Datenschutzaudit als Konvergenzkriterium zur IT-Sicherheit

Spätestens mit der Novelle vom Mai 2001 orientiert sich der Datenschutz stärker an den Kriterien der IT-Sicherheit, deren Bedeutung im Vergleich mit den juristisch geprägten Organisationsanforderungen deutlich steigt. Das Postulat des Datenschutzaudits quasi als Qualitätskriterium unterstreicht die Herausforderung, sich offensiv mit dem Thema Datenbzw. IT-Sicherheit auseinander zu setzen. Dieser Beitrag beschreibt die Konvergenz von Auditanforderungen im Datenschutz hin zu bewährten, standardisierten Ansätzen der IT-Sicherheit, praxisnah und projekterprobt mit Industrieunternehmen. IT-Sicherheitstrends im Datenschutz Die im Mai 2001 verabschiedete dritte Fassung des Bundesdatenschutzgesetzes (BDSG) ist wesentlich von zwei Faktoren getrieben: Der Umsetzung der EU-Vorgaben aus der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 und von grundlegenden Überlegungen für ein „modernes Datenschutzrecht“. Wichtige Eckwerte wie die dem Systemdatenschutz zuzurechnenden Prinzipien der Datenvermeidung und Datensparsamkeit, des Datenschutzes durch Technik sowie die Festschreibung eines freiwilligen Datenschutzaudits, das u.a. den Trend zur Stärkung der Selbstkontrolle verdeutlichen soll, wurden darin aufgenommen. Zu den Eckpunkten der Neuregelungen zählen, neben dem erweiterten Geltungsbereich und der erweiterten Transparenz gegenüber dem Betroffenen, erweiterte Verarbeitungsbeschränkungen und eine erweiterte Datenschutzkontrolle. Gerade die beiden letztgenannten Kriterien führen – neben einer Stärkung der Position des betrieblichen Datenschutzbeauftragten – zu einem deutlichen Anstieg hinsichtlich seiner Pflichten und Verantwortung. 31 Die Autoren arbeiten langjährig im Bereich IT-Sicherheit und Datenschutz und sind vom BSI lizenzierte ITGrundschutz-Auditoren.