen mit digitalen Signaturen nach dem Signaturgesetz329 ansetzen: Ausländische digitale Signaturen müssen eine "gleichwertige Sicherheit" aufweisen und ausländischen Bestätigungen müssen "gleichwertige" technische Anforderungen, Prüfungen und Prüfverfahren zugrunde liegen. Einen ähnlichen Maßstab legt die EG-Datenschutzrichtlinie für den Vergleich mit anderen Datenschutzregimen an. Nach Art. 25 Abs. 1 der EG-Datenschutzrichtlinie ist die übermittlung personenbezogener Daten in ein Drittland nur zulässig, wenn dieses Drittland ein "angemessenes Datenschutzniveau" gewährleistet.

Die Gleichwertigkeit des Datenschutzes und der Datensicherheit in den Telediensten des ausländischen Anbieters hat sich an dem in der Bundesrepublik Deutschland geltenden Niveau auszurichten. Zwar kann nicht die buchstabengetreue Erfüllung aller Datenschutzanforderungen in der Bundesrepublik Deutschland zur Voraussetzung für das Bestehen des Datenschutzaudits erhoben werden. Insbesondere kann von ausländischen Anbietern nicht gefordert werden, daß sie formelle Anforderungen, wie etwa vorgesehene Meldungen an Behörden, erfüllen. Allerdings muß im Interesse einer Vergleichbarkeit gefordert werden, daß sie die wesentlichen materiellen Anforderungen der Datenvermeidung, der Zweckbindung, der Transparenz und der Wahrung der Entscheidungsfreiheit und der Rechte des Betroffenen sowie der Datensicherheit gewährleisten.

Für das zweite Problem, die Vergleichbarkeit subjektiver Fortschritte im Datenschutz, ist festzustellen: Die subjektive, individuelle Festlegung des Verbesserungsziels entsprechend den Möglichkeiten des jeweiligen Anbieters von Anwendungen wie zum Beispiel Telediensten darf nicht zu Beliebigkeit und damit in der Folge zu Wettbewerbsverzerrungen führen. Daher besteht auch für den subjektiven Maßstab die Notwendigkeit von Rahmenvorgaben.

Für das Umweltschutz-Audit wirken die in Anhang I D zur UAVO genannten "guten Managementpraktiken" als Rahmenregelungen.330 Als gemeinsame Zielsetzung für alle Teilnehmer wirken die zwei Anforderungen, den Umweltschutz tatsächlich kontinuierlich zu verbessern und die Umwelteinwirkungen soweit zu verringern, wie dies mit der besten verfügbaren und wirtschaftlich vertretbaren Technik möglich ist.331 Für das Datenschutzaudit könnten die subjektiven Bewertungskriterien durch vergleichbare Anforderungen materiell ausgerichtet und vergleichbar gehalten werden. Sie könnten sich zwar immer noch von Anwendung zu Anwendung unterscheiden, weil sie ja subjektive Kriterien sind, hätten aber einen gemeinsamen Vergleichsrahmen.

Außerdem könnten sich in freier Selbstorganisation erarbeitete Prinzipien und Leitlinien für den Datenschutz in der jeweiligen Branche als gemeinsame Orientierungsmarken für alle Anbieter herausbilden.Da die Einhaltung des Datenschutzrecht ohnehin für alle Teilnehmer selbstverständlich ist, wären die für das Datenschutzaudit entscheidenden subjektiven Anforderungen ein geeigneter Gegenstand für branchenbezogene Selbstregulierung.

327S. zur Möglichkeit der Teilnahme an einem Datenschutzaudit für ausländische Anbieter Kap. 3.3.4.
328S. hierzu näher Roßnagel 1999, § 14 SigG, Rn. 168 ff.
329S. hierzu näher Roßnagel 1999, § 15 SigG, Rn. 39 ff.
330Nach dem Revisionsvorschlag der Europäischen Kommission sollen diese ersetzt werden durch Kap. 4 der Internationalen Norm ISO 14.001.
331S. Feldhaus, UPR 1998, 43.

 

3.5  Verfahren

Nach den bisherigen überlegungen kann das Verfahren des Datenschutzaudits weitgehend entsprechend dem Vorbild des Umweltschutz-Audits bestimmt werden. In Anlehnung an dieses sollte das Datenschutzaudit in neun Schritten durchgeführt werden:

  1. Die datenverarbeitende Stelle beginnt das Datenschutzaudit damit, daß sie eine Eingangsprüfung durchführt. Diese erbringt für jede Anwendung eine Bestandsaufnahme des Status der Verarbeitung personenbezogener Daten und des Status geltender Datenschutzregeln.
  1. Nach dieser Bestandsaufnahmen verpflichtet sich die datenverarbeitende Stelle schriftlich zu einer die gesamte Organisation oder eine Anwendung betreffenden Datenschutzpolitik.
  1. Auf dieser Grundlage erstellt die datenverarbeitende Stelle ein Datenschutzprogramm mit den konkreten Datenschutzzielen und dem Katalog konkreter Maßnahmen und dem Fristenplan zur Umsetzung der Datenschutzpolitik für die jeweilige Anwendung.
  1. Parallel zum Datenschutzprogramm wird ein Datenschutzmanagementsystem eingerichtet, das die Organisationsstruktur, die Zuständigkeiten sowie die Verfahren, Abläufe und Mittel zur Verwirklichung der Datenschutzpolitik festlegt.
  1. In periodischen Abständen führt die datenverarbeitende Stelle selbst eine Datenschutzprüfung als systematische und dokumentierte Analyse durch, ob Organisation, Management und Betriebsabläufe mit der Datenschutzpolitik und dem Datenschutzprogramm übereinstimmen und die angestrebte Verbesserung des Datenschutzes erreicht haben.
  1. Als Ergebnis der jeweiligen Betriebsprüfung verfaßt die datenverarbeitende Stelle eine Datenschutzerklärung.
  1. Anschließend prüft ein zugelassener unabhängiger Datenschutzgutachter die Datenschutzpolitik, das Datenschutzprogramm, das Datenschutzmanagementsystem, die Datenschutzprüfung und die Datenschutzerklärung und bestätigt die Datenschutzerklärung.
  1. Bestätigt der externe Datenschutzgutachter die Datenschutzerklärung wird diese an die zuständige Behörde zur Registrierung im Verzeichnis der am Datenschutzaudit teilnehmenden Stellen weitergeleitet und anschließend veröffentlicht
  1. Aufgrund der Registrierung ist die datenverarbeitende Stelle berechtigt, ein Datenschutzauditzeichen für Werbezwecke zu nutzen.

 

3.6  Kommunikations- und Werbemöglichkeiten

Als "Belohnung" für die Anstrengungen des Datenschutzmanagementsystems bietet das Datenschutzaudit besondere Kommunikationsmöglichkeiten mit den Gruppen, die Ansprüche an das Unternehmen herantragen, wie Kunden, Vertragspartner, Mitarbeiter, Banken, Versicherungen, Anteilseigner, Behörden, Presse, Parteien und die interessierte öffentlichkeit. Die Instrumente hierfür sind die Datenschutzerklärung und das Datenschutzauditzeichen.

3.6.1 Datenschutzerklärung und ihre Verwendung

Nach jedem Prüfungsverfahren wird als Ergebnis eine Datenschutzerklärung erstellt, die auf alle relevanten Problemstellungen eingeht und von einem externen Gutachter anhand des angesprochenen Prüfungsmaßstabs auf ihre übereinstimmung mit den Bestimmungen des Datenschutzauditgesetzes überprüft wird.332 Die Datenschutzerklärung wird für die öffentlichkeit verfaßt. Jeder Bürger kann die Erklärung anfordern.333 Damit ist eine doppelte Zielsetzung verbunden.

Zum einen soll eine gewisse Transparenz der Datenverarbeitung der Unternehmen erreicht werden. Die Datenschutzerklärung bietet Verbrauchern, die auf Datenschutz Wert legen, ein hilfreiches Entscheidungskriterium bei konkurrierenden Angeboten.334 Die Teilnahmeerklärung kann nur zwischen Teilnahme und Nichtteilnahme am Datenschutzaudit unterscheiden. Dadurch werden Differenzierungen im Datenschutzniveau nicht deutlich.335 Der "Datenschutzprofi bekommt dasselbe Zeichen wie der "Datenschutzanfänger". Daher kommt der Datenschutzerklärung die zentrale Aufgabe zu, die konkreten Zielsetzungen und Maßnahmen eines Anbieters im Unterschied zu anderen deutlich zu machen. Jeder Anbieter hat die Chance, sich durch Zahlen und Fakten zum gewährleisteten Datenschutz gegenüber Mitbewerbern zu profilieren.336

Zum anderen soll durch die gezielte Einbindung der öffentlichkeit ein funktionales äquivalent zur faktisch geringen Vollzugskompetenz der Datenschutz- und Aufsichtsbehörden geschaffen werden.337 Eine informierte und interessierte öffentlichkeit kann die Verwaltung von mancher Kontrollaufgabe entlasten, wenn die Eigenverantwortlichkeit der datenverarbeitenden Stellen dadurch gefordert wird, daß sie die Glaubwürdigkeit ihrer Tätigkeiten vor dem Forum der öffentlichkeit belegen müssen.338 Mit dieser Zielsetzung sollten die datenverarbeitenden Stellen mit interessierten Stellen einschließlich der Betroffenen einen offenen Dialog über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen ihrer Anwendungen führen, um die Sorgen ihrer Anspruchsgruppen kennenzulernen.339 Beide Zielsetzungen legen es nahe, die externe Datenschutzberichterstattung als besondere Kommunikationssituation zu verstehen.340 Die Erklärung sollte daher folgende Anforderungen erfüllen:

Die Datenschutzerklärung muß glaubwürdig sein. Je offener und vollständiger sie abgefaßt ist, desto positiver wird sie sich bei der externen Kommunikation über Datenschutzfragen auswirken.341 Nur Datenschutzerklärungen mit Substanz können Arbeitsinstrument sein - für Banken bei der Kreditvergabe, für Versicherungen bei der Prämienfestsetzung, für Anleger beim Aktienkauf, für andere Unternehmen bei der Auswahl ihrer Kooperationspartner, für Consultants bei ihrer Beratung oder für Behörden bei ihrer Prüfung.342

Sofern die datenverarbeitenden Stellen mit der Datenschutzerklärung unterschiedliche Anspruchsgruppen ansprechen wollen, können die Datenschutzerklärungen aus unterschiedlichen Darstellungen bestehen, zum Beispiel einem Teil, der möglichst viele Daten und Informationen enthält und in erster Linie für die Fachleute bestimmt ist, und einem Teil, der in knapper und verständlicher Form verfaßt ist, verständliche Darstellungen der Daten beinhaltet und sich insbesondere an die breitere öffentlichkeit richtet und zu Werbezwecken verwandt werden kann.343 Dieser an die öffentlichkeit gerichtete Teil der Datenschutzerklärung muß allerdings in seinen Aussagen vom Datenschutzgutachter validiert sein. Er muß repräsentativ, korrekt, nachprüfbar, relevant und unmißverständlich sein und darf nicht irreführen.344

Im Bereich des Umweltschutzes sind die Umweltschutzerklärungen bereits vielfach für das "Ranking" von Unternehmen benutzt worden.345 So hat etwa das Wirtschaftsmagazin "Capital" im Mai 1998346 die 150 größten deutschen Unternehmen sowie viele mittelständische Unternehmen nach ihrem Umweltbericht gefragt, die Ergebnisse ausgewertet und zu einem "Ranking" für die besten Umweltberichte und Standorterklärungen verarbeitet. Solche "Rankings" stoßen offensichtlich in der öffentlichkeit auf großes Interesse, weil sie vergleichende Transparenz hinsichtlich einer für Außenstehende schwer durchschaubaren Fragestellung schaffen. Für das Gesamt-Image eines Unternehmens macht es sich bemerkbar, ob es mit "sehr gut" unter den Siegern oder mit "nicht ausreichend" unter den Verlierern zu finden ist.

332S. für das Umwelt-Audit Art. 5 Abs. 2 und 3 lit.b) der EG-UAVO; s. hierzu z.B. auch Wohlfahrt/Signon 1998, 91 ff.
333Nach Anhang III Nr. 3.6 UAVO-RevE müssen die Organisationen dem Umweltgutachter nachweisen können, daß Einzelpersonen mit einem berechtigten Interesse am
betrieblichen Umweltschutz der Organisation problemlos und uneingeschränkt Zugang zu den Informationen der Umwelterklärung haben .

334S. Roßnagel, AgV-Forum 1999, 41.
335S. hierzu auch Kap. 2.1.
336S. Hönes/Küppers 1998, 9.
337S. für das Umwelt-Audit Scherer, NVwZ 1993, 15; Schmidt-Aßmann, DVBl 1993, 933; Scheuing 1994, 345; Falk/Nissen, DB 1995, 2101; Köck, JZ 647; Kothe 1996,
71f.; Schmidt-Preuß 1997a, 1167.

338So für das Umweltschutz-Audit Schmidt-Aßmann, DVBl 1993, 933.
339Nach Anhang I B Nr. 3 der UAVO-RevE müssen Organisationen "mit interessierten Stellen, einschließlich der lokalen Gebietskörperschaften und Kunden, einen offenen
Dialog über die Umweltauswirkungen ihrer Tätigkeiten, Produkte und Dienstleistungen führen, um die Sorgen ihrer Interessengruppen kennenzulernen".

340S. für die Umweltberichterstattung Clausen/Fichter, 1995, 7 ff.; Forschungsgruppe Betriebliche Umweltpolitik 1996, 47; Peter/Küppers 1997, 14f.; Freimann 1997, 584;
Ganse/Gasser/Jasch 1997, 95 ff.

341ähnlich für die Umweltberichterstattung Clausen/Fichter, 1995, 116 ff.
342ähnlich für das Umweltschutz-Audit Hönes/Küppers 1998, 9.
343Diese Differenzierung ermöglicht Anhang III Nr. 3.4 der UAVO-RevE – s. hierzu auch Krisor, ökologisches Wirtschaften 3-4/1998, 27.
344S. hierzu ebenfalls Anhang III Nr. 3.4 der UAVO-RevE.
345S. z.B. das Ranking des Rationalisierungs-Kuratoriums der Deutschen Wirtschaft (RKW) e.V. in Peter/Küppers 1997 und des öko-Instituts in Hönes/Küppers 1998; s. zu
weiteren Rankings Ganse/Gasser/Jasch 1997, 169 ff.

346Capital 5/1998 vom 24.4.1998.

 

3.6.2 Datenschutzauditzeichen und Werbemöglichkeiten

Nach der Registrierung ist die datenverarbeitende Stelle berechtigt, zu Marketingzwecken ein Datenschutzauditzeichen zu verwenden.347 Dieses Logo kann sie für die Kommunikation mit der öffentlichkeit, insbesondere für Vertrauenswerbung nutzen. Ein gesetzlich geschütztes Zeichen für die überprüfte Selbstverpflichtung zur Einhaltung aller rechtlichen Datenschutzanforderungen und zu weitergehenden Anstrengungen zur kontinuierlichen Verbesserung des Datenschutzes und der Datensicherheit bietet tatsächlich eine Grundlage, dem Unternehmen Vertrauen entgegenzubringen. "Wer sich künftig mit der werbewirksamen Teilnahmerklärung präsentiert, erhöht die Glaubwürdigkeit und Akzeptanz seines Unternehmens hinsichtlich des (Datenschutzes), steigert die Vertrauenswürdigkeit gegenüber Geschäftspartnern und optimiert die Identifikation der Mitarbeiter mit dem Betrieb."348

Die Werbemöglichkeiten müssen dem Gegenstand und der Intensität des Audits entsprechen. Wenn der Gegenstand des Datenschutzaudits das Datenschutzmanagementsystem einer Anwendung ist349 und diese nur stichprobenweise auf die Erfüllung der rechtlichen Anforderungen und die kontinuierliche Verbesserung des Datenschutzes und der Datensicherheit überprüft wurde,350 so kann sich die Werbung mit dem Zeichen auch nur auf die Teilnahme am Datenschutzaudit für die bestimmte Anwendung beziehen. Zu weitgehend wäre etwa die Werbeaussage, das Datenschutzaudit hätte die datenschutzrechtliche Unbedenklichkeit der Anwendung nachgewiesen. Wenn weder die Datenschutzkonformität eines Unternehmens noch die eines konkreten Produkts Gegenstand des Audits war, darf sich die Werbeaussage nicht auf ein konkretes Produkt oder das Unternehmen als solches beziehen. Wohl aber entspricht es dem Prüfgegenstand und dem Prüfungsumfang, wenn das Unternehmen mit seiner Teilnahme am Datenschutzaudit für die geprüfte Anwendung allgemeine Image-Werbung betreibt oder wenn es mit der Teilnahmeerklärung ein "Produkt" bewirbt, das mit der geprüften Anwendung identisch oder ein Teil der Anwendung ist.351

Für das Umweltschutz-Audit ist die Verwendung der Teinahmeerklärung in der unmittelbaren Produktwerbung ausgeschlossen.352 Das gleiche sollte auch für das Datenschutzaudit gelten, da dieses nicht auf ein einzelnes Produkt bezogen ist.353 Statt eines "Gütesiegels"354 oder eines "Blauen Engels"355 für ein Produkt sollte als Werbemöglichkeit ein Datenschutzauditzeichen vorgesehen werden, das für die überprüfung des Datenschutzmanagements einer oder mehrerer Anwendungen steht.

ähnlich wie nach dem UAVO-RevE der Europäischen Kommission356 sollte das Datenschutzauditzeichen jedoch in Verbindung mit Datenschutzinformationen zu Tätigkeiten, Produkten und Dienstleistungen einer Organisation verwendet werden dürfen, sofern die Informationen der Datenschutzerklärung entnommen und vom Datenschutzgutachter validiert worden sind. Sie müssen exakt, unmißverständlich, begründet, nachprüfbar, relevant, signifikant, spezifisch und eindeutig sein und dürfen nicht irreführen. Das Datenschutzauditzeichen darf nicht in allgemeiner Werbung für Produkte, Tätigkeiten und Dienstleistungen eingesetzt und nicht bei vergleichenden Werbeaussagen verwendet werden.

Für die Nutzung des Datenschutzauditzeichens im Zusammenhang mit der jeweiligen Anwendung bietet sich für Teledienste die "Welcome-Page" geradezu an. Auch die WWW-Seiten zum Unternehmen selbst könnten das Datenschutzauditzeichen mit Hinweis auf den auditierten Teledienst enthalten. In allen Fällen, in denen mit dem Datenschutzauditzeichen im Internet geworben wird, sollte ein Link auf eine Hypertext- oder Download-Fassung der Datenschutzerklärung bestehen. Dadurch kann jeder Interessierte die getroffene Werbeaussage inhaltlich vollständig nachvollziehen und selbst feststellen, auf was sich die Teilnahmeerklärung konkret bezieht. Auf diese Weise wird das undifferenzierte Datenschutzauditzeichen357 inhaltsreicher und bringt die von Wettbewerber zu Wettbewerber unterschiedlichen Anstrengungen und Gewichtsetzungen zum Ausdruck.

Die Werbemöglichkeit bietet für die datenverarbeitenden Stellen einen Anreiz, sich am Datenschutzaudit zu beteiligen. Das Datenschutzauditzeichen ist ein geeignetes Qualitäts- und Unterscheidungsmerkmal gegenüber der Konkurrenz. Es bietet Kunden, die auf Datenschutz Wert legen, ein hilfreiches Entscheidungskriterium bei konkurrierenden Angeboten. Es könnte den Zugang zu öffentlichen Fördermitteln erleichtern und zu einer Bevorzugung bei öffentlichen Aufträgen führen.358 Zugleich bietet das Datenschutzauditzeichen der öffentlichkeit die Möglichkeit, das Unternehmen und dessen Politik mit seiner Selbstverpflichtung zu vergleichen, Fortschritte im Datenschutz zu beobachten und eventuell öffentlich einzuklagen.

Eröffnete oder ausgelassene Gelegenheiten zur Datenvermeidung und Dateneinsparung, unternommene oder unterlassene Anstrengungen zur Organisation pseudonymer oder anonymer Nutzung von Informationstechnik, Alternativen in der Systemherstellung, Systemauswahl, Systemkonfiguration und Anwendung sind für Außenstehende schwer zu erkennen und zu bewerten. Ein Datenschutzaudit schafft in diesen Fragen öffentlichkeit und Transparenz. Es führt zu einer stärkeren Unterscheidungsfähigkeit in Unternehmen, die Datenschutzanstrengungen unternehmen und Unternehmen, die solche Anstrengungen ablehnen. Diese weitergehende Differenzierungsfähigkeit stärkt die Marktposition nicht nur der datenschutzfreundlichen Unternehmen, sondern auch der Verbraucher.359

Das Datenschutzaudit kann eine gewisse Sogwirkung ausüben: Nehmen wichtige Konkurrenten an dem Verfahren teil, können sich auch andere Unternehmen gezwungen sehen, sich zu beteiligen.360 Ob ein Unternehmen, das am Datenschutzaudit teilnimmt, aus diesem wieder ausscheren kann, dürfte davon abhängen, wie sehr es vom Vertrauen der Anspruchsgruppen abhängig ist361 und wie sehr diese sich für das Datenschutzaudit interessieren. Von der Idee des Datenschutzaudits her sollte der Image-Verlust so groß sein, daß ein in der öffentlichkeit agierendes Unternehmen - aufgrund der Wettbewerbsdrucks - sich diesen Schritt kaum leisten kann. Da die Unternehmen noch andere Anreiszsysteme zu beachten haben und nicht alle existenziell vom Vertrauen ihrer Anspruchsgruppen abhängen, bleibt in der Wirklichkeit den meisten Unternehmen ein beträchtlicher Entscheidungsspielraum, der ihnen erlaubt die Vor- und Nachteile einer weiteren Teilnahme gegeneinander abzuwägen.362 Andererseits ist eine gewisse Sogwirkung zu erwarten und auch beabsichtigt.363

347Für das Umweltschutz-Audit wird nach Art. 10 UAVO zu diesem Zweck eine Teilnahmeerklärung gemäß Anhang IV der UAVO angeboten; s. hierzu z.B.
Sellner/Schnutenhaus, NVwZ 1993, 931; nach Art. 8 Abs. 1 UAVO-RevE soll diese Teilnahmeerklärung durch ein Zeichen ersetzt werden, das eingängiger
und verständlicher ist – s. hierzu Storm, NVwZ 1998, 343f.; Lütkes/Ewer, NVwZ 1999, 24.

348Bundesumweltministerium 1995, 17 für das Umweltschutz-Audit.
349S. hierzu Kap. 3.1.3.
350S. näher Kap. 3.2.1.
351S. hierzu auch Kap. 3.1.3.
352Art. 10 Abs. 3 EG-UAVO.
353S. hierzu oben Kap. 4.
354Begründung zu § 17 des MD-StV; ebenso Bachmeier, DuD 1996, 680; Engel-Flechsig, DuD 1997, 15; Berliner Datenschutzbeauftragter 1997, 134.
355Berliner Datenschutzbeauftragter 1997, 134.
356S. Art. 8 Abs. 2 bis 4 UAVO-RevE.
357S. hierzu Kap. 2.1.
358S. für das Umweltschutz-Audit z.B. Sellner/Schnutenhaus, NVwZ 1993, 932; Kothe 1996, 17. Nach einer Meldung der Frankfurter Rundschau vom 19.3.1999 beabsichtigt
das Bundesumweltministerium, die Vergabe von öffentlichen Aufträgen an die Bereitschaft von Unternehmen zu koppeln, Umweltmanagement zu betreiben. Bei der Auswahl
von Unternehmen sollte auch deren kontinuierliche Leistungsbereitschaft berücksichtigt werden, für die eine erhöhte Störanfälligkeit als Minuspunkt gelten könnte. Eine
vergleichbare Regelung – allerdings nicht für Unternehmen, sondern für IT-Produkte sieht der Gesetzentwurf zu einem neuen Bundesdatenschutzgesetz der Bundestagsfraktion
BüNDNIS90/DIE GRüNEN in der Begründung zur Datenschutzaudit-Vorschrift vor: "Das Instrument des Datenschutzaudits läßt sich dadurch fördern, daß bewertete Produkte
bei der Anschaffung vorgezogen werden." In der vorgeschlagenen Regelung des § 16 Abs. 2 Satz 3 ist hierzu ergänzend geregelt: "Produkte, deren Vereinbarkeit mit den
Regeln des Datenschutzes und der Datensicherheit in einem förmlichen Verfahren geprüft worden und positiv bewertet worden sind, sollen vorrangig berücksichtigt werden."
Diese Aufforderung richtet sich an alle datenverarbeitenden Stellen.

359S. Roßnagel, AgV-Forum 1999, 41.
360Ebenso für das Umweltschutz-Audit Sellner/Schnutenhaus, NVwZ 1993, 932; Schneider, Verwaltung 1995, 367; Schmidt-Preuß 1997a, 1166f.
361Ein spürbarer Teilnahmedruck ergibt sich beim Umweltschutz-Audit dadurch, daß Kreditgeber und Versicherer die Teilnahme bei der Einstufung des "credit standing" oder der
Risikobeurteilung zunehmend honorieren – s. Schmidt-Preuß 1997a, 1167.

362Daher dürfte es übertrieben sein, das Umweltschutz-Audit als "unentrinnbares selbstregulatives perpetuum mobile" zu bezeichnen – so Schmidt-Preuß 1997b, 187. Dieser
"Unentrinnbare" Mechanismus hält jedenfalls viele Unternehmen nicht davon ab, aus dem Umweltschutz-Audit wieder auszuscheiden.

363S. Kap. 3.3.2.

 

3.7  Zusammenarbeit mit dem Betriebsbeauftragten für den Datenschutz

Das Datenschutzaudit wird für die teilnehmenden datenverarbeitenden Stellen zusätzliche Kosten verursachen.364 Allerdings ist die Erfahrung vieler Unternehmen mit dem Umweltschutz-Audit, daß das Audit mehr Geld durch das Aufzeigen betrieblicher Einsparpotentiale einspart, als seine Durchführung gekostet hat.365 Die Amortisationsrate für die Kosten des Umweltschutz-Audit beträgt im Durchschnitt 1,5 Jahre.366 Ob für das Datenschutzaudit ähnliche Ergebnisse zu verbuchen sind, bleibt abzuwarten. Wenn es sich - auch im Hinblick auf seinen Werbeeffekt und die Kosten anderweitiger Werbemaßnahmen - als zu teuer erweist, wird es sich aufgrund seiner Freiwilligkeit ohnehin nicht durchsetzen.

Um die Kosten eines Datenschutzaudits in Grenzen zu halten, bietet es sich an, die Fachkompetenz im eigenen Unternehmen für die Durchführung des Audits zu nutzen. Vor allem drängt es sich auf, dem im nicht-öffentlichen Bereich nach § 36 BDSG ohnehin zu bestellenden betrieblichen Datenschutzbeauftragten hierbei eine zentrale Rolle einzuräumen.367 Denn zwischen seinen Aufgaben und denen des Datenschutzaudits bestehen viele Parallelen.368 Das Unternehmen muß sich in seiner Datenschutz-Politik verpflichten, die einschlägigen Datenschutz-Vorschriften einzuhalten und den Datenschutz kontinuierlich zu verbessern. Die zentrale Aufgabe des betrieblichen Datenschutzbeauftragten gemäß § 37 BDSG ist es, die Einhaltung datenschutzrechtlicher Vorschriften sicherzustellen.369 Viele Teilaufgaben, die er in diesem Rahmen zu erfüllen hat, können auch für die Vorbereitung des Audits und die interne Betriebsprüfung genutzt werden:

Zur Vorbereitung des Datenschutzaudits hat das Unternehmen in einer Eingangsprüfung eine Bestandsaufnahme zur Verarbeitung personenbezogener Daten und der einschlägigen Datenschutzrechtsvorschriften zu erstellen. Diese Aufgabe fällt weitgehend mit der Aufgabe des Datenschutzbeauftragten zusammen, die ordnungsgemäße Anwendung der Datenverarbeitungs-Programme zu überwachen. Zu diesem Zweck ist er nämlich über alle Vorhaben der automatisierten Verarbeitung personenbezogener Daten im Unternehmen zu unterrichten. Außerdem ist ihm eine übersicht über die eingesetzten Datenverarbeitungsanlagen zur Verfügung zu stellen, die Bezeichnung und Art der Dateien, die Art der gespeicherten Daten, die Geschäftszwecke, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist, deren regelmäßige Empfänger sowie die zugriffsberechtigte Personengruppe oder Personen, die allein zugriffsberechtigt sind. Er hat schließlich die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den einschlägigen Datenschutzvorschriften vertraut zu machen. Bei ihm ist das Wissen über die Verarbeitung personenbezogener Daten und die hierfür relevanten Rechtsvorschriften bereits vorhanden.

Aufgrund dieser Informationen weiß der betriebliche Datenschutzbeauftragte am besten, wo der Datenschutz verbessert werden kann. Es dürfte sich daher empfehlen, ihn intern mit der konkreten Ausarbeitung eines Datenschutzprogramms zu beauftragen, in dem Verbesserungsziele sowie Maßnahmen und Fristen zu ihrer Umsetzung zu beschreiben sind. Verabschiedet und verantwortet werden muß das Datenschutzprogramm von der Unternehmensführung.

Da der Datenschutzbeauftragte bei der Auswahl der bei der Verarbeitung personenbezogener Daten tätigen Personen beratend mitzuwirken hat, könnte er auch wertvolle Hilfestellungen für die Etablierung eines Datenschutzmanagementsystems geben. Er kann vor allem bei der Installation einer Ablaufkontrolle etwa durch die Vorbereitung von Arbeitsanweisungen und überwachungsverfahren unterstützend wirken. Zu den "guten Managementpraktiken"370 gehören auch die Motivation, Information und Ausbildung aller Unternehmensangehörigen, die mit der Verarbeitung personenbezogener Daten betraut sind. Dies ist eine originäre Aufgabe des Datenschutzbeauftragten.371

Dem Datenschutzbeauftragten sind ohnehin änderungen in der Art, im Konzept und in der Zwecksetzung der Verarbeitung personenbezogener Daten ebenso zu melden wie die Nutzung neuer Verfahren und Techniken. Daher bietet es sich an, ihm auch die wiederkehrende interne Datenschutzprüfung zu übertragen. Für die Prüfung fordert die UAVO in Art. 2 lit. l und Anhang II Teil C, daß sie von fachlich kompetenten, objektiven und unabhängigen Prüfern durchgeführt wird. Diese Anforderungen werden in der Person des Datenschutzbeauftragten erfüllt.372 Als Ergebnis dieser Betriebsprüfung kann der betriebliche Datenschutzbeauftragte dann auch die Datenschutzerklärung verfassen, die von dem externen Gutachter bestätigt werden soll. Schließlich kann der Datenschutzbeauftragte bei der abschließenden Prüfung Ansprechpartner für den externen Gutachter sein, diesen unterstützen und so die Prüfung wesentlich beschleunigen.

Durch das Datenschutzaudit sollen Strukturen für eine unternehmensinterne Kommunikation zu Datenschutzfragen aufgebaut werden.373 Diese Strukturen bestehen durch die Institution des betrieblichen Datenschutzbeauftragten bereits in Ansätzen. Sie sollen nicht nur die Einhaltung von Datenschutzrecht sicherstellen, sondern auch als Anker einer weitergehenden Kommunikation über eine Verbesserung des Datenschutzes dienen. Diese zweite Funktion des Datenschutzbeauftragten bekommt durch die Organisationsstrukturen des Datenschutzaudits und seine materielle Ausrichtung auf eine kontinuierliche Verbesserung des Datenschutzes und der Datensicherheit zusätzliche Entfaltungsmöglichkeiten und einen neuen Anschub. Die Teilnahme am Datenschutzaudit verbessert die Strukturen und konzentriert die Inhalte der datenschutzorientierten Kommunikation im Unternehmen.

Insgesamt könnten sich Datenschutzaudit und Datenschutzbeauftragte sehr gut ergänzen. Das Datenschutzaudit würde von dem Wissen und dem Engagement des Datenschutzbeauftragten profitieren. Umgekehrt würde das Datenschutzaudit die bestehende Aufgabe des Datenschutzbeauftragten, die Einhaltung des Datenschutzrechts sicherzustellen, unterstreichen und um die neue Aufgabe, den Datenschutz kontinuierlich zu verbessern, erweitern und damit insgesamt die innerbetriebliche Stellung des Datenschutzbeauftragten aufwerten.374

364Hierauf weisen auch Drews/Kranz, DuD 1998, 93f. zurecht hin.
365S. hierzu Kap. 3.1.2.
366S. näher Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127,7.
367Ebenso der Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.; Gesellschaft für Datenschutz und
Datensicherung, GDD-Mitteilungen 2/99, 3f. Für das Umweltschutz-Audit und die Umweltschutzbeauftragten ebenso Feldhaus, BB 1995, 1548: "geradezu prädestiniert";
Janke 1995, 190 ff.; Bartram 1998, 84.

368S. hierzu ausführlich Roßnagel, DuD 1997, 513f.
369S. Engel-Flechsig, DuD 1997, 15; Engel-Flechsig, RDV 1997, 67.
370S. zu diesen Anhang I Teil D der EG-UAVO.
371Ebenso auch Kothe 1996, 53 für das Umweltschutz-Audit.
372S. hierzu für das Umweltschutz-Audit auch Feldhaus, BB 1995, 1548; Bartram 1998, 84.
373ähnlich für das Umweltschutz-Audit Köck, JZ 1995, 647.
374S. hierzu auch Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.

 

3.8  Datenschutzgutachter

Das Datenschutzaudit ist keine Verdopplung der behördlichen Kontrolle, sondern eine formalisierte und nach außen gerichtete Eigenkontrolle. Für den Inhalt der Datenschutzerklärung ist die datenverarbeitende Stelle verantwortlich. Gerade deshalb ist es für die Akzeptanz des Verfahrens von entscheidender Bedeutung, daß durch die Bestätigung der Datenschutzerklärung durch den externen Gutachter ein Höchstmaß an Glaubwürdigkeit geschaffen wird.375 Da die Bestimmung dessen, was und nach welchen Kriterien geprüft wird, immer interpretationsbedürftig sein wird, rückt die Person des überprüfenden in den Mittelpunkt des Interesses. Der externe Gutachter ist die einzige neutrale Person, die alle Informationen erhält, die der späteren, für die öffentlichkeit aufbereiteten Fassung der Datenschutzerklärung zugrunde liegt. Er ist damit der einzige Garant für die materielle Wahrheit der Datenschutzerklärung - auch bezüglich der Zeilenzwischenräume. An den externen Gutachter sind damit hohe Anforderungen zu stellen. Hinsichtlich seiner Zulassung und ihrer Voraussetzungen kann sich das Datenschutzaudit an den Regelungen des UAG orientieren.376 Nur durch entsprechende Sicherungen der Vertrauenswürdigkeit des Gutachters kann der Staat einen funktionssicheren Rahmen für die Entfaltung selbstregulativer Verfahren schaffen und damit seiner Gewährleistungsverantwortung gerecht werden.377

Der Entwurf für ein neues Landesdatenschutzgesetz des Landesdatenschutzbeauftragten Schleswig-Holstein sieht als externen Gutachter den Landesdatenschutzbeauftragten vor.378 Dies mag für die Vorabüberprüfung von Verfahren in der Landesverwaltung sinnvoll sein, dürfte aber auf die Kontrolle der Datenschutzerklärungen aller datenverarbeitenden Stellen nicht zu übertragen sein. Zum einen fehlt dem Bundesdatenschutzbeauftragten und den meisten Datenschutzbeauftragten der Länder die rechtliche Kompetenz für die Kontrolle des privaten Bereichs. Daher wäre es systemwidrig, sie mit der überprüfung der Datenschutzerklärung zu beauftragen. Auch dürften sie in ihrer derzeitigen Ausstattung mit dieser Aufgabe überlastet sein. Zudem würde es dem Charakter des Datenschutzaudits als eines freiwilligen marktwirtschaftlich wirkenden Instruments des Datenschutzes widersprechen, den jeweiligen externen Datenschutzgutachter gesetzlich festzulegen. Vielmehr entspricht es der gesamten Konzeption, wenn – wie im Umweltschutz-Audit – die jeweilige datenverarbeitende Stelle sich einen externen Datenschutzgutachter auswählen kann.

Das UAG hat das Berufsbild des Umweltgutachters geschaffen und sich dabei an dem Berufsbild des Wirtschaftsprüfers orientiert. Es legt damit einen individualbezogenen Fachkundeansatz zugrunde. Das heißt, daß die verantwortlich die Begutachtung durchführenden Personen die Anforderungen an Zuverlässigkeit, Unabhängigkeit und Fachkunde in eigener Person erfüllen müssen. In den meisten anderen EG-Mitgliedstaaten wurde demgegenüber ein organisationsbezogener Ansatz gewählt, nach dem es darauf ankommt, daß die Umweltgutachterorganisation so strukturiert ist, daß die organisatorische Trennung von Begutachtung vor Ort und Entscheidung über dieBestätigung, also ein Vier-Augen-Prinzip, das Vertrauen in die fachliche Validität und Unabhängigkeit der Begutachtung gewährleisten soll. Der individualbezogene Ansatz des UAG ist demgegenüber mit einer Staatsaufsicht über die Qualität der Arbeit des Umweltgutachters gekoppelt. Dieses Aufsichtssystem gewährleistet nach Feststellung der Bundesregierung "die Qualität der durchgeführten Begutachtung eher als ein interner ‚Gegencheck‘ in der Organisation des Umweltgutachters, die letztlich immer auf geschäftliche Notwendigkeiten Rücksicht zu nehmen hat".379 Es bietet sich daher an, auch für den Datenschutzgutachter den individualbezogenen Ansatz zu übernehmen und sich hinsichtlich der Zulassung und Aufsicht am UAG zu orientieren.

375S. für das Umweltschutz-Audit den Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 8; Schneider, Verwaltung 1995, 367f., 380; Köck, JZ 1995, 648;
Ganse/Gasser/Jasch 1997, 71f.; Wohlfahrt/Signon 1998, 111: "Garantenstellung gegenüber der öffentlichkeit"; Storm, NVwZ 1998, 343; Schmidt-Preuß 1997a, 1170 ff.;
Frings/Schmidt 1998, 397, 400; für das Datenschutzaudit Roßnagel, DuD 1997, 514; Königshofen, DuD 1999, 266 ff.

376S. hierzu ausführlich Lübbe-Wolff, NuR 1996, 217 ff.; Lütkes, NVwZ 1996, 230 ff.; Kothe 1996, 128 ff.
377S. für das Umweltschutz-Audit auch Schmidt-Preuß 1997a, 1172.
378s. näher Kap. 1.1.2.
379S. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 6.

 

3.8.1 Zulassung

Erfüllt der Antragsteller die Voraussetzungen, hat er einen grundrechtlichen Anspruch auf Zulassung. Die Zulassung wird für Teledienste oder eine bestimmte Klasse von Telediensten erteilt, für die der Antragsteller die Voraussetzungen, insbesondere seine fachliche Qualifikation, nachgewiesen hat. Sie kann für natürliche Personen und für Gutachterorganisationen erteilt werden.380

380S. für das Umwelt-Audit § 9 und 10 UAG.

 

3.8.2 Anforderungen

Zugelassen werden können Gutachter, die fachlich qualifiziert, integer und zuverlässig sind.381 Fachlich qualifiziert ist der Antragsteller, wenn er ausreichendes Fachwissen in technischen, organisatorischen und rechtlichen Fragen entsprechend dem Geltungsbereich der beantragten Zulassung sowie in Bezug auf überprüfungsmethoden und -verfahren nachweisen kann. Diese Qualifikationen muß er durch eine einschlägige Ausbildung und durch eine mindestens dreijährige praktische Erfahrung in verantwortlicher Stellung im Bereich des Datenschutzes erworben haben. Die erforderliche persönliche Integrität weist der Antragsteller auf, wenn er unabhängig und unparteiisch ist. Diese Voraussetzung erfüllt er, wenn er nachweist, daß er selbst oder "seine Organisation und sein Personal keinem kommerziellen, finanziellen oder sonstigen Druck unterliegen, der ihr Urteil beeinflussen oder das Vertrauen in ihre Unabhängigkeit und Integrität bei ihrer Tätigkeit in Frage stellen könnte".382 Zuverlässig ist der Antragsteller, wenn er aufgrund seiner persönlichen Eigenschaften, seines Verhaltens und seiner Fähigkeiten geeignet ist, seine ihm obliegenden Aufgaben ordnungsgemäß zu erfüllen. Die Situation des Datenschutzgutachters ist derjenigen des Wirtschaftsprüfers oder Steuerberaters vergleichbar. Eine Orientierung an §§ 43 und 44 WPO ist daher zu empfehlen.383

381S. zum folgenden § 4 - 7 UAG sowie z.B. Kothe 1996, 132 ff.
382Anhang III Teil A Nr. 1 EG-UAVO.
383S. hierzu auch § 6 Abs. 2 UAG.

 

3.8.3 Aufsicht

Eine einmalige Zulassung der Gutachter genügt nicht, um die Gleichwertigkeit der Datenschutzprüfungen und die Vertrauenswürdigkeit der Gutachter zu gewährleisten. Vielmehr hat die zuständige Behörde die Aufgabe, durch Aufsichtsmaßnahmen sicherzustellen, daß die Zulassungsvoraussetzungen auch weiterhin fortbestehen.384

Hierfür hat sie die Zulassungen der Datenschutzgutachter regelmäßig zu überprüfen und die Qualität der vorgenommenen Begutachtungen zu kontrollieren. Um die Einhaltung der Anforderungen an Datenschutzgutachter zu gewährleisten muß sie die notwendigen Anordnungen treffen können und gegebenenfalls die weitere Tätigkeit untersagen und die Zulassung zurücknehmen oder widerrufen können.385

Entsprechend § 16 Abs. 2 UAG sollte die Zulassungsstelle die Möglichkeit haben, die Fortführung gutachterlicher Tätigkeiten ganz oder teilweise vorläufig zu untersagen, wenn der Datenschutzgutachter eine Datenschutzerklärung mit unzutreffenden Angaben und Beurteilungen, insbesondere hinsichtlich der einschlägigen Datenschutzvorschriften, für gültig erklärt hat. Durch diese Regelung wird ein wirtschaftliches Eigeninteresse des Datenschutzgutachters begründet, die Berücksichtigung der Prüfungskriterien und die Einhaltung der geforderten Prüfungstiefe sicherzustellen. Auf diese Weise wird die geforderte Qualität der Begutachtung gewährleistet, ohne daß die Zulassungsstelle alle Gutachten vor der Gültigerklärung der Datenschutzerklärung überprüfen müßte. Vielmehr wird ein Selbststeuerungsprozeß im Innenverhältnis zwischen Gutachter und Auftraggeber initiiert, dessen Wirksamkeit mit der einer direkten staatlichen Kontrolle vergleichbar ist.

Um die notwendige Unabhängigkeit der Gutachter von den Auftraggebern zu gewährleisten,386 wurde vorgeschlagen, diese durch einen regelmäßigen Wechsel sicherzustellen. Ein Gutachter sollte ein Unternehmen höchstens dreimal hintereinander prüfen dürfen. Diese Regelung ließe genügend Raum zur Nutzung der durch Routine möglicherweise entstehenden Synergieeffekte, verhindere aber eine ökonomische Abhängigkeit des Gutachters vom Auftraggeber.387

384S. hierzu Art. 6 Abs. 1 i.V.m. Anhang III A Nr. 5 UAVO und § 15 ff. UAG.
385S. zu den Aufsichtsmaßnahmen Lechelt 1998, 10.
386S. hinsichtlich der Abhängigkeit durch Folgeaufträge kritisch z.B. Hamschmidt 1995, 35.
387S. Storm, NVwZ 1998, 343.

 

3.8.4 Zuständigkeit

Für das Umweltschutz-Audit ist mit der Zulassung und Beaufsichtigung von Umweltgutachtern und Umweltgutachterorganisationen die "Deutsche Akkreditierungs- und Zulassungsgesellschaft für Umweltgutachter mbH" (DAU) als juristische Person des Privatrechts beliehen.388 Deren Zuständigkeit war vor Verabschiedung des UAG sehr umstritten389 und ist das Ergebnis eines politischen Kompromisses.390 Kritik an dieser Konstruktion wird weiterhin geltend gemacht.391 Sie gilt als wenig sachgerecht392 und zum Teil sogar als eurpoarechtswidrig.393 Der Entwurf eines Umweltgesetzbuches hat sie zwar nicht ausgeschlossen, aber auch ausdrücklich nicht übernommen.394

Die Zulassung und Aufsicht über die Datenschutzgutachter könnte ebenfalls der DAU übertragen werden. Auch könnte darüber nachgedacht werden, eine eigene juristische Person für die Zulassung und Aufsicht über die Datenschutzgutachter zu gründen und mit diesen Aufgaben zu beleihen. Für diese Lösung könnte geltend gemacht werden, daß im Hinblick auf den freiwilligen Charakter des Datenschutzaudits und seinem Verständnis als Instrument der regulierten Selbstregulierung eine wirtschaftsnahe Institution wie die DAU als Aufgabenträger geeignet erscheint.395

Als Alternative könnte sich anbieten, mit dieser Aufgabe eine Behörde zu betrauen. Sie müßte kompetent und für alle Beteiligten - für die Gutachter, für die Unternehmen und für die verschiedenen Anspruchsgruppen - gleichermaßen vertrauenswürdig sein. Als eine solche Behörde bietet sich die Regulierungsbehörde für Telekommunikation und Post an. Sie nimmt ohnehin verschiedene Zulassungs- und Aufsichtsfunktionen im Bereich der Telekommunikation wahr und verfügt hierfür über eine weitgehend unabhängige Stellung. Sie böte für alle beteiligten Kreise eine ausreichende Neutralität und Unabhängigkeit. Da sie sich im Rahmen des Telekommunikationsgesetzes mit Datenschutzfragen und im Rahmen des Signaturgesetzes mit Sicherheitsfragen befaßt, verfügt sie auch bereits über die notwendige Kompetenz.

Im folgenden wird die letztlich nur politisch zu entscheidende Frage offengelassen, ob eine private Stelle oder eine Behörde, wie zum Beispiel die Regulierungsbehörde mit der Zulassung und Aufsicht der Datenschutzgutachter betraut wird.396

388S. hierzu auch Kap. 3.1.1.
389S. hierzu z.B. Lübbe-Wolff, DVBl. 1994, 368; Ewer, NVwZ 1995, 458; Schneider, Verwaltung 1995, 368f.; Köck, JZ 649; Lütkes, NVwZ 1996, 231; Kothe 1996, 11;
Rhein 1996, 132 ff.; Lübbe-Wolff, NuR 1996, 219 ff.; Fleckenstein 1996, 221; Lechelt 1998, 24f.; Racke 1998, 23.

390Nach dem Bericht der Bundesregierung, BT-Drs. 13/11127, 2, hat sich "die Beleihung der DAU ... im Interesse einer wirtschaftsnahen Lösung bewährt".
391In der Begründung zu § 169 UGB-E wird diese Konstruktion als "eigenwillig" bezeichnet – s. UGB-E 1998, 758.
392S. Schnutenhaus, ZUR 1995, 13; Lübbe-Wolff, NuR 1996, 220, bestreitet entschieden, daß es sich bei der Aufgabe der Gutachterzulassung und -aufsicht zur Verbesserung des
Umweltschutzes um eine Selbstverwaltungsaufgabe der Wirtschaft handelt, da Selbstverwaltung immer nur die Verwaltung eigener Angelegenheiten ist.

393So Lübbe-Wolf, NuR 1996, 220f.
394S. Begründung zu § 169 UGB-E - UGB-E 1998, 758.
395Die hohe Durchfallquote bei der Zulassung der Umweltschutz-Gutachter – s. Evaluationsbericht der Bundesregierung, BT-Drs. 13/11127, 2 sowie oben Kap. 3.1.2 - läßt eine
Befürchtung von Lübbe-Wolff, NuR 1996, 220, unbegründet erscheinen, nämlich daß die DAU bei der Gutachterzulassung zu viel Rücksicht auf die von ihr vertretenen
Eigeninteressen der betroffenen Wirtschafts- und Gutachterkreise nimmt.

396S. hierzu auch Kap. 3.9.1.

 

3.9  Registrierung

Kann eine datenverarbeitende Stelle eine von einem zugelassenen Datenschutzgutachter bestätigte Datenschutzerklärung vorweisen, hat sie einen Anspruch auf Registrierung als eine Stelle, die beim Datenschutzaudit teilnimmt. Die Registrierung ist Voraussetzung, um das Datenschutzauditzeichen für Werbung nutzen zu können.

3.9.1 Zuständigkeit

§ 32 Abs. 1 UAG überträgt für das Umweltschutz-Audit die Registrierung geprüfter Betriebsstandorte den Industrie- und Handelskammern und den Handwerkskammern.397 Deren Zuständigkeit war ebenfalls sehr umstritten398 und ist das Ergebnis eines politischen Kompromisses. Für eine breitere Einführung des Datenschutzaudits könnte erwogen werden, diese Lösung insoweit zu übernehmen, als die örtlichen Industrie- und Handelskammern mit der Registrierung betraut werden.399 Da bei einer Regulierung des Datenschutzaudits vorerst jedoch nicht mit so großen Teilnehmerzahlen zu rechnen ist, daß es sich lohnen würde, in jeder Industrie- und Handelskammer die Kompetenz für die Registrierung aufzubauen und vorzuhalten, dürfte - zumindest vorerst - eine zentrale Lösung vorzuziehen sein. Hierfür käme als wirtschaftsnahe Lösung der Beauftragung der Industrie- und Handelskammern in Frage, die sich auf eine oder mehrere Kammern als Registrierungsstellen verständigen sollten.400 Als eine behördliche Lösung würde sich die übertragung der Registrierungsaufgaben auf die Regulierungsbehörde für Telekommunikation und Post anbieten, da diese eine weitgehend unabhängige Stellung besitzt und ohnehin verschiedene Aufsichtsfunktionen wahrnimmt.

Die Zuständigkeitszuordnung sollte in jedem Fall auch im Zusammenhang mit der Aufgabe der Zulassung und Beaufsichtigung der Datenschutzgutachter gesehen werden.401 Würde etwa mit dieser Aufgabe die Regulierungsbehörde für Telekommunikation und Post betraut, würde sich anbieten, ihr auch die Registrierung der teilnehmenden Stellen zu übertragen. Würde jedoch als Aufsichtsbehörde für die Datenschutzgutachter eine private Stelle vorgesehen werden, dann würde eine Registrierung durch die Industrie- und Handelskammern näher liegen. Im Gesetzentwurf im Anhang zu diesem Gutachten wird exemplarisch die übertragung auf die Industrie- und Handelskammern geregelt, ohne daß damit eine Präferenz für diese Lösung abzuleiten ist.

397S. hierzu Amtliche Begründung, BT-Drs. 13/1192, 22. Auch § 165 UGB-E sieht die Registrierung durch die Industrie- und Handelskammern und die
Handwerkskammern vor – s. UGB-E 1998, 757f.

398Kritisch hierzu Lübbe-Wolff, NuR 1996, 224f., die befürchtet, daß das Umweltschutz-Audit unter dem Anschein einer Selbstverwaltungsangelegenheit zur
Selbstbedienungsangelegenheit gemacht worden sei.

399Auch der Entwurf des UGB übernimmt weiterhin diese Lösung – s. UGB-E 1998, 755.
400Die Bundesregierung hat in ihrem Evaluationsbericht, BT-Drs. 13/11127, 5 festgestellt, daß sich diese Lösung bewährt habe – s. Kap. 3.1.2.
401S. hierzu Kap. 3.8.4.

 

3.9.2 Voraussetzungen der Registrierung

Da der Datenschutzgutachter die Korrektheit der Datenschutzerklärung bereits inhaltlich geprüft hat, kann sich die registerführende Stelle grundsätzlich darauf beschränken, eine formelle Prüfung vorzunehmen. Sie prüft lediglich, ob als Voraussetzung für die Eintragung die Bestätigung der Datenschutzerklärung durch einen zugelassenen Datenschutzgutachter vorliegt und dieser nicht befangen ist.

Da die Registrierung einer datenverarbeitende Stelle, die gegen Datenschutzregelungen verstößt, nicht in Frage kommen kann, sollte - wie beim Umweltschutz-Audit402 - die registerführende Behörde vor der Eintragung dem zuständigen Datenschutzbeauftragten oder der zuständigen Aufsichtsbehörde Gelegenheit geben, sich innerhalb einer Frist von vier Wochen zu der beabsichtigten Eintragung zu äußern. Wird ein Verstoß mitgeteilt, der unbestritten bleibt oder nachgewiesen werden kann, so ist die Eintragung abzulehnen. Teilt die zuständige Stelle der Behörde einen Verstoß gegen Datenschutzregelungen mit, den das Unternehmen bestreitet, so ist die Entscheidung über die Eintragung bis zur Klärung zwischen der für den Datenschutz zuständigen Behörde und dem Unternehmen auszusetzen.

Aufgrund dieser Beteiligung der zuständigen überwachungsbehörde haben einzelne Unternehmen bei der Umweltbetriebsprüfung im Rahmen der Rechtskonformitätskontrolle den Kontakt zu ihr gesucht, um ihre Einschätzung zu einzelnen betrieblichen Problembereichen zu erhalten und gemeinsam mit ihr an sachgerechten Lösungen zu arbeiten. Da sich bei diesem Vorgehen das Initiativverhältnis zwischen Behörde und Unternehmen umkehrt, wird es als ein gelungenes Beispiel für die Anwendung des Kooperationsprinzips im Umweltrecht angesehen. Daher sollte auch beim Datenschutzaudit den datenverarbeitenden Stellen die Möglichkeit eröffnet werden, die zuständige überwachungsbehörde bei Zweifelsfragen zu kontaktieren.403 Der Klärungsbedarf dürfte im Datenschutzrecht - insbesondere für Teledienste - höher sein als im vergleichsweise weit durchgeregelten Bereich des Umweltrechts.

402S. Art. 18 Abs. 2 Satz 2 UAVO; § 33 Abs. 2 UAG; § 166 Abs. 2 UGB-E; s. hierzu näher z.B. Lechelt 1998, 14.
403Die Regelung einer solchen Ansprechmöglichkeit in einer Rechtsverordnung kann sinnvoll sein, um einen entsprechenden Gebührenansatz mit aufnehmen zu können.

 

3.9.3 Aufhebung der Registrierung

Ist die Eintragung erfolgt, muß sie aufgehoben werden können, wenn die notwendigen Voraussetzungen nicht gegeben waren oder weggefallen sind. In diesem Fall kann die registerführende Behörde die Eintragung zurücknehmen oder widerrufen. Erfährt sie nach der Eintragung von der für Datenschutz zuständigen Behörde von einem Verstoß des Unternehmens gegen Datenschutzregelungen, so kann sie auch aus diesem Grund die Eintragung widerrufen und das Unternehmen aus dem Register streichen. Bestreitet das Unternehmen den Verstoß, darf die Eintragung nur vorübergehend aufgehoben werden. Hierfür sollte zur Voraussetzung gemacht werden, daß wegen des Verstoßes ein Verwaltungsakt oder ein Bußgeldbescheid ergangen oder eine strafrechtliche Verurteilung erfolgt ist.404 Aus Gründen einer rechtsstaatlichen Behandlung sollte die registerführende Stelle dem betroffenen Unternehmen und der für den Datenschutz zuständigen Behörde Gelegenheit zur Stellungnahme geben, bevor sie die Eintragung streicht oder vorübergehend aufhebt.

404S. hierzu auch § 34 Satz 2 UAG, der einen vollziehbaren Verwaltungsakt fordert, und § 167 Abs. 2 UGB-E, der eine Regelung vorsieht, wie sie hier vorgeschlagen wird.
S. hierzu auch Lübbe-Wolff, NuR 1996, 225.

 

 

4   Notwendigkeit einer rechtlichen Regelung?

Das Datenschutzaudit könnte helfen, den Datenschutz zu stärken. über den Anreiz der Image-Werbung ("Tue Gutes und rede darüber") und den Wettbewerbseffekt der Teilnahme von Konkurrenten könnte eine Selbstverpflichtung und Selbstkontrolle der datenverarbeitenden Stellen zu einer kontinuierlichen Verbesserung des Datenschutzes und der Datensicherheit genutzt werden. Dadurch könnte die behördliche Kontrolle durch Datenschutzbeauftragte und Aufsichtsbehörden unterstützt und entlastet werden.

Bereits heute finden auf freiwilliger Grundlage Prüfungen von Managementsystemen statt. Diese könnten auch auf Datenschutzfragen ausgeweitet werden. Ist dann aber eine rechtliche Regulierung des Datenschutzaudits überhaupt notwendig?405

405S. hierzu FDP-Bundestagsabgeordnete Laermann, BT-Sten.Ber. 13/16352 (D) vom 13.6.1997: "Gegen ein freiwilliges Datenschutzaudit ist nichts einzuwenden. Es könnte
für die Unternehmen zu einem Wettbewerbsmerkmal werden. Aber warum muß man es dann in ein Gesetz hineinschreiben? Sie können es doch tun, wenn es freiwillig ist.
Wir wollen nicht alles überregulieren."

 

4.1  Unternehmenseigene Datenschutzprüfung?

Die Kontrolle des Datenschutzmanagementsystems könnte in einer unternehmenseigenen Datenschutzprüfung erfolgen. Diese bedarf keiner Regulierung von außen, sondern könnte nach internen Regeln erfolgen. Ihr Ziel könnte zum einen die Sicherstellung der Datenschutzanforderungen im Unternehmen406 oder eine kontinuierliche Verbesserung des Datenschutzniveaus407 sein. Für beide Zielsetzungen könnte sich die unternehmenseigene Datenschutzprüfung an dem hier entwickelten Konzept orientieren und den speziellen Gegebenheiten des Unternehmens anpassen.

Ein praktisches Beispiel für eine unternehmenseigene Datenschutzprüfung ist die Deutsche Telekom AG.408 Für sie hat sich das durchgeführte Verfahren mit quantitativen Qualitätsparametern offensichtlich bewährt. Allein die Tatsache der Messung und die interne Transparenz der Meßergebnisse hat dazu geführt, daß die jeweils Fachverantwortlichen große Anstrengungen unternommen haben, um das Datenschutz- und Sicherheitsniveau ihrer Organisationseinheiten zu verbessern.

Trotz dieser Erfolge ist eine unternehmenseigene Datenschutzprüfung für die Zielsetzungen des Datenschutzaudits409 unzureichend. Sie hat bezogen auf diese Ziele vor allem drei Nachteile: Ihr fehlt ein Garant der Glaubwürdigkeit, ihr fehlt die Kommunikationsmöglichkeit nach außen und ihr fehlt die Vergleichbarkeit mit anderen unternehmenseigenen Datenschutzprüfungen.

Da der Untersuchungsbereich und die Bewertungskriterien selbst gewählt sind, das Verfahren selbst bestimmt ist, die Bewertung durch das Unternehmen selbst erfolgt und keine externe überprüfung stattfindet, kann eine unternehmenseigene Datenschutzprüfung nicht auf besondere Glaubwürdigkeit hoffen.410 Die Datenschutzprüfung der Telekom AG wurde in dieser Hinsicht auch nicht positiv bewertet: "Sie beruht auf ungeprüften Angaben der zu Prüfenden; sie erfaßt nur peripher gelegene Indikatoren und nicht den Kern des Gegenstandes; ihre Bezugsgröße ist ein willkürlich gewähltes Klassifizierungssystem; entsprechend fragwürdig sind die ausgewiesenen Defizite. Was soll das nutzen?"411

Mangels Glaubwürdigkeit der nur internen Prüfung kann auf ihrer Basis auch keine Kommunikation über die Anstrengungen zur Gewährleistung des Datenschutzes und der Datensicherheit nach außen unternommen werden. Wer für seine Angebote auf Akzeptanz der Nutzer angewiesen ist, wird mit der schlichten Behauptung, interne Prüfungen hätten ergeben, daß er bestimmte Erfolge im Datenschutz erzielt habe, sein Ziel nicht erreichen können. Damit fehlt der unternehmenseigenen Datenschutzprüfung ein wichtiger Anreiz zur Einführung eines Datenschutzmanagementsystems. Sie bietet keinen Wettbewerbsvorteil gegenüber Mitbewerbern und veranlaßt diese nicht, ebenfalls teilzunehmen.

Werden Datenschutzprüfungen von Unternehmen zu Unternehmen in unterschiedlicher Weise durchgeführt und an sie unterschiedliche Anforderungen gestellt, wird die Zielsetzung des Datenschutzaudits gefährdet, zu einer Markttransparenz hinsichtlich der Qualitätsmerkmale Datenschutz und Datensicherheit beizutragen.412 Wenn die Prüfergebnisse nicht vergleichbar sind, führen Datenschutzprüfungen zu Wettbewerbsverzerrungen, die ein Datenschutzaudit gerade ausgleichen soll.

406S. hierzu auch Wächter, DuD 1995, 465 ff.
407S. Königshofen, DuD 1999, 267.
408S. hierzu Kap. 1.2.
409S. hierzu Kap. 1.1.
410S. z.B. Friedel/Wiegand 1998, 48.
411Rihaczek, DuD 1999, 67.
412So für das Umweltschutz-Audit Hamschmidt 1995, 35.

 

4.2  Datenschutzaudit im Rahmen des Qualitätsmanagements?

Diese drei Defizite könnten ausgeglichen werden, wenn die Unternehmen ein Audit nach allgemeingültigen Standards durchführen, dessen Ergebnisse extern zertifizieren lassen und mit dem Zertifikat werben. Dies könnte allein auf freiwilliger Basis und ohne jede rechtliche Regulierung erfolgen.

Im Umweltbereich können sich die Unternehmen in Konkurrenz zu dem europaweiten Umweltschutz-Audit nach der UAVO nach den weltweit gültigen ISO-Normen der 14.000er Reihe zertifizieren lassen.413 Diese Normen sind speziell für die Einführung und Prüfung von Umweltmanagementsystemen konzipiert und inzwischen auch mit der UAVO kompatibilisiert.414 Nach dem Revisionsentwurf der Europäischen Kommission zur UAVO vom Oktober 1998 wird Kap. 4 der Norm ISO 14.001 sogar in die UAVO integriert.415

Für das Datenschutzaudit gibt es keine speziellen Techniknormen. Für diesen Zweck könnte nur versucht werden, die ISO-Normen der 9.000er Reihe anzuwenden. Diese wurden 1987 für die Errichtung und Prüfung von Qualitätsmanagementsystemen erlassen.416 Zielsetzung der Normen ist es, die Erfüllung festgelegter Forderungen an einen Lieferanten oder Auftragnehmer nach außen hin, insbesondere gegenüber dem Auftraggeber darzulegen.417 Das Qualitätsmanagementsystem nach ISO 9001 umfaßt 20 Qualitätselemente.418 Die oberste Leitung des Unternehmens muß eine Qualitätspolitik festlegen, eine Organisation für das Qualitätsmanagement einführen und aufrechterhalten. Erforderlich sind Verfahrensanweisungen und Qualitätsplanungen für das Managementsystem. Der Vertrag, der der Lieferung zugrunde liegt, muß geprüft werden. Eine Designlenkung muß erfolgen und die Lenkung der Dokumente und Daten organisiert werden. Der Lieferant muß Verfahrensanweisungen erstellen und aufrechterhalten, um sicherzustellen, daß das beschaffte Produkt die festgelegten Qualitätsanforderungen erfüllt. Es folgen dann die Kennzeichnung, die Prozeßlenkung, die Produktprüfung, die Prüfmittelüberwachung, Feststellung des Prüfstatus, Lenkung fehlerhafter Produkte, Korrektur- und Vorbeugemaßnahmen, Handhabung, Lagerung, Verpackung, Konservierung und Versand, Lenkung von Qualitätsaufzeichnungen, interne Qualitätsaudits, Schulungen, Wartungsanweisungen und schließlich die Einführung von statistischen Methoden.419 Die Durchführung dieser 20 Elemente ist Voraussetzung für die Zertifizierung nach ISO 9001. Sie betreffen alle Bereiche einer Organisation und müssen jeweils schriftlich dokumentiert sein.

Die Normenreihe ISO 9.000 wird in allen Industriezweigen genutzt. Sie wurde in über 70 Ländern als nationale Norm übernommen. In der Bundesrepublik Deutschland waren 1995 etwa 4.000 Unternehmen nach dieser Norm geprüft.420 Die Einführungsdauer eines Qualitätsmanagementsystems liegt bei Unternehmen mit weniger als 100 Mitarbeitern durchschnittlich bei neun Monaten und in Unternehmen mit bis zu 500 Mitarbeitern bei etwa einem Jahr. Für größere Unternehmen wurden Einführungszeiträume zwischen einem und zweieinhalb Jahren festgestellt. Der Durchschnittswert der Kosten für das Qualitätsmanagementsystem liegen bei einer externen Zertifizierung bei etwa 200.000 DM.421

Für ein Datenschutzaudit wäre es nicht ausgeschlossen, auf das Qualitätsmanagement ein Datenschutzmanagementsystem "draufzusatteln" und dieses in gleicher Weise zu prüfen wie ein Qualitätsmanagementsystem.422 Zu bedenken ist jedoch, daß alle Kriterien jeweils vom Unternehmen selbst gewählt werden müßten. Spezifische Datenschutzaspekte müßten quasi als zu erreichende Qualität definiert werden.

Für das Umweltschutz-Audit bestand diese Möglichkeit ebenfalls.423 Sie wurde aber von der ISO selbst als unzureichend angesehen und für Umweltmanagementsysteme 1996 eigens die Normenreihe ISO 14.000 beschlossen.424 Die Europäische Kommission hätte zu Beginn der 90er Jahre ebenfalls diese Möglichkeit nutzen können. Sie hat sie aber aus guten Gründen nicht gewählt und statt dessen die UAVO erlassen.

Ebensowenig wie für das Umweltschutz-Audit sind diese Normen der ISO 9.000er Reihe für das Datenschutzaudit inhaltlich ausreichend.425 Als wesentliche Unterschiede zwischen der Norm ISO 9.000 und einem nach dem Vorbild des Umweltschutz-Audit gesetzlich geregelten Datenschutzaudits sind festzuhalten:

Eine rechtliche Rahmensetzung, um die Ziele des Datenschutzaudits in einer rechtlich gesicherten Weise zu erreichen, erscheint daher unumgänglich.

413S. zur Konkurrenz zwischen UAVO und ISO 14.000 Kap. 3.1.2.
414S. hierzu Kap. 4.3.5.
415S. UAVO-Rev-E, Anhang I A.
416Sie wurden 1994 in Teilen aktualisiert - s. hierzu Wilhelm, DuD 1995, 330; Friedel/Wiegand 1998, 25f.
417ISO 9.001, Einleitung.
418S. die Konkretisierung dieser Qualitätsmanagement-Elemente für Softwareunternehmen in Wilhelm, DuD 1995, 331 ff.
419S. ISO 9.001, Kap. 4.
420S. Wilhelm, DuD 1995, 331.
421S. Hamschmidt 1995, 15; ähnlich Wilhelm, DuD 1995, 334.
422S. hierzu z.B. Büllesbach, RDV 1995, 5f.
423S. z.B. Hamschmidt 1995, 32.
424S. zur Geschichte z.B. Jasch 1995, 41 ff.
425Ebenso Gesellschaft für Datenschutz und Datensicherung, GDD-Mitteilungen 2/99, 3; s. hierzu auch z.B. Hamschmidt 1995, 32f.
426Als die Norm ISO 9.001 formuliert wurde, hat man vor allem an die klassische Produktion von Stückgütern gedacht. Erst nachträglich wurden zusätzliche Leitfäden und
Interpretationshilfen entwickelt, um die Anforderungen auch auf andere Produktkategorien oder Dienstleistungen anwenden zu können – s. Wilhelm, DuD 1995, 331.

427ISO 9.000, Kap. 3.1.
428ISO 9.001, Kap. 1.
429S. hierzu auch Liesegang, UWF 3/1995, 4; Hamschmidt 1995, 6f.; Jasch 1995, 46; Wilhelm, DuD 1995, 330f, 335; Schottelius, NVwZ 1998, 808; Scherer,
NVwZ 1993, 16; Feldhaus, UPR 1998, 41.

430So Schottelius, BB 1997, Beilage 2, 6; Schottelius, NVwZ 1998, 808 für den Vergleich zwischen ISO 9.000 und dem Umweltschutz-Audit.
431Wilhelm, DuD 1995, 334.
432S. hierzu ebenfalls kritisch für das Umweltschutz-Audit Hamschmidt 1995, 16; Jasch 1995, 46.
433So auch für das Verhältnis ISO 14.001 zur UAVO Dyllick/Hummel, UWF 3/1995, 25.
434S. Kap. 1.1.2.
435Nach Friedel/Wiegand 1998, 41, kann man "faktisch alle Kriterien von ISO 9000 ff. erfüllen, ohne ein funktionierendes – da gelebtes – Qualitätsmanagementsystem
zu besitzen".

436Eine gewisse Dynamik kann durch das Qualitätsmanagement entstehen, wenn sich in seiner praktischen Umsetzung herausstellt, daß dieses fehlerhaft, unvollständig oder
umständlich ist. Außerdem müssen änderungen des Leistungsspektrums berücksichtigt werden. Insofern führen die beiden Qualitätsmanagement-Elemente "Internes Audit"
und "Korrekturmaßnahmen" zu Korrekturen des Qualitätsmanagementsystems. Diese Korrekturen dienen aber in erster Linie dem Ziel, das gleiche Qualitätsniveau zu erreichen
oder zu halten und neuen Umständen anzupassen, nicht aber das Niveau kontinuierlich zu steigern – s. hierzu auch Wilhelm, DuD 1995, 332.

437S. z.B. Hamschmidt 1995, 7.
438S. z.B. Hamschmidt 1995, 17.
439S. z.B. Schottelius, NVwZ 1998, 808; Hamschmidt 1995, 16; positiver die Zusammenfassung in Friedel/Wiegand 1998, 41.
440ISO 9001, Kap. 4.17; nach ISO 9.000-1 ist es aber auch nicht ausgeschlossen, daß die Organisation ein Audit vom Kunden (second party audit) oder einer unabhängigen
Institution vornehmen läßt (third party audit).

441Dies gilt sogar für die Norm ISO 14.001- s. hierzu Dyllick 1994, 34; Dyllick/Hummel, UWF 3/1995, 25; Feldhaus, UPR 1998, 41; Friedel/Wiegand 1998, 34.
442So sogar für ISO 14.001 – s. Feldhaus, UPR 1998, 43.
443Nach einem Audit durch eine Zertifizierungsstelle, die nach ISO 45.000ff. akkreditiert ist, kann es sich auch von dieser ein Zertifikat ausstellen lassen. Dies wird jedoch von
ISO 9.001 nicht gefordert.

444S. hierzu Liesegang, UWF 3/1995, 4. Für das Umweltschutz-Audit.
445So auch für das Verhältnis ISO 14.001 zur UAVO Dyllick 1994, 34; Dyllick/Hummel, UWF 3/1995, 25; Schottelius, NVwZ 1998, 808
446S. hierzu auch Kap. 4.3.1.

 

4.3  Datenschutzaudit auf rechtlicher Grundlage?

Nahezu alle, die sich zu dem Thema äußern, gehen von einer gesetzlichen Regelung des Datenschutzaudits aus.447 Auch diejenigen, die Erfahrungen mit der Zertifizierung von Qualitätssicherungssystemen haben, befürworten eine Regulierung des Datenschutzaudits durch Gesetz.448 Allgemein setzt sich die Erkenntnis durch, daß Selbstregulierung nur innerhalb eines gesetzlich vorgegebenen Rahmens ein sinnvolles Instrument des Datenschutzes ist.449

447S. provet 1996, Begründung zu § 11 Multimedia-Datenschutz-Gesetz; ebenso Begründung zu § 17 MDStV; Engel-Flechsig, RDV 1997, I66; Bundesrat, BT-Drs. 13/7385,
57; SPD-Bundestagsfraktion, BT-Drs. 13/7936, 5; Roßnagel, DuD 1997, 505 ff.; Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands
Weg in die Informationsgesellschaft", BT-Drs. 13/11003, 24; Kloepfer 1998, 102.

448S. z.B. Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.; Königshofen, DuD 1999, 266 ff..
449S. z.B. Hoffmann-Riem, DuD 1998, 684 ff.; für den Umweltschutz z.B. Gilhuis nach Stuer/Rüde, DVBl 1998, 86.

 

4.3.1 Wettbewerbsrechtliche Absicherung

Den ISO-Normen fehlt eine (wettbewerbs-)rechtliche Absicherung der Verwendung des Ergebnisses in der öffentlichkeit. Das Datenschutzaudit basiert nicht zuletzt auf der durch die Werbemöglichkeiten geschaffenen Anreizwirkung. Die Werbemöglichkeit setzt aber die Vertrauenswürdigkeit der vermittelten Information voraus. Bei einer Zertifizierung des Datenschutzmanagementsystems nach ISO 9.000 sind aber weder der Umfang, noch die Kriterien, noch das Verfahren der Prüfung festgelegt. Damit fehlt es an einer Vergleichbarkeit der Ergebnisse. Die Aussage, der Datenschutz im Unternehmen oder der Datenschutz eines Teledienstes sei "iso-zertifiziert", kann daher leicht irreführend wirken und damit gegen das Irreführungsverbot des § 3 UWG verstoßen.450 Dies gilt auch dann, wenn die Werbung auf die Feststellung beschränkt ist, daß das Datenschutzmanagementsystem "iso-zertifiziert" sei. Das Problem wird verschärft, wenn die Werbung produktbezogen erfolgt, da die Prüfung nach ISO 9.000 sich – in welchem Umfang auch immer - allein auf das Qualitätsmanagementsystem beschränkt.

Die Werbemöglichkeiten sind ein wesentlicher Anreiz für die Unternehmen, sich an dem Datenschutzaudit zu beteiligen. Führen sie ein Datenschutzaudit nach ISO 9.000 durch und wollen danach mit dem Ergebnis werben, gehen sie ohne gesetzliche Regelung große rechtliche Risiken ein. Zwar gibt es hinsichtlich der Verwendung von ISO-Zertifikaten bisher noch keine Rechtsprechung. Doch wenn die Rechtsprechung zu umweltbezogenen Werbeaussagen auf den Datenschutz übertragen wird, müssen sie bei einer rechtlich nicht abgesicherten Werbung mit einem Verfahren, bei dem die Vergleichbarkeit der Ergebnisse nicht gesichert ist, mit kostenpflichtigen Abmahnungen rechnen. Der BGH hat für umweltbezogene Werbeaussagen zwar anerkannt, daß sie im Interesse des Umwelt- und Verbraucherschutzes liegen. Er hat aber Wert darauf gelegt, daß eine Irreführung in Form der "gefühlsausnutzenden Werbung" unterbleibt.451 Jedenfalls bleibt die Möglichkeit zu werben, immer mit einer großen Unsicherheit behaftet, die die Bereitschaft zur Teilnahme am Datenschutzaudit stark gefährden kann. Diese überlegungen gelten in verstärktem Maß für die Werbung mit einem unternehmensinternen Audit, weil für dieses keinerlei verbindliche und vergleichbare Vorgaben für die Prüfung des Managementsystems bestehen.

Bestimmungen über die Werbemöglichkeiten oder gar das Verbot einer allgemeinen produktbezogenen oder vergleichenden Werbung enthält die ISO-Norm nicht. Diese wären mangels Rechtsqualität der Norm auch nicht durchsetzbar. Daher ist es erforderlich, daß ein Gesetz sowohl nicht gewünschte Werbeformen verbindlich ausschließt als auch die zulässigen Werbemöglichkeiten mit dem Datenschutzaudit regelt452 und auf eine sichere Rechtsgrundlage stellt.453

450S. zu diesem Problem hinsichtlich der Werbung mit einem ISO 9.000 Zertifikat für ein Umweltschutzmanagementsystem Kienle, NJW 1997, 3360f.
451S. BGH, NJW 1996, 1135; s. hierzu ausführlich Baumbach/Hefermehl 1995, § 1 UWG, Rn. 179 ff.
452S. hierzu für das Umweltschutz-Audit Art. 16 UAVO, § 31 UAG und § 168 UGB-E.
453So für das Umweltschutz-Audit nach ISO 9.000 auch Kienle, NJW 1997, 3360f.

 

4.3.2 Verbindliche Kriterien und vergleichbare Ergebnisse

Für den Wettbewerb und den Verbraucherschutz ist ein wesentliches Problem die "Vielzahl von Kennzeichnungen und die damit einhergehende Intransparenz".454 Insbesondere in weltweiten Datennetzen ist die Kontrolle der Marktteilnehmer über die Kennzeichen und die Institutionen, die sie vergeben, eher schwach ausgeprägt. Allerdings bestehen nur begrenzte Möglichkeiten, die Kennzeichenflut einzudämmen. Doch zeigt sich, daß "starke" Kennzeichnungen - wie etwa der Blaue Engel - von den Verbrauchern und den Anbietern als Orientierungshilfe angenommen werden. Wesentliche Voraussetzungen für die Akzeptanz sind allerdings die Unabhängigkeit der vergebenden Institution, die Transparenz der Kriterien und des Verfahrens sowie die Vergleichbarkeit der Ergebnisse.455

Daraus zieht die Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft" den Schluß: "Problematisch aus Verbrauchersicht kann sein, daß bei Audits vielfach keine genau definierten Standards eingehalten werden müssen, es vielmehr um eine Beurteilung von Unternehmensabläufen sowie eine möglichst kontinuierliche Verbesserung der - nicht spezifizierten - Ausgangssituation geht. Um die Zuverlässigkeit und Glaubwürdigkeit der Verbraucherinformation zu gewährleisten, ist daher auf verbindliche, gegebenenfalls gesetzliche Rahmenregelung zu dringen, die angemessene Kriterien im Hinblick auf wesentliche Eckpunkte wie Vorgaben zu inhaltlichen Mindeststandards ... festlegen."456

Soll das Datenschutzaudit ein "starkes" Merkmal im Wettbewerb sein, muß es sich durch hohe Transparenz der Kriterien und Verfahren sowie durch besondere Vertrauenswürdigkeit und Vergleichbarkeit der Ergebnisse auszeichnen. Dies ist nur dann möglich, wenn diese Anforderungen verbindlich geregelt sind und die Verbraucher sich auf ihre Einhaltung in jedem Fall verlassen können. Im Bereich des Umweltschutzes wurde dies dadurch erreicht, daß für die freiwillige Zertifizierung von Umweltschutzqualitäten ein gesetzlicher Rahmen geschaffen wurde, der die Teilnahmeberechtigung, das Prüfverfahren, die zugelassenen Prüfer, die Prüfgegenstände, die Prüfkriterien, das Prüfergebnis und dessen Verwendung als Mittel der Werbung und des Wettbewerbs geregelt hat. Dadurch hebt sich das gesetzlich anerkannte Verfahren von unternehmenseigenen, verbandsspezifischen, und auch von den Verfahren nach ISO 9000 - oder für den Umweltschutz ISO 14.000 - ab.

454Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11003, 24.
455Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11003, 24.
456Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11003, 24.

 

4.3.3 Zulassung und Beaufsichtigung der Datenschutzgutachter

Die Vertrauenswürdigkeit des Datenschutzaudits hängt entscheidend von der Vertrauenswürdigkeit der Datenschutzgutachter ab.457 Die Befugnis zur Verwendung des Datenschutzzeichens und damit die Erlangung der mit dem Zeichen verbundenen Vorteile für die datenverarbeitenden Stellen beruht auf der Feststellung des Gutachters, daß die Angaben in der Datenschutzerklärung korrekt sind. Diese Prüfung des Gutachters ist mit großen Beurteilungsspielräumen versehen, die um so größer sind, je weniger detailliert die Bewertungskriterien festgelegt und je stärker sie der Selbstverantwortung der datenverarbeitenden Stellen überlassen werden. Die Bonität des Datenschutzaudits wird daher entscheidend davon abhängen, daß ein zuverlässiges System für die Zulassung von Datenschutzgutachtern wirksam und von allen Beteiligten akzeptiert wird.458

Die Vertrauenswürdigkeit des gesamten Verfahrens setzt voraus, daß die Datenschutzgutachter ausreichende Fach- und Sachkunde, vollständige Unabhängigkeit von den Auftraggebern und hinreichende Zuverlässigkeit nachweisen. Würden die Datenschutzgutachter unterschiedlichen Qualifikations- und Integritätsanforderungen unterliegen, wäre die Zielsetzung des Datenschutzaudits gefährdet, weil die Prüfergebnisse nicht mehr vergleichbar wären.459 Dies würde zu Wettbewerbsverzerrungen führen, die ein Datenschutzaudit ja gerade ausgleichen soll.

Daher fordert die mit dem Datenschutzaudit verfolgte Zielsetzung, sachgemäße Anforderungen an die Datenschutzgutachter zu formulieren und diese einem Zulassungsverfahren zu unterwerfen, in dem die Erfüllung der Anforderungen geprüft wird. Für die amtliche Begründung zum UAG kommt den Regelungen zur Zulassung von Gutachtern und die Aufsicht über diese eine "Schlüsselfunktion" zu.460 "Um die Zuverlässigkeit und Glaubwürdigkeit der Verbraucherinformation zu gewährleisten", fordert daher auch die Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft" eine "verbindliche, gegebenenfalls gesetzliche Rahmenregelungen, die ... die Qualifikation der Prüfer, die Art und Weise der Prüfung und mögliche Sanktionen festlegen."461

457S. Kap. 3.8.
458Amtliche Begründung zum UAG BT, Drs. 13/1192, 18.
459So für das Umweltschutz-Audit Hamschmidt 1995, 35.
460Amtliche Begründung zum UAG, BT, Drs. 13/1192, 18.
461Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11003, 24.

 

4.3.4 Registrierung der Teilnahme

Erhebliche Bedeutung für die Glaubwürdigkeit des Datenschutzaudits kommt auch der Registrierung geprüfter Datenschutzmanagementsysteme für Teledienste zu. Hierfür muß verbindlich geklärt sein, wer für die Registrierung zuständig ist, wie die Registrierungsstelle mit den Aufsichtsbehörden und Datenschutzbeauftragten zusammenarbeitet, unter welchen Voraussetzungen eine Registrierung abgelehnt, widerrufen oder vorübergehend außer Kraft gesetzt werden kann.462

462S. hierzu auch Amtliche Begründung zum UAG BT, Drs. 13/1192, 18.

 

4.3.5 Kompatibilität mit genormten Verfahren

Das Datenschutzaudit und die bereits eingeführten Qualitätsmanagementprüfungen müssen nicht in Konkurrenz stehen. Vielmehr könnte die Regelung des Datenschutzaudits vorsehen, daß sie sich gegenseitig ergänzen. Unterlagen und Prüfungen nach dem einen Verfahren könnten für das andere Berücksichtigung oder Anerkennung finden. Doppelarbeit könnte so vermieden werden.

Dieser Gedanke wurde für das Umweltschutz-Audit bereits realisiert. Nach Art. 12 UAVO kann die Europäische Kommission einzelstaatliche, europäische oder internationale Normen für Umweltmanagementsysteme und Betriebsprüfungen als ganz oder in Teilen konform mit den Anforderungen der UAVO anerkennen.463 In diesem Fall erfüllen die Unternehmen, die sich nach diesen Normen zertifizieren lassen, zugleich die Anforderungen des Umweltschutz-Audits. Sie ersparen sich doppelten Aufwand und können sowohl das Zertifikat nach der Norm als auch die Teilnahmeerklärung und das Umweltschutzzeichen des Umweltschutz-Audits verwenden.

Mit Entscheidung vom 16. 4. 1997 hat die Europäische Kommission die internationale Norm - ISO 14.001 für ein Umweltschutz-Managementsysteme anerkannt.464 Damit können seitdem Teile einer Zertifizierung nach dieser Norm für die Validierung im Rahmen des Umweltschutz-Audits nach der UAVO übernommen werden. Umgekehrt kann jeder, der das Umweltschutz-Audit besteht, auch ein Zertifikat nach ISO 14.001 erhalten.

Nach dem Entwurf der Europäischen Kommission für eine Revision der UAVO wird sogar vorgesehen, daß das entscheidende Kapitel 4 der Norm ISO 14.001 als Anhang I A in die UAVO inkorporiert wird und zukünftig den Aufbau und die Prüfung des Umweltmanagementsystems bestimmt.

Für das Datenschutzaudit ist eine funktionsäquivalente Norm irgendeines Normungsgremiums nicht vorhanden. Dies hat den Vorteil für den Gesetzgeber, daß er sein Konzept eines Datenschutzaudits ohne Rücksichtnahme auf die Kompatibilität zu einer Datenschutzmanagementnorm regeln kann. Spätere Normen zu einem Datenschutzmanagementsystem müßten sich umgekehrt an dem gesetzlichen Datenschutzaudit orientieren und die Kompatibilität ihres Systems zu dem gesetzlichen Audit sicherstellen. Ein Datenschutzauditgesetz den Normungsgremien die Herstellung einer solchen Kompatibilität erleichtern, wenn es sich an dem Vorbild orientiert, das auch die Normungsgremien zum Vorbild nehmen dürften: die Umweltmanagementnorm ISO 14.001.

463S. hierzu auch Lütkes, NVwZ 1996, 233.
464EG ABl. Nr. L 104/37 vom 22.4.1997.

 

4.4  Verfassungsrechtliche Anforderungen an eine rechtliche Regelung

Die notwendige Vertrauenswürdigkeit eines Datenschutzaudits ist nur durch eine rechtliche Regelung zu erreichen, die die Teilnahmeberechtigung, das Prüfverfahren, die zugelassenen Prüfer, die Prüfgegenstände, die Prüfkriterien, das Prüfergebnis und dessen Verwendung als Mittel der Werbung und des Wettbewerbs regelt. Zu beantworten bleiben die Fragen, in welcher Form und durch wen diese Regelung zu erlassen ist.

4.4.1 Regelung durch Gesetz

Die Zulassung von Datenschutzgutachtern und Gutachterorganisationen und die Aufsicht über gutachterliche Tätigkeit sind Eingriffe in die Berufsfreiheit nach Art. 12 Abs. 1 GG und bedürfen daher einer gesetzlichen Regelung.465 Diese Regelungen konturieren das durch das Datenschutzauditgesetz neu zu schaffende Berufsbild des Datenschutzgutachters und berühren damit den Kernbereich der in Art. 12 GG geschützten Berufsfreiheit. Die Zulassung öffnet den betreffenden Gutachtern und Organisationen einen Dienstleistungsmarkt und verschafft ihnen erheblich bessere Erwerbschancen gegenüber anderen, nicht zugelassenen Gutachtern. Mehr noch als bei der allgemeinen Anerkennung bestimmter Qualifikationen wird der Markt der externen Prüfungen und Bestätigungen des Datenschutzaudits exklusiv den zugelassenen Gutachtern vorbehalten. Für die Zulassung von Datenschutzgutachtern muß daher erst recht gelten, was das BVerfG für die öffentliche Bestellung von Sachverständigen nach § 36 GewO festgestellt hat: "Schafft der Gesetzgeber die staatliche Anerkennung einer beruflichen Qualifikation und damit Vorteile im beruflichen Wettbewerb, so wirkt sich die Verweigerung dieser Anerkennung als Eingriff in die Berufsfreiheit aus. Als Freiheitsbeschränkung kommen nicht allein Gebote und Verbote in Betracht; es genügt, daß durch staatliche Maßnahmen der Wettbewerb beeinflußt und die Ausübung einer beruflichen Tätigkeit dadurch behindert wird."466 Mit der Zulassung werden einem Gutachter "diejenigen Eigenschaften bestätigt, die für seinen beruflichen Erfolg entscheidend sind. ... Daraus ergibt sich ein erheblicher Wettbewerbsvorsprung gegenüber denjenigen Sachverständigen, die auf keine staatliche Anerkennung ihrer Kompetenz verweisen können."467 Die Zulassung greift daher in das Grundrecht auf Berufsausübung der Gutachter ein.468

Die Verweigerung der Registrierung oder die Streichung aus dem Register, die jeweils mit einer Aberkennung des Datenschutzauditzeichens verbunden sind, können zu erheblichen Beeinträchtigungen des Wettbewerbsfähigkeit eines Unternehmens führen und damit über die Umsatz- und Gewinnchancen eines Herstellers entscheiden. Letztlich können sie sogar die Substanz eines Unternehmens beeinträchtigen.469 Ihre Regelung ist daher als ein Eingriff in das Grundrecht auf freie Berufsausübung und in die Gewerbefreiheit der betroffenen Unternehmen anzusehen.470 Diese Maßnahmen bedürfen der gesetzlichen Regelung.471 Manche sehen sogar bereits in dem motivationalen Druck der gemeinwohlförderliche Beiträge der Unternehmen induzieren soll, einen Grundrechtseingriff in die Berufsfreiheit. Dieser ergebe sich durch die Erwirkung unternehmerischen Verhaltens infolge der objektiv-finalen Logik des Audits. Die Freiwilligkeit der Teilnahme stehe dem nicht entgegen.472 Diese Sichtweise ergäbe einen weiteren verfassungsrechtlichen Grund, den auch nach dieser Meinung zulässigen verhältnismäßigen Eingriff in die Berufsausübungsfreiheit durch Vorgaben zum Datenschutzaudit gesetzlich zu regeln.

Die Regelung der Werbemöglichkeiten und das Verbot der Produktwerbung greift in die Berufsfreiheit der Unternehmen ein. Sie ist zulässig, wenn vernünftige Erwägungen des Allgemeinwohls dies rechtfertigen, bedarf aber immer einer gesetzlichen Regelung.473

465S. provet 1996, Begründung zu § 11 Multimedia-Datenschutz-Gesetz; ebenso Begründung zu § 17 MD-StV; Engel-Flechsig, RDV 1997, 66. Für das Umwelt-Audit s.
Amtliche Begründung zum UAG, BT, Drs. 13/1192, 18 sowie z.B. Kothe 1996, 128; Sellner/Schnutenhaus, NVwZ 1993, 932; Lübbe-Wolff, DVBl 1994, 367; Köck,
JZ 1995, 649; Schnutenhaus, ZUR 1995, 11; Waskow 1997, 106 ff.; Schnutenhaus, ZUR 1995, 11; Rhein 1996, 126 ff.; Schmidt-Preuß 1997a, 1172f.; Lechelt 1998, 22.

466BVerfGE 86, 28 (37); 82, 209 (223f.).
467BVerfGE 86, 28 (37). S. z.B. zum berufsregelnden Charakter der Anerkennung der Gutachter bei Umweltschutz-Audits auch Amtliche Begründung zum UAG, BT,
Drs. 13/1192, 18; Rhein 1996, 128f.; Kothe 1996, 128, 143.

468Der Eingriff bezieht sich nicht auf die Berufswahl, sondern auf die Berufsausübung, weil Datenschutzgutachter sich von nicht zugelassenen Gutachtern nicht durch die
Zugehörigkeit zu einem eigenständigen Beruf , sondern nur durch die Anerkennung einer bestimmten Qualifikation und die Zulassung zu einer bestimmten Tätigkeit
unterscheiden - s. auch BVerfGE 86, 28 (38).

469So für das Umweltschutz-Audit die Amtliche Begründung zum UAG BT, Drs. 13/1192, 18; Rhein 1996, 127f.
470Ebenso Amtliche Begründung zum UAG BT, Drs. 13/1192, 18; UGB-E 1998, 754. Sofern man den eingerichteten und ausgeübten Gewerbebetrieb als grundrechtlich
geschützt ansieht, liegt auch ein Eingriff in Art. 14 GG vor, der nach Art. 14 Abs. 1 GG einer gesetzlichen Regelung bedarf – s. hierzu die Amtliche Begründung zum
UAG BT, Drs. 13/1192, 18, die insofern auf BGH, NJW 1980, 2457 und Jarass /Pieroth 1995, Art. 14, Rn. 8, verweist.

471So für das Umweltschutz-Audit die Amtliche Begründung zum UAG BT, Drs. 13/1192, 18; s. auch z.B. Köck, JZ 1995, 649; Schnutenhaus, ZUR 1995, 11;
Lechelt 1998, 22f.

472S. z.B. Hoffmann-Riem 1996, 314; Schmidt-Preuß 1997a, 1169; Schmidt-Preuß 1997b, 190.
473S. z.B. BVerfG 9, 213 (221); 60, 215 ff.; s. auch Baumbach/Hefermehl, Allgemeine Grundlagen, Rn. 56.

 

4.4.2 Gesetzgebungskompetenz

Wie für die allgemeinen Regelungen zum Datenschutz ergibt sich die Gesetzgebungskompetenz für ein Datenschutzaudit aus dem Regelungszusammenhang.474 Da der Adressatenkreis der Regelung vor allem datenverarbeitende Stellen aus der Wirtschaft und die Gutachter und Gutachterorganisationen sind und Regelungszweck neben der Zulassung von Gutachtern die Transparenz des Wettbewerbs und der Verbraucherschutz sind, kann der Bund sich für ein Datenschutzauditgesetz auf seine konkurrierende Kompetenz für das Recht der Wirtschaft nach Art. 74 Abs. 1 Nr. 11 GG berufen.475

Nach Art. 72 Abs. 2 GG darf der Bund von seinem Recht zur konkurrierenden Gesetzgebung Gebrauch machen, wenn und soweit die Herstellung gleichwertiger Lebensverhältnisse im Bundesgebiet oder die Wahrung der Rechts- oder Wirtschaftseinheit im gesamtstaatlichen Interesse eine bundesgesetzliche Regelung erforderlich macht. Zwar haben die Länder in § 17 MDStV ein Datenschutzaudit vorgesehen. Aktivitäten zur Umsetzung eines Datenschutzaudits durch die Länder sind nicht zu erkennen. Auch wäre es wenig hilfreich, wenn einzelne Länder das zur Umsetzung des Datenschutzaudits erforderliche Gesetz - eventuell unterschiedlich - erlassen würden. Aber auch koordiniert durch einen Staatsvertrag sind derzeit keine Schritte zu dem von § 17 MDStV vorgesehenen Gesetz geplant. Auf diese Weise könnte auch nur für Mediendienste, nicht aber für Teledienste und andere wirtschaftliche Anwendungen ein Datenschutzaudit eingeführt werden. Der grenzüberschreitende Wettbewerb datenverarbeitender Stellen, die grenzüberschreitende Nachfrage nach Anwendungen und das Erfordernis eines ebenso weiten Schutzes des informationellen Selbstbestimmungsrechts ebenso wie die bundesweite Tätigkeit von Datenschutzgutachtern machen bundeseinheitliche Rahmenbedingungen unabdingbar notwendig.476 Die Regelung durch Bundesgesetz ist deshalb zur Wahrung der Rechts- und Wirtschaftseinheit im gesamtstaatlichen Interesse erforderlich.477

Sofern im Datenschutzauditgesetz den Industrie- und Handelskammern neue Aufgaben und Befugnisse übertragen werden, sofern eine Verordnungsermächtigung für die Regelungen des Registrierungsverfahren bei Industrie- und Handelskammern, neue Aufsichtsaufgaben für die Landesaufsichtsbehörden über die Industrie- und Handelskammern bestimmt werden und für die Landesdatenschutzbeauftragten neue Aufgaben geregelt werden, ist das Gesetz nach Art. 84 Abs. 1 GG im Bundesrat zustimmungspflichtig. Art. 84 Abs. 1 GG schützt die Organisationshoheit der Länder,478 begründen aber nur im Ausnahmefall das Erfordernis einer Zustimmung des Bundesrats, um die parlamentarische Demokratie des Bundes nicht zu gefährden. Ein Zustimmungserfordernis besteht dann, wenn die Bundesgesetze die "Einrichtung der Landesbehörden ... regeln". Zur "Einrichtung von Behörden" im Sinn des Art. 84 Abs. 1 GG rechnet das Bundesverfassungsgericht nicht nur Festlegungen zur Errichtung von Behörden. Zu ihr gehört "auch die Festlegung ihres näheren Aufgabenkreises", zumindest dann, wenn der Aufgabenkreises einer Behörde qualitativ erweitert wird.479 Neben der Einrichtung von Behörden begründet auch Vorschriften über das Verwaltungsverfahren die Zustimmungspflicht des Art. 84 Abs. 1 GG. Solche "Vorschriften über das Verwaltungsverfahren sind gesetzliche Bestimmungen, die die Tätigkeit der Verwaltungsbehörden im Blick auf die Art und Weise der Ausführung des Gesetzes einschließlich ihrer Handlungsformen, die Form der behördlichen Willensbildung, die Art der Prüfung und Vorbereitung der Entscheidung, deren Zustandekommen und Durchsetzung sowie verwaltungsinterne Mitwirkungs- und Kontrollvorgänge in ihrem Ablauf regeln."480 Die genannten Regelungen regeln entweder qualitativ neue Aufgaben für Landesbehörden oder das von diesen durchzuführende Verfahren. Somit ist das Gesetz zustimmungspflichtig.

474S. hierzu ausführlich Simitis 1992, § 1 BDSG, Rn. 63 ff.
475Auch die Sachverständigenkommission zum Umweltgesetzbuch geht für das Umweltschutz-Audit von einer Gesetzgebungskompetenz des Bundes nach Art. 74 Abs. 1
Nr. 11 GG aus – s. UGB-E 1998, 754.

476Auch die Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11002, 104, fordert,
"ein Datenschutzaudit auch im Bundesrecht vorzusehen".

477So auch die amtliche Begründung für das IuKDG, BR-Drs. 966/96, 19.
478S. BVerfGE 48, 127 (179); 55, 274 (319).
479BVerfGE 75, 108 (150f.); 77, 288 (299).
480BVerfGE 75,108 (152); 37, 363 (385, 390); 55, 274 (320f.).

 

4.4.3 Verwaltungskompetenz

Die Verwaltungskompetenz für die Zulassung und Beaufsichtigung der Datenschutzgutachter sowie die Registrierung der teilnehmenden Anbieter soll einer Bundesbehörde, entweder einer beliehenen privaten Organisation oder der Regulierungsbehörde für Telekommunikation und Post zustehen. Nach Art. 87 Abs. 3 GG können für Angelegenheiten, für die dem Bund die Gesetzgebungskompetenz zusteht, selbständige Bundesoberbehörden durch Bundesgesetz errichtet werden. Dies gilt erst recht, wenn einer bereits bestehenden Bundesoberbehörde weitere Aufgaben übertragen werden.481

481S. z.B. Jarass/Pieroth 1997, Art. 87 GG, Rn. 12.

 

 

5   Konzeption eines Gesetzes

Das Datenschutzaudit ist ein modernes Instrument der Kontextsteuerung, das versucht, sein Ziel einer kontinuierlichen Verbesserung des Datenschutzes und der Datensicherheit nicht durch Ge- und Verbote, sondern mit leichter Hand durch die freiwillige Selbstregulation der Wirtschaftseinheiten zu erreichen. Es zielt auf einen ausreichenden Datenschutz ohne Zwang. Die öffentlichen Regelungsziele sollen möglichst selbstvollziehend erreicht werden.482 Zu diesem Zweck sucht das Datenschutzaudit, eine kontinuierliche Verbesserung des Datenschutzes durch gesteuerte Selbstregulierung zu erreichen.483 Es mobilisiert legitimen Eigennutz, um dadurch Beiträge zur Verwirklichung von Gemeinwohlzielen hervorzubringen. Innerhalb normativer Rahmenbedingungen wird freiwilliges privates Verhalten induziert, das in Wahrnehmung grundrechtlicher Freiheiten durch Eigenverantwortung, Privatinitiative und Risikoübernahme zugleich auch dem Allgemeininteresse dient.484 Aber erst die rechtliche Rahmensetzung schafft die Voraussetzungen für die Zielgerechtigkeit des Verfahrens und die Vergleichbarkeit der Kriterien und Ergebnisse.485 Das Datenschutzaudit ist ein Instrument zur Erfüllung der Strukturverantwortung des Staates.486 Dieser könnte er gerecht werden, ohne öffentliche Haushalte zu belasten.487

Das Datenschutzaudit ist sehr voraussetzungsvoll. Seine Ziele wird es nur erreichen, wenn diese Voraussetzungen durch rechtliche Rahmensetzung gewährleistet werden. Erfolg wird das Datenschutzaudit nur haben, wenn die Zielsetzungen ehrgeizig und zugleich realistätsnah, die Gutachter fachkundig und zuverlässig sind und ein hoher Qualitätsstandard gewahrt wird. Entscheidend ist die Vertrauenswürdigkeit aller Elemente des Datenschutzaudits. Dies muß das Datenschutzauditgesetz gewährleisten.

482S. z.B. Schneider, Verwaltung 1995, 363.
483Kritisch zu Konzepten unternehmerischer Selbststeuerung unter Marktbedingungen, die zur Anpassung an die jeweils aktuellen Marktbedingungen zwingen – Lübbe-Wolff,
DVBl 1994, 372f.

484S. hierzu für das Umweltschutz-Audit auch Scherer, NVwZ 1993, 16; Schmidt-Preuß 1997a, 1158f; Schmidt-Preuß 1997b, 185 ff.
485Zum Zusammenwirken von öffentlich-rechtlichen und privatrechtlichen Regelungsanteilen zu einer einheitlichen Regelungsstrategie s. Schneider, Verwaltung 1995, 363 ff.
486S. hierzu näher Roßnagel, ZRP 1997, 26 ff.
487Soweit öffentliche Aufgaben wie die Zulassung der Gutachter und die Registrierung der Teilnehmer nicht auf private Träger übertragen werden, können die dadurch
entstehenden Kosten durch Gebühren voll abgedeckt werden.

 

5.1  Umsetzung der Programmnorm des § 9a BDSG-E

Eine Datenschutzauditgesetz muß die Programmnorm des § 9a BDSG-E beachten. Diese ermöglicht für sich genommen noch kein Datenschutzaudit, weil die Ausführungsregelungen erst noch durch ein Gesetz geregelt werden müssen. Mit ihr schließt der Gesetzgeber allerdings die Diskussion über das "Ob" eines Datenschutzaudits ab, setzt sich mit ihr selbst ein Ziel und deutet die Art und Weise seiner Erfüllung an. Damit setzt er rechtspolitisch ein Zeichen, an dem sich die interessierten Kreise orientieren können.

Für das eigentliche Datenschutzauditgesetz ist die Programmnorm rechtlich in keiner Weise bindend. Auch wenn sie dieses ankündigt, ist sie ihm nicht übergeordnet. Vielmehr ist ein Datenschutzauditgesetz ebenso wie die Programmnorm im rechtlichen Rang ein Bundesgesetz. Es geht ihr umgekehrt sogar aus zwei Gründen vor: Es ist zum einen ein Spezialgesetz, das nach § 1 Abs. 4 Satz 1 BDSG den Regelungen des BDSG vorgeht. Zum anderen hat es allein schon nach den Lex-Posterior-Regel im Konfliktfall Vorrang vor dem älteren Gesetz. Die Andeutungen zur Ausgestaltung des Datenschutzaudits in § 9a BDSG-E sind somit in keiner Weise rechtlich bindend und können bei besserer Erkenntnis problemlos übergangen werden.

Allerdings stellt die Formulierung des § 9a BDSG-E einen Kompromiß zwischen den an seiner Entstehung beteiligten Interessen dar und entfaltet damit gewisse politische Bindungswirkungen. Daher sollte diese Grundlage nicht ohne Not verlassen werden. Bei richtiger Interpretation kann diese Vorschrift auch ein passender Anknüpfungspunkt für die Umsetzung des hier entworfenen Konzepts eines Datenschutzaudits sein. § 9a Satz 1 BDSG-E lautet:

"Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen."

Die Vorschrift unterscheidet zwei Adressatengruppen und zwei Gegenstandsbereiche. Die entscheidende Interpretationsleistung besteht darin, beide einander zuzuordnen. Entscheidend ist der Unterschied zwischen technischen Einrichtungen und Datenschutzkonzepten. Denn ihre überprüfung fordert ganz unterschiedliche Konzepte der Auditierung: Für technische Einrichtungen ist ein Produktaudit und für Datenschutzkonzepte, die von einem Datenschutzmanagement umzusetzen sind, ist ein Systemaudit erforderlich.488 Daher müssen zur Umsetzung der Programmnorm des § 9a BDSG zwei unterschiedliche Wege verfolgt werden: die Regelung eines Produktaudits und die Regelung eines Systemaudits.

Beiden Auditformen sind die unterschiedlichen Adressatengruppen zuzuordnen - wenn auch nicht ausschließlich, so doch schwerpunktmäßig. Die Anbieter von Datenverarbeitungssystemen und -programmen bieten technische Einrichtungen an, die in einem Produktaudit auf ihren Beitrag zur Verbesserung des Datenschutzes überprüft werden können. Für datenverarbeitende Stellen ist es zwar nicht ausgeschlossen, aber doch eher seltener, daß sie technische Einrichtungen entwickeln, die sie auditieren lassen wollen. Personenbezogene Daten werden dagegen von den datenverarbeitenden Stellen verarbeitet, die für derer Erhebung, Verarbeitung und Nutzung ein Datenschutzkonzept erarbeiten, das in einem Systemaudit überprüft werden kann. Auch die Anbieter von Datenverarbeitungssystemen und -programmen können für ihre technischen Einrichtungen ein Datenschutzkonzept entworfen haben. Dieses ist aber in die technische Einrichtung eingegangen und nicht Gegenstand einer gesonderten Prüfung. Es wird im Produktaudit mit evaluiert.

Beide Formen des Audits sollten getrennt werden. Es macht wenig Sinn, wenn die vielen tausend Anwender eines Datenverarbeitungssystems oder -programms dieses viel tausendfach auditieren lassen. Vielmehr sollte allein der jeweilige Anbieter für das System oder Programm ein einziges Produktaudit durchführen. Die datenverarbeitenden Stellen sollten sich dagegen im Rahmen ihres Systemaudits verpflichten, - soweit vorhanden - auditierte Datenverarbeitungssysteme und -programme in ihrer Datenverarbeitung einzusetzen. Das Systemaudit wiederum zielt auf eine überprüfung und Bewertung des Datenschutzmanagementsystems einer datenverarbeitenden Stelle und ist ungeeignet, verläßliche Aussagen über eine technische Einrichtung zu generieren. Das Produktaudit für Datenverarbeitungssysteme und -programme kann daher nicht durch ein Systemaudit ersetzt werden.

Aus dieser Interpretation der Programmnorm des § 9a BDSG-E ergibt sich folgende Regelungsstrategie: Die Anbieter von Datenverarbeitungssystemen und -programmen sollten die gesetzliche Möglichkeit erhalten, ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten zu lassen sowie das Ergebnis der Prüfung zu veröffentlichen. Zu diesem Zweck sollte das BSIG um den Aspekt des Datenschutzes erweitert werden. In § 4 BDSG ist bereits die Möglichkeit für eine Zertifizierung der Datensicherheit eröffnet. Für den Aspekt des Datenschutzes müßten konkrete Prüfkriterien erarbeitet werden. Zu diesem Zweck könnte in einer Novelle des BSIG eine Ermächtigung zum Erlaß eines Kriterienkatalogs vorgesehen werden. Diese könnte sich an § 16 Abs. 6 SigV orientieren.489 Danach wäre in der Ermächtigung festzuhalten, daß das Bundesamt für Sicherheit in der Informationstechnik einen Katalog geeigneter Kriterien erstellt und fortführt, anhand derer die Gewährleistung von Datenschutz und Datensicherheit technischer Einrichtungen bewertet werden kann. An der Erstellung und Fortführung des Katalogs sind Experten aus Wirtschaft und Wissenschaft zu beteiligen. Die jeweils gültige Fassung wird im Bundesanzeiger veröffentlicht. Da die Prüfung und Bewertung sich unmittelbar auf ein konkretes Produkt bezieht, darf das Ergebnis für die Produktwerbung verwendet werden.

Datenverarbeitende Stellen sollten entsprechend § 9a BDSG-E die gesetzliche Möglichkeit erhalten, ihre Datenschutzkonzepte durch unabhängige und zugelassene Gutachter prüfen und bewerten zu lassen sowie das Ergebnis der Prüfung zu veröffentlichen. Da ein Datenschutzkonzept allein als Papierdokument wenig aussagekräftig ist, kann der Begriff des Datenschutzkonzepts zur Verbesserung von Datenschutz und Datensicherheit nur so gemeint sein, daß er neben der programmatischen Formulierung des Konzepts auch seine organisatorische Ausprägung und seine Umsetzung durch konkrete Maßnahmen beinhaltet. In diesem Sinn entspricht das Datenschutzkonzept der Formulierung einer Datenschutzpolitik, ihrer Konkretisierung in einem Datenschutzprogramm und ihrer organisatorischen Umsetzung in einem Datenschutzmanagementsystem. Die Auditierung dieses Datenschutzkonzepts kann in der Form erfolgen, daß die datenverarbeitende Stelle eine interne Datenschutzprüfung durchführt, als deren Ergebnis sie eine Datenschutzerklärung erstellt und diese von einem unabhängigen und zugelassenen Datenschutzgutachter prüfen und bewerten läßt. Die hier entwickelte Konzeption eines Datenschutzaudits entspricht somit voll und ganz der Programmnorm des § 9a BDSG-E. Zu ihrer Umsetzung sollte ein Datenschutzauditgesetz erlassen werden, das die Voraussetzungen einer Auditierung des Datenschutzmanagementsystems der datenverarbeitenden Stelle regelt.

488S. hierzu ausführlich Kap. 3.2.1.
489S. zu dieser Vorschrift Roßnagel/Pordesch 1999, § 16 SigV, Rn. 111.

 

5.2  Vorbild für Europa

Durch die ausschließliche Etablierung eines Datenschutzaudits in der Bundesrepublik Deutschland wird befürchtet, daß innerhalb der Europäischen Gemeinschaft ein mögliches neues Wettbewerbshindernis entstehen könnte. Dies wäre vor allem dann zu erwarten, wenn das Datenschutzauditzeichen im Ausland nicht anerkannt wird. Ein deutscher Alleingang innerhalb der Europäischen Gemeinschaft, so wird empfohlen, sollte deshalb möglichst vermieden werden.490

In einem internationalen Markt wie etwa dem der Multimediadienste müssen Lösungsansätze für Kennzeichnungen immer die "internationale Komponente im Auge behalten. Einbezogen werden sollten zumindest die wichtigsten Industriestaaten oder der EU-Raum."491 Schließt dies aber nationale Vorbilder für internationale Entwicklungen aus? Das Beispiel des Signaturgesetzes lehrt eigentlich das Gegenteil.

Zwar werden Multimediadienste auch auf einem globalen Markt angeboten und die Datenschutzprobleme stellen sich weltweit. Hierfür sind letztlich globale, zumindest aber europäische Regelungen notwendig. Solche stehen aber meist nicht am Anfang, sondern am Ende der Rechtsentwicklung. Mit der Rechtsetzung muß daher auf nationaler Ebene begonnen werden - wohl wissend, daß dies nicht ausreicht. Wer als erster sinnvolle gesetzliche Regelungen erläßt, verschafft seiner Volkswirtschaft Vorteile und setzt Maßstäbe - für europäische oder weltweite Regelungen. Ohne das Signaturgesetz gäbe es heute mit Sicherheit noch keinen Beschluß des Rats der Europäische Union zu einer Signaturrichtlinie.

Auch ist zu erwarten, daß die Europäische Gemeinschaft, wenn die Bundesrepublik Deutschland ein Datenschutzaudit einführt, dies übernehmen und europaweit zu gleichen Bedingungen ermöglichen wird. Hierfür ist erforderlich, daß das Datenschutzaudit in Deutschland dem zu erwartenden Konzept auf europäischer Ebene nahe kommt. Da auch die Europäische Kommission sich am eigenen Vorbild des europaweiten Umweltschutz-Audits orientieren dürfte, werden sich die Konzepte des deutschen und des europäischen Datenschutzaudits nicht sehr stark unterscheiden. In diesem Fall könnte das deutsche Audit-System mit nur geringen Anpassungen schnell in das europäische System überführt werden.

490S. Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI), DuD 1999, 281 ff.
491Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft", BT-Drs. 13/11003, 24.

 

5.3  Beschränkung auf notwendige Rahmenregelungen

Die Regelungen eines Datenschutzauditgesetzes sollten sich auf den verfassungsrechtlich notwendigen Umfang und die für die Glaubwürdigkeit und Praktikabilität des Datenschutzaudits notwendigen Funktionsbedingungen beschränken.

Mit einer schlichten Einführungsnorm ist es allerdings auch nicht getan. Eine Regulierung wie in § 17 MDStV, in § 11c des Brandenburgischen Datenschutzgesetzes, in § 17 des Entwurfs der Bundestagsfraktion BüNDNIS90/DIE GRüNEN zu einem neuen Bundesdatenschutzgesetz oder wie in § 9a BDSG-E,492 die nur die Möglichkeit eines Datenschutzaudits ankündigt und die notwendigen Ausführungsregelungen einen gesonderten Gesetz vorbehält, ist unzureichend. Andererseits sind nicht unbedingt Regelungen in dem Umfang erforderlich, wie sie in der Europäischen Union und der Bundesrepublik Deutschland für das Umweltschutz-Audit gewählt worden sind. Dort wurde das Umweltschutz-Audit insgesamt in 83 Paragraphen und mehreren Anhängen zur UAVO geregelt.

Notwendig sind Regelungen, die Rahmenbedingungen für das Datenschutzaudit gegenüber den datenverarbeitenden Stellen festlegen. Sie müssen die Glaubwürdigkeit und Vergleichbarkeit des Datenschutzaudits durch Vorgaben zum Verfahren und zu den Kriterien gewährleisten. Außerdem sind die Voraussetzungen der Registrierung und ihr Widerruf sowie die Verwendung des Datenschutzauditzeichens zu regeln.

Mehr ist aber auch nicht notwendig. Nicht im Gesetz zu regeln, sind daher die Zulassung und die Aufsicht über die Datenschutzgutachter sowie verwaltungsinterne Regelungen wie die Beratung des aufsichtsführenden Ministeriums durch einen Ausschuß.493 Es genügt, für beide Gegenstandsbereiche ausreichend konkrete Regelungsermächtigungen vorzusehen.494

Nicht im Gesetz geregelt werden müssen auch die Prüfungsmaßstäbe für das Datenschutzaudit. Der objektive Maßstab ergibt sich aus der selbstverständlichen Verpflichtung jeder datenverarbeitenden Stelle, die für ihre Anwendung geltenden Anforderungen des Datenschutzrechts einzuhalten. Der subjektive Maßstab ergibt sich aus der Selbstverpflichtung der datenverarbeitenden Stelle. Diese orientiert sich an ihrer individuellen Leistungsfähigkeit. Für den subjektiven Maßstab ist nur eine Rahmenregelung notwendig, die Zielerreichung und Vergleichbarkeit der Selbstverpflichtungen sicherstellt. Hierfür ist festzuhalten, daß die Selbstverpflichtung auf eine - zusätzlich zum objektiven Maßstab - kontinuierliche Verbesserung des Datenschutzes und der Datensicherheit sowie auf den Einsatz der besten verfügbaren und wirtschaftlich einsetzbaren technischen und organisatorischen Instrumente gerichtet sein muß. Die Ausgestaltung dieser abstrakten Anforderung ist jedoch individueller und – besser – branchenbezogener Selbstregulierung zu überlassen.

492S. BT-Drs. 13/9082.
493Die meisten Vorschriften UAG gelten der Regelung dieser Fragen.
494S. hierzu UGB-E 1988, 751, 754.

 

5.3.1 Verordnungsermächtigungen

Eine Verordnungsermächtigung ist zum einen notwendig, um die Details der Zulassung der Datenschutzgutachter und der Aufsicht über diese zu regeln.495 Die Regelung über die Zulassung von Datenschutzgutachtern und die Aufsicht über diese unterfallen dem Gesetzesvorbehalt des Art. 12 Abs. 1 Satz 2 GG.496 Sie sind zulässig, wenn sie durch Gesetz erfolgen und wenn "Gesichtspunkte der Zweckmäßigkeit"497 sie verlangen, um Gefahren für die Allgemeinheit auszuschließen oder um den geregelten Berufsstand zu fördern.498 Sie bedürfen in Grundzügen einer gesetzlichen Regelung.499 Allerdings kann nicht davon ausgegangen werden, daß sämtliche Detailregungen, die für das Umweltschutz-Audit im Zweiten Teil des Umweltauditgesetzes getroffen worden sind, vom Gesetzgeber auch für ein Datenschutzaudit erlassen werden müssen.500 Denn Einzelheiten kann der Gesetzgeber einer Verordnung oder Satzung überlassen, er hat aber in jedem Fall "selbst zu entscheiden, ob und inwieweit Freiheitsrechte des Einzelnen gegenüber Gemeinschaftsinteressen zurücktreten müssen".501 "Denn der Bürger muß aus dem Gesetz erkennen können, welche Schranken seiner Freiheit im einzelnen gezogen sind."502 Der Gesetzgeber muß daher "zumindest die Auswahlkriterien und ein rechtsförmiges Auswahlverfahren vorsehen".503

Soll das Datenschutzauditgesetz nicht mit einer detaillierten Berufsordnung überfrachtet werden, würde es genügen, die Berufsregelungen für Datenschutzgutachter nur in Grundzügen im Gesetz zu regeln und für die Details eine Verordnungsermächtigung vorzusehen. Die gleiche Regelungsstruktur empfahl die Sachverständigenkommission zum Umweltgesetzbuch. Sie sah für die Lösung über eine Verodnungsermächtigung keine durchgreifenden verfassungsrechtlichen Bedenken.504 Allerdings müßte das Berufsbild des Datenschutzgutachters durch Regelungen zum Prüfverfahren und zum Prüfumfang eingeführt und in seinen Grundzügen festgelegt werden Dies gilt auch für die Aufsicht über seine Tätigkeit. Darüber hinaus sollte die Verordnungsermächtigung weitere Konkretisierungen hinsichtlich der vorzusehenden Regelungen der Berufsausübung enthalten. Für die Regelung der weiteren Einzelheiten genügt auch eine Rechtsverordnung den Anforderungen des Art. 12 Abs. 1 Satz 1 GG.505

Zum anderen ist eine Verordnungsermächtigung notwendig, um die Einheitlichkeit der Registrierung der teilnehmenden Unternehmen sicherzustellen. Die Registrierung der auditierten Standorte berührt die Berufsausübung und Gewerbefreiheit der betroffenen Unternehmen.506 Auch insoweit bedarf es einer Regelung durch den Gesetzgeber. Doch genügt es auch hier, die Grundzüge der Regelung im Gesetz zu treffen und die nähere Ausgestaltung einer Verordnung zu überlassen.

Drittens ist eine Verordnungsermächtigung notwendig, um bei der aufsichtsführenden Bundesbehörde die erforderlichen Beratungsgremien etablieren und deren Kompetenzen festlegen zu können.507

Schließlich ist viertens eine Verordnungsermächtigung notwendig, die eine Regelung zur Erhebung von Kosten für die Amtshandlungen der Regulierungsbehörde für Telekommunikation und Post bei der Zulassung und Beaufsichtigung der Datenschutzgutachter und bei der Registrierung der teilnehmenden Stellen ermöglicht.

495Diese Verordnung kann sich weitgehend an den Regelungen der §§ 3 ff. des UAG orientieren.
496S. Kap. 4.4.1.
497BVerfGE 7, 377 (406).
498S. hierzu Pieroth/Schlink 1997, Rn. 920, 924 m.w.N.
499So UBG-E 1998, 754 für das Umweltschutz-Audit; ebenso Sellner/Schnutenhaus, NVwZ 1993, 932; Schnutenhaus, ZUR 1995, 11; Waskow 1997, 106 ff; zurückhaltend
Ewer, NVwZ 1995, 459.

500Das UAG enthält die mit Abstand ausführlichste und längste Umsetzungsregelung der UAVO in Europa – s. UGB-E 1998, 752.
501BVerfGE 86, 28 (40).
502BVerfGE 80, 257 (267).
503BVerfGE 86, 28 (41) unter Verweis auf BVerfGE 73, 280 (295 ff.): "Solche Mindestanforderungen sind nicht einmal bei staatlich gebundenen Berufen entbehrlich."
504S. UGB-E 1998, 754.
505S. UGB-E 1998, 754.
506S. Kap. 4.4.1.
507S. hierzu § 169 Abs. 3 UGB-E sowie UGB-E 1998, 758f; Lübbe-Wolff; NuR 1996, 220; Mayen, NVwZ 1997, 215.

 

5.3.2 Geltungsbereich

Ein künftiges Gesetz zum Datenschutzaudit gilt nur in der Bundesrepublik Deutschland. Auch wenn damit zu rechnen ist, daß die Europäische Gemeinschaft ein solches Konzept übernehmen und innerhalb der Europäischen Gemeinschaft anbieten wird,508 bleibt das Problem des begrenzten rechtlichen Anwendungsbereichs. Da das Datenschutzaudit sowohl ausländischen Anbietern, die in der Bundesrepublik Deutschland ihre Teledienste anbieten, als auch deutschen Anbietern, die ihre Anwendungen im Ausland anbieten oder teilweise im Ausland betreiben, offen stehen soll, stellt sich die Frage, wie grenzüberschreitende Anwendungen behandelt werden sollen. Wie kann sichergestellt werden, daß die Anforderungen des deutschen Datenschutzauditgesetzes eingehalten werden?

Ein Rabatt für international erbrachte Anwendungen kann es nicht geben, da sonst das Vertrauen in das gesamte Verfahren gefährdet wird. Für das Datenschutzaudit muß daher der Grundsatz gelten, daß derjenige, der die Vorteile des Datenschutzaudits genießen will, auch seine Bedingungen voll erfüllen muß. Will er das Datenschutzmanagementsystem einer Anwendung auditieren lassen, so muß er alle Bestandteile des Managementsystems und alle Teile der internationalen oder weltweiten Anwendung in die Prüfung einbeziehen.509

508S. hierzu Kap. 5.2.
509Zu den Kriterien, die in diesem Fall anzuwenden sind, s. Kap. 3.4.1.

 

5.3.3 Gesetz und Anhänge

Im eigentlichen Gesetz sollten nur die aus verfassungsrechtlichen Gründen notwendigen Regelungen für die Durchführung des Datenschutzaudits aufgenommen werden.

Entsprechend dem Vorbild der UAVO sollten die Detailregelungen zu den durchzuführenden Prüfungen, zum Aufbau und zur Unterhaltung eines Datenschutzmanagementsystems, zur Datenschutzerklärung sowie zum Datenschutzauditzeichen in Anhängen zum Gesetz aufgenommen werden. Die Regelungen der Anhänge orientieren sich an dem Vorbild der Anhänge zur UAVO, zum Revisionsentwurf der Europäischen Kommission zur UAVO sowie den Internationalen Managementnormen ISO 14.001 und ISO 9.001. Diese Orientierung des Datenschutzaudits an Internationalen Manangementnormen erleichtert die Einbindung des Datenschutzmanagements in bereits bestehende Managementsysteme.

 

6   Literatur

Arbeitsgemeinschaft Selbständiger Unternehmer (ASU) e.V./Unternehmerinstitut (UNI) e.V.: öko-Audit in der mittelständischen Praxis. Evaluierung und Ansätze für eine Effizienzsteigerung von Umweltmanagementsystemen in der Praxis, UNI/ASU-Umweltmanagementbefragung 1997, Bonn 1997.

Arbeitskreis "Datenschutzaudit Multimedia" (1999): Prinzipien und Leitlinien zum Datenschutzaudit bei Multimedia-Diensten, DuD 1999, 285.

Arbeitskreis "Datenschutzbeauftragte" im Verband der Metallindustrie Baden-Württemberg (VMI) (1999): Datenschutzaudit-Stellungnahme, DuD 1999, 281.

Bachmeier, R. (1996): Vorgaben für datenschutzgerechte Technik, DuD 1996, 672.

Bachmeier, R. (1996): Gateway: Datenschutzaudit, DuD 1996, 680.

Bartram, B. (1998): Ablauf, Kriterien und Tiefe der internen Umweltbetriebsprüfung, in: Ewer, W./Lechelt, R./Theuer, A. (Hrsg.), Handbuch Umweltaudit, München 1998, 75.

Baumbach, A./Hefermehl, W. (1995): Wettbewerbsrecht, 18. Aufl. München 1995.

Berliner Datenschutzbeauftragter (1997): Datenschutz-Bericht 1996, Berlin 1997.

Bizer, J. (1997): Datenschutz in Neuen Medien, in: Kubicek, H./Klumpp, D./Müller, G./Neu, W./Raubold, E./Roßnagel, A. (Hrsg.), Jahrbuch Telekommunikation und Gesellschaft: Die Ware Information - Auf dem Weg zu einer Informationsökonomie, Heidelberg 1997, 146.

Bizer, J. (1999): Kommentierung des TDDSG, in: Roßnagel, A. (Hrsg.), Recht der Multimedia-Dienste, Kommentar zum Informations- und Kommunikationsdienste-Gesetz und zum Mediendienste-Staatsvertrag, Loseblatt, München 1999.

Blackburn, A./Fena, L./Wang, G. (1997): A Description of the eTRUST Model, in: U.S. Departement of Commerce, National Telecommunications and Information Administration (Ed.), Privacy and Self Regulation in the Information Age, Washington D.C. 1997, Chapter 5 <http://www.ntia.doc.gov/reports/selfreg5.htm>.

Blattner-Zimmermann, M. (1998): Warum (BSI-)Zertifikate?, DuD 1998, 222.

Bröhl, G. M. (1997): Rechtliche Rahmenbedingungen für neue Informations- und Kommunikationsdienste, CR 1997, 73.

Büllesbach, A. (1995): Informationssicherheit, Datenschutz und Qualitätsmanagement, RDV 1995, 1.

Büllesbach, A. (1997): Datenschutz und Datensicherheit als Qualitäts- und Wettbewerbsfaktor, RDV 1997, 239.

Büllesbach, A. (1997): Datenschutz bei Informations- und Kommunikationsdiensten, Friedrich-Ebert-Stiftung, Bonn 1997.

Bundesumweltministerium (1995): Broschüre "EG-Umwelt-Audit", Dezember 1995.

Canadian General Standards Board (1998): A Canadian Independent Security Auditing Standard for Internet-based Networks and Servers <http://www.addsecure.net/ inform.htm>.

Clausen, J./Fichter, K.: Umweltbericht – Umwelterklärung. Praxis glaubwürdiger Kommunikation von Unternehmen, München 1995.

Degenhart, J./Freimann, J./Muke, R./Schwaderlapp, R./Schwedes, R. (1995): Pilot-öko-Audits in Hessen, Erfahrungen und Ergebnisse, hrsg. v. Hessisches Ministerium für Wirtschaft, Verkehr und Landesentwicklung, Wiesbaden 1995.

Dombert, M. (1998): Umweltaudit und zivilrechtliche Haftung, in: Ewer, W./Lechelt, R./Theuer, A. (Hrsg.), Handbuch Umweltaudit, München 1998, 249.

Drews, H.-L./Kranz, H. J.: Argumente gegen die gesetzliche Regelung eines Datenschutzaudits, DuD 1998, 98.

Dyllick, T./Hummel, J. (1995): EMAS und/oder ISO 14 0001? Wider das strategische Defizit in den Umweltmanagementsystemnormen, UWF 3/1995, 24.

Dyson, E. (1997): Labeling Practices for Privacy Protection, in: U.S. Departement of Commerce, National Telecommunications and Information Administration (Ed.), Privacy and Self Regulation in the Information Age, Washington D.C. 1997, Chapter 5 <http://www.ntia.doc.gov/reports/selfreg5.htm>.

Engel-Flechsig, S. (1997): Teledienstedatenschutz, DuD 1997, 5.

Engel-Flechsig, S. (1997): Die datenschutzrechtlichen Vorschriften im neuen Informations- und Kommunikationsdienste-Gesetz, RDV 1997, 59.

Engel-Flechsig, S./Maennel, F. A./Tettenborn, A. (1997): Das neue Informations- und Kommunikationsdienste-Gesetz. NJW 1997, 2981.

Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft" (1998): Vierter Zwischenbericht zum Thema Sicherheit und Schutz im Netz, Juni 1998, BT-Drs. 13/11002.

Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft" (1998): Fünfter Zwischenbericht zum Thema Verbraucherschutz in der Informationsgesellschaft, Juni 1998, BT-Drs. 13/11003.

Ewer, W. (1995): öko-Audit: Der Referenten-Entwurf für ein Umweltgutachter und Standortregistrierungsgesetz und die übergangslösung zur Anwendung der EG-öko-Audit-Verordnung, NVwZ 1995, 457.

Ewer, W. (1998): Aufgaben und Pflichten des Umweltgutachters sowie das verfahren seiner Zulassung, in: Ewer, W./Lechelt, R./Theuer, A. (Hrsg.), Handbuch Umweltaudit, München 1998, 115.

Falk, H. (1997): Die EG-Umwelt-Audit-Verordnung und das Umwelthaftungsrecht, EuZW 1997, 593.

Falk, H./Nissen, U. (1995): Der Inhalt der Umwelterklärung nach der EG-Umwelt-Audit-Verordnung, DB 1995, 2101.

Feldhaus, G. (1995): Die Rolle der Betriebsbeauftragten im Umwelt-Audit-System, BB 1995, 1545.

Feldhaus, G. (1997): Umwelt-Audit und Entlastungschancen im Vollzug des Immissionsschutzrechts, UPR 1997, 341.

Feldhaus, G. (1998): Wettbewerb zwischen EMAS und ISO 14001, UPR 1998, 41.

Fleckenstein, K. (1996): Strukturpolitik und Umweltschutz des Deutschen Industrie- und Handelstages, Bonn, in: Rengeling, H.-W. (Hrsg.), Integrierter und betrieblicher Umweltschutz, Köln 1996, 219.

Forschungsgruppe Betriebliche Umweltpolitik (1996): EMAS-Umwelterklärungen. Wie Unternehmen die öffentlichkeit über ihre Aktivitäten im Umweltschutz informieren, Kassel 1996.

Freimann, J. (1997): Gehversuche. Betriebliche Umweltpolitik auf dem neuen Terrain von Eigeninitiative und Chancenorientierung, in: Birke, M./Burschel, C./Schwarz, M. (Hrsg.), Handbuch Umweltschutz und Organisation, München 1997, 563.

Friedel, A./Wiegand, G. (1998): Zertifizierungen und Gütesiegel – eine übersicht, in: Wedde, P./Friedel, A./Wiegand, G., Gütesiegel für den betrieblichen Datenschutz, 2. Aufl. Eppstein 1998, 6.

Frings, E./Schmidt, M. (1998): Quo vadis EMAS? in: Schmidt, M./Höpfner, U. (Hrsg.), 20 Jahre ifeu-Institut, Braunschweig 1998, 395.

Frings, E. (1998): Kommunales öko-Audit, in: Schmidt, M./Höpfner, U. (Hrsg.), 20 Jahre ifeu-Institut, Braunschweig 1998, 433.

Führ, M. (1992): Umweltbewußtes Management durch "öko-Audit", EuZW 1992, 468.

Führ, M. (1993): Umweltmanagement und Umweltbetriebsprüfung - neue EG-Verordnung zum "öko-Audit" verabschiedet, NVwZ 1993, 858.

Führ, M. (1996): Eigenverantwortung oder öko-Staat? Sicherung der Selbstverantwortung in Unternehmen, in: Roßnagel, A./Neuser, U. (Hrsg.), Reformperspektiven im Umweltrecht, Baden-Baden 1996, 211.

Ganse, J./Gasser, V./Jasch, A. (1997): öko-Audit Umweltzertifizierung, Basis einer neuen Unternehmenskultur, München 1997.

Garstka, H. (1998): Empfiehlt es sich, Notwendigkeit und Grenzen des Schutzes personenbezogener – auch grenzüberschreitender – Informationen neu zu bestimmen?, DVBl 1998, 981.

Geis, I. (1997): Internet und Datenschutz, NJW 1997, 288.

Gounalakis, G. (1997): Der Mediendienste-Staatsvertrag der Länder, NJW 1997, 2993.

Gounalakis, G./Rhode, L. (1998): Das Informations- und Kommunikationsdienste-Gesetz. Ein Jahr im Rückblick: Rechtsrahmen des Bundes für die Informationsgesellschaft , K&R 1998, 321.

Gounalakis, G./Rhode, L. (1998): Elektronische Kommunikationsangebote zwischen Telediensten, Mediendiensten und Rundfunk, CR 1998, 487.

Grimm, R./Löhndorf, N./Scholz, P. (1999): Datenschutz in Telediensten (DASIT), DuD 1999, 272.

Halley, H./Pfriem, R. (1993): Umwelt-Audits, öko-Controlling und externe Unternehmenskommunikation, Umwelt-Wirtschafts-Forum 1993, Heft 3, 49.

Hammer, V./Pordesch, U./Roßnagel, A. (1993): ISDN-Anlagen rechtsgemäß gestaltet, Berlin 1993.

Hamschmidt, J. (1995): Internationale Qualitäts und Umweltmanagementnormung: Eine vergleichende Analyse der EU-öko-Audit-Verordnung und der DIN EN ISO 9000 ff., Kassel 1995.

Hansmann, K. (1996): Umwelt-Audit: Verhältnis der Eigenüberwachung zur behördlichen Kontrolle, in: Rengeling, H.-W. (Hrsg.), Integrierter und betrieblicher Umweltschutz, Köln 1996, 207.

Harris, L. & Associates/Westin, A. L. (1997): Commerce, Communication and Privacy Online, New York 1997 <http://www.datenschutz-berlin.de/doc/usa/commerce. htm>

Hassemer, W. (1995): Zeit zum Umdenken, DuD 1995, 448.

v. Heyl, C. (1998): Teledienste und Mediendienste nach Teledienstegesetz und Mediendienste-Staatsvertrag, ZUM 1998, 115.

Hemmelskamp, J./Neuser, U./Zehnle, J. (1994): Audit gut, alles gut? - eine kritische Analyse der EG-Umwelt-Audit-Verordnung, ZEW-Wirtschaftsanalysen 1994, 199.

Heuvels, K. (1996): Die EG-öko-Verordnung im Praxistest - Erfahrungen aus einem Pilot-Audit-Programm der Europäischen Gemeinschaften, UWF 3/1993, 41.

Hillebrandt, A. (1998): Sicherheit im Internet aus Sicht der Nutzer, DuD 1998, 218.

Hochstein, R. (1997): Teledienste, Mediendienste und Rundfunkbegriff - Anmerkungen zur praktischen Abgrenzung multimedialer Erscheinungsformen, NJW 1997, 2977.

Hönes, H./Küppers, P (1998): Unternehmen Umwelt. Die Umwelterklärungen deutscher Unternehmen im Vergleich, Freiburg 1998.

Hoffmann-Riem, W. (1996): Innovationen durch Recht und im Recht, in: Schulte, M. (Hrsg.), Technische Innovation und Recht – Antrieb oder Hemmnis?, Heidelberg 1996, 3.

Hoffmann-Riem, W. (1996): öffentliches Recht und Privatrecht als wechselseitige Auffangordnungen – Systematisierung und Entwicklungsperspektiven, in: Hoffmann-Riem, W./Schmidt-Aßmann, E. (Hrsg.), öffentliches Recht und Privatrecht als wechselseitige Auffangordnungen, Baden-Baden 1996, 261.

Hoffmann-Riem, W. (1998): Weiter so im Datenschutzrecht?, DuD 1998, 684.

Horibe, M. (1998): The Information Society and Privacy - Current State of Personal Data Protection in Japan, JIPDEC Information Quaterly No. 115, 1998, 3.

Industrie- und Handelskammer (IHK) Frankfurt (Oder) (1996): Deregulierungsmöglichkeiten im Zusammenhang mit der Durchführung von öko-Audits, Frankfurt (Oder) 1996.

Internet Law and Policy Forum (ILPF) (1998): Observations on the State of Self-Regulation of the Internet, <http://www.ilpf.org/selfreg/whitepaper.htm>.

Janke, G. (1995): öko-Auditing. Handbuch für die interne Revision des Umweltschutzes im Unternehmen, Berlin 1995.

Japan Information Processing Development Center (JIPDEC) (1998): MITI Personal Data Protection Policies, JIPDEC Information Quaterly No. 115, 1998, 17.

Japan Information Processing Development Center (JIPDEC) (1998): Privacy Mark Award System, JIPDEC Information Quaterly No. 115, 1998, 27.

Jarass, H. D./Pieroth, B. (1995): Kommentar zum Grundgesetz, 3. Aufl. München 1995.

Jasch, A. (1995): Die ISO 14001-Norm und ihre Bedeutung für die EG-öko-Audit-Verordnung, in: Fichter, K. (Hrsg.), Die EG-öko-Audit-Verordnung: mit öko-Controlling zum zertifizierten Umweltmanagementsystem, München 1995, 41.

Kienle, T. (1997): Werbung mit (Umwelt-)Qualitätsmanagementsystemen – Gefühlsausnutzung oder Kundeninformation?, NJW 1997, 3360.

Kloepfer, M. (1993): Betrieblicher Umweltschutz als Rechtsproblem, DB 1993, 1125.

Kloepfer, M. (1998): Geben moderne Technologien und die europäische Integration Anlaß, Notwendigkeit und Grenzen des Schutzes personenbezogener Informationen neu zu bestimmen?, Gutachten D für den 62. Deutschen Juristentag, München 1998.

Kniep, K. (1997): Initiativen und Ansätze der Deregulierung im Umweltrecht,
GewArch. 1997, 142.

Köck, W. (1995): Umweltschutzsichernde Betriebsorganisation als Gegenstand des Umweltrechts: Die EG-"öko-Audit"-Verordnung, JZ 1995, 643.

Königshofen, T. (1999): Prinzipien und Leitlinien für ein Datenschutzaudit bei Multimedia, DuD 1999, 266.

Konferenz der Datenschutzbeauftragten des Bundes und der Länder (1997): Anforderungen zur informationstechnischen Sicherheit bei Chipkarten, DuD 1997, 254.

Kothe, P. (1996): Das neue Umweltauditrecht, München 1996.

Knopp, L. (1998): Umwelt-Audit-Erweiterungsverordnung und ihre Anwendungsbereiche, BB 1998, 1121.

Krisor, K. (1998): Aus den Erfahrungen lernen – Die Position der EU-Kommission zur Revision der EMAS-Verordnung, ökologisches Wirtschaften 3-4/1998, 26.

Kröger, D./Moos, F. (1997): Mediendienst oder Teledienst? Zur Aufteilung der Gesetzgebungsmaterie Informations- und Kommunikationsdienste zwischen Bund und Ländern, AfP 1997, 675.

Kuch, H.-J. (1997): Der Staatsvertrag über Mediendienste, ZUM 1997, 225.

Kurz, R./Spiller, A. (1992): Umwelt-Auditing: Internes Risikocontrolling oder marktorientierte Umweltverträglichkeitsprüfung? ZAU 1992, 304.

Landesanstalt für Umweltschutz Baden-Württemberg (1998): Umweltmanagement für kommunale Verwaltungen, Karlsruhe 1998.

Landesbeauftragter für den Datenschutz Schleswig-Holstein (1998): Bericht über die Notwendigkeit der Novellierung des Landesdatenschutzgesetzes, LT-Drs. 14/1738.

Lanfermann, H. (1998): Datenschutzgesetzgebung – gesetzliche Rahmenbedingungen einer liberalen Informationsordnung, RDV 1998, 1.

Lechelt, R. (1998): System des Umweltaudits, Entstehungsgeschichte, in: Ewer, W./Lechelt, R./Theuer, A. (Hrsg.), Handbuch Umweltaudit, München 1998, 1.

Liesegang, G. (1995): Selbstbestimmung ist besser als Fremdbestimmung, UWF 3/1995, 3.

Lübbe-Wolff, G. (1994): Die EG-Verordnung zum Umwelt-Audit, DVBl. 1994, 361.

Lübbe-Wolff (1996): Das Umwelt-Audit-Gesetz, NuR 1996, 217.

Lübbe-Wolff (1996): öko-Audit und Deregulierung – Eine kritische Betrachtung, ZUR 1996, 173.

Lütkes, M. (1996): Das Umwelt-Audit-Gesetz, NVwZ 1996, 230.

Lütkes, M./Ewer, W. (1999): Schwerpunkte der bevorstehenden Revision der Umweltauditverordnung (EWG) Nr. 1836/93, NVwZ 1999, 19.

Mayen, T. (1997): Der Umweltgutachterausschuß – ein strukturelles Novum ohne hinreichende demokratische Legitimation?, NVwZ 1997, 215.

Meier, C. (1999): Kommentierung des MDStV, in: Roßnagel, A. (Hrsg.), Recht der Multimedia-Dienste, Kommentar zum Informations- und Kommunikationsdienste-Gesetz und zum Mediendienste-Staatsvertrag, Loseblatt, München 1999.

Mosdorf, S. (1998): Bausteine für einen Masterplan für Deutschlands Weg in die Informationsgesellschaft, Gutachten für die Friedrich Ebert Stiftung, Bonn 1998.

Müggenborg, H.-J. (1996): Der Prüfungsumfang des Umweltgutachters nach der Umwelt-Audit-Verordnung, DB 1996, 125.

Opaschowski, H. W. (1998): Quo vadis, Datenschutz? Datensicherheit aus der Sicht der Verbraucher, DuD 1998, 654.

Opaschowski, H. W./Duncker, C. (1998): Der gläserne Konsument? Multimedia und Datenschutz, Hamburg 1998.

Overkleeft-Verburg, M. (1996): Datenschutz zwischen regulierung und Selbstregulation. Erfahrungen aus den Niederlanden, in: Alcatel SEL Stiftung (Hrsg.), Rechtliche Gestaltung der Informationstechnik, Stuttgart 1996, 41.

Peter, B./Küppers, P. (1997): Der Weg zur besten Umwelterklärung, Methoden – Tips – Beispiele, Eschborn 1997.

Pichler, R. (1998): Haftung des Host Providers für Persönlichkeitsverletzungen vor und nach dem TDG, MMR 1998, 79.

Pieroth, B./Schlink, B. (1997): Grundrechte, 13. Aufl. Heidelberg 1997.

Pordesch, U./Hammer, V./Roßnagel, A. (1991): Prüfung des rechtsgemäßen Betriebs von ISDN-Anlagen, Braunschweig 1991.

provet (1996): Vorschläge zur Regelung von Datenschutz und Rechtssicherheit in Online-Multimedia-Anwendungen, Gutachten für das Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie, Darmstadt 1996, <http://www.provet.de/bib/mmge> oder <http://www.iid.de/iukdg> .

Racke, M. (1998): Probleme der Zulassung von Umweltgutachtern und Umweltgutachterorganisationen sowie der Erteilung von Fachkundebescheinigungen, in: Bohne, E. (Hrsg.): Erfahrungen mit dem Umweltauditgesetz, Baden-Baden 1998, 23.

Rat für Forschung, Technologie und Innovation (1995): Informationsgesellschaft. Chancen, Innovationen und Herausforderungen, Bonn 1995.

Rhein, C. (1996): Das Gemeinschaftssystem für das Umweltmanagement und die Umweltbetriebsprüfung, Baden-Baden 1996.

Richter, B. (1998): Die Anwendung des Umweltaudits auf die kommunalen Dienstleistungen, in: Ewer, W./Lechelt, R./Theuer, A. (Hrsg.), Handbuch Umweltaudit, München 1998, 339.

Rihaczek, K. (1999): Die Braut des Datenverarbeiters, DuD 1999, 67.

Roller, G. (1992): Der "Blaue Engel" und die "Europäische Blume" - Die EG-Verordnung betreffend ein gemeinschaftliches System zur Vergabe eines Umweltzeichens, EuZW 1992, 499.

Roßnagel, A. (1994): Kommentierung des § 5 BImSchG , in: Koch, H.-J./Scheuing, D. (Hrsg.), Gemeinschaftskommentar zum Bundes-Immissionsschutzgesetz, Loseblatt, Düsseldorf, ab 1994.

Roßnagel, A. (1997): Globale Datennetze: Ohnmacht des Staates - Selbstschutz der Bürger - Thesen zur änderung der Staatsaufgaben in einer "civil information society", ZRP 1997, 26.

Roßnagel, A. (1997): Datenschutzaudit, DuD 1997, 505.

Roßnagel, A. (1997): Wirtschaftliche Bedeutung und rechtliche Ausgestaltung eines Datenschutzaudits für Informations- und Kommunikationsdienste, in: Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie (Hrsg.), Informations- und Kommunikationsdienste-Gesetz – Umsetzung und Evaluierung – Chancen für die Wirtschaft, Erwartungen an die Verwaltung und Gesetzgebung, Dokumentation der Fachveranstaltung vom 8.12.1997, Bonn 1997, 45.

Roßnagel, A. (1998a): Datenschutzaudit - Ein neues Instrument des Datenschutzes, in: Bäumler, H. (Hrsg.), Der neue Datenschutz, Neuwied 1998, 68.

Roßnagel, A. (1998b): Einführung in das Multimedia-Recht, in: Engel-Flechsig, S./Roßnagel, A. (Hrsg.), Multimedia-Recht, München 1998, 1.

Roßnagel, A.(1998): Neues Recht für Multimediadienst - Informations- und Kommunikationsdienste-Gesetz und Mediendienste-Staatsvertrag, NVwZ 1998, 1.

Roßnagel, A. (1998): Datenschutztechnik und -recht in globalen Netzen, MMR 1998, Heft 9, V - VII.

Roßnagel, A. (1999): Kommentierung des SigG und der SigV, in: Roßnagel, A. (Hrsg.), Recht der Multimedia-Dienste, Kommentar zum Informations- und Kommunikationsdienste-Gesetz und zum Mediendienste-Staatsvertrag, Loseblatt, München 1999.

Roßnagel, A. (1999a): Das Konzept eines Datenschutzaudits und seine verbraucherpolitischen Vorteile, AgV-Forum 1/1999, 36.

Roßnagel, A. (1999b): Datenschutz-Audit, in: Sokol, B. (Hrsg.), Neue Instrumente im Datenschutz, Düsseldorf 1999, i.E.

Roßnagel, A./Bizer, J. (1995): Multimediadienste und Datenschutz, Gutachten für die Akademie für Technikfolgenabschätzung in Baden-Württemberg, Stuttgart 1995.

Roßnagel, A./Pordesch, U. (1999): Kommentierung des SigG und der SigV, in: Roßnagel, A. (Hrsg.), Recht der Multimedia-Dienste, Kommentar zum Informations- und Kommunikationsdienste-Gesetz und zum Mediendienste-Staatsvertrag, Loseblatt, München 1999.

Roßnagel, A. (1999): Datenschutz in globalen Netzen. Das TDDSG – ein wichtiger erster Schritt, DuD 1999, 253.

Sachverständigenrat "Schlanker Staat" (1997): Abschlußbericht, Bonn 1997.

Schaar, P. (1999): Kommentierung des TDDSG, in: Roßnagel, A. (Hrsg.), Recht der Multimedia-Dienste, Kommentar zum Informations- und Kommunikationsdienste-Gesetz und zum Mediendienste-Staatsvertrag, Loseblatt, München 1999.

Scherer, J. (1993): Umwelt-Audits: Instrument zur Durchsetzung des Umweltrechts im europäischen Binnenmarkt, NVwZ 1993, 11.

Scheuing, D. (1994): Europarechtliche Impulse für innovative Ansätze im deutschen Verwaltungsrecht, in: Hoffmann-Riem, W./Schmidt-Aßmann, E. (Hrsg.), Innovation und Flexibilität des Verwaltungshandels, Baden-Baden 1994, 289.

Schmidt-Aßmann, E. (1993): Deutsches und europäisches Verwaltungsrecht – Wechselseitige Einwirkungen, DVBl 1993, 924.

Schmidt-Preuß, M. (1997): Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steuerung, VVDStRL 56 (1997), 162.

Schmidt-Preuß, M. (1997): Umweltschutz ohne Zwang – das Beispiel öko-Audit, in: Ziemske, B. u.a. (Hrsg.), Staatsphilosophie und Rechtspolitik, Festschrift f. M. Kriele, München 1997, 1157.

Schneider, J.-P. (1995): öko-Audit als Scharnier einer ganzheitlichen Regulationsstrategie, Die Verwaltung 1995, 361.

Schnutenhaus, J. (1995): Die Umsetzung der öko-Audit-Verordnung in Deutschland, ZUR 1995, 9.

Schottelius, D. (1997): Ein kritischer Blick in die Tiefen des EG-öko-Audit-Systems, BB 1997, Beilage 2, 1.

Schottelius, D. (1998): Umweltmanagement-Systeme, NVwZ 1998, 805.

Sellner, D./Schnutenhaus, J. (1993): Umweltmanagement und Umweltbetriebsprüfung ("Umwelt-Audit") - ein wirksames, nicht ordnungsrechtliches System des betrieblichen Umweltschutzes?, NVwZ 1993, 928.

Simitis, S. (1992): Kommentierung des Bundesdatenschutzgesetz, in: Simitis, S./Dammann, U./Geiger, H./Mallmann, O./Walz, S., Kommentar zum Bundesdatenschutzgesetz, 4. Aufl. Loseblatt, Baden-Baden 1992 ff.

Spindler, G. (1998): Das öko-Audit im Kommissions- sowie Arbeitsentwurf zum Umweltgesetzbuch, ZUR 1998, 285.

Spindler, G. (1999): Kommentierung des TDG, in: Roßnagel, A. (Hrsg.), Recht der Multimedia-Dienste, Kommentar zum Informations- und Kommunikationsdienste-Gesetz und zum Mediendienste-Staatsvertrag, Loseblatt, München 1999.

Sprenger, F./Maier, T. (1997): Die Einführung von Umweltmanagementsystemen als Prozeß der Unternehmensberatung, in: Birke, M./Burschel, C./Schwarz, M. (Hrsg.), Handbuch Umweltschutz und Organisation, München 1997, 652.

Storm, P.-C. (1998): Novellierungsbedarf der EG-Umweltaudit-Verordnung?, NVwZ 1998, 341.

Strate, G./Wohlers, W. (1998): Umweltaudit und strafrechtliche Verantwortlichkeit, in: Ewer, W./Lechelt, R./Theuer, A. (Hrsg.), Handbuch Umweltaudit, München 1998, 267.

Stuer, B./Rude, S. (1998): öko-Audit in Europa – "Vom Hammer zum Computer", DVBl 1998, 85.

Swire, P. P. (1997): Markets, Self-Regulation and Government Enforcement in the Protection of Personal Information, in: U.S. Departement of Commerce, National Telecommunications and Information Administration (Ed.), Privacy and Self Regulation in the Information Age, Washington D.C. 1997, Chapter 1 <http://www.ntia.doc.gov/reports/selfreg1.htm>.

Theuer, A. (1998): Das Umweltmanagementsystem und dessen Bestandteile, in: Ewer, W./Lechelt, R./Theuer, A. (Hrsg.), Handbuch Umweltaudit, München 1998, 35.

Ulrich, O. (1996): Leitbildwechsel: dem (sicherheits-)technologische aktivierten Datenschutz gehört die Zukunft, DuD 1996, 664.

U.S. Departement of Commerce, National Telecommunications and Information Administration (Ed.) (1997): Privacy and Self Regulation in the Information Age, Washington D.C. 1997 <http://www.ntia.doc.gov/reports/privacy/>.

U.S. Departement of Commerce (1998): Elements of Self-Regulation for Protection of Privacy, Discussion Paper January 1998 <http://www.ntia.doc.gov/reports/
privacydraft/198dftprin.htm>

Vetter, A. (1998): Bedeutung der Teilnahmeerklärung und zulässige Verwendungsmöglichkeiten, in: Ewer, W./Lechelt, R./Theuer, A. (Hrsg.), Handbuch Umweltaudit, München 1998, 213.

Vogt, U./Tauss, J. (1998): Entwurf für ein Eckwerte Papier der SPD-Bundestagsfraktion: Modernes Datenschutzrecht für die (globale) Wissens- und Informationsgesellschaft, Bonn Oktober 1998.

Wächter, M. (1995): Prizipien des Datenschutzes und der Datensicherung – Ein Beitrag zum "Corprate Law" in den Unternehmen, DuD 1995, 465.

Wagner, H./Budde, A. (1997): Erfahrungen mit dem Umwelt-Audit-System in Deutschland, ZUR 1997, 254.

Waldenberger, A. (1998): Teledienste, Mediendienste und die "Verantwortlichkeit" ihrer Anbieter, MMR 1998, 124.

Waskow, S. (1997): Betriebliches Umweltmanagement, Anforderungen nach der Audit Verordnung der EG und dem Umweltauditgesetz, 2. Aufl. Heidelberg 1997.

Weichert, T. (1997): Datenschutzrechtliche Anforderungen an Chipkarten, DuD 1997, 266.

Wilhelm, R. (1995): Qualitäts-Managementsysteme nach den Normen DIN ISO 9000 ff in Software-Unternehmen, DuD 1995, 330.

Wimmer, R. (1989): Ein Blauer Engel mit rechtlichen Macken, BB 1989, 565.

Wohlfahrt, W./Signon, J. (1998): Aufbau und Inhalt der Umwelterklärung, in: Ewer, W./Lechelt, R./Theuer, A. (Hrsg.), Handbuch Umweltaudit, München 1998, 91.

Wruk, H.-P. (1993): Erfahrungen aus der ökologischen Schwachstellenanalyse nach dem B.A.U.M.-Modell und Vergleich mit dem öko-Audit, Umwelt-Wirtschafts-Forum, 1993, Heft 3, 58.

 

 

 

 

 

 

 

 

 

Anhang

 

 

Entwurf eines Gesetzes
zur freiwilligen Beteiligung
verantwortlicher Stellen an einem
Datenschutzaudit