DA+

Kurzbeitrag : Das Datenschutzaudit bei Auftragsdatenverarbeitern. : aus der RDV 6/2014, Seite 315 bis 319

Ein Überblick über Anforderungen und bisherige Entwicklungen

Irmenseul*LL.MTimo BittnerArchiv RDV
Lesezeit 15 Min.

I. Einleitung

Auslagerungen von vormals internen Aufgaben und Beauftragungen von Fremdfirmen mit neuen Aufgaben sind in der Wirtschaft ein beliebtes Mittel, um Kosten zu senken oder sich auf das Kerngeschäftsfeld zu konzentrieren. Beliebtes Outsourcing dieser Art betrifft z.B. Personaldienstleistungen, IT-Support, Marketingdienstleistungen oder Datenentsorgungen. Diese Aufgaben umfassen häufig die Erhebung, die Verarbeitung oder die Nutzung von personenbezogenen Daten[1], was eine Funktionsübertragung darstellen kann. Werden die personenbezogenen Daten jedoch nicht eigenständig, sondern durch eine externe Stelle im Auftrag für die verantwortliche Stelle erhoben, verarbeitet oder genutzt, liegt eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vor. Diese Konstellation setzt die Verarbeitung von personenbezogenen Daten durch eine andere Stelle, in Bezug auf die datenschutzrechtliche Zulässigkeit, einer internen Verarbeitung gleich[2]. Dies kann als eine Herabsetzung der Zulässigkeitshürde angesehen werden. Um einen sicheren und datenschutzkonformen Rahmen für die Verarbeitung zu gewährleisten, werden dem Auftraggeber und dem Auftragnehmer jedoch entsprechende Pflichten durch § 11 BDSG auferlegt.

Diese Pflichten bestehen zum einen darin, dass der Auftraggeber für die Einhaltung der Vorschriften des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich bleibt. Ferner obliegt es dem Auftraggeber, den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftragnehmer hingegen hat, insofern er beauftragt werden möchte, die technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten sicherzustellen. Sollte dies erfüllt sein, so muss der Auftrag schriftlich erteilt werden, wobei gesetzlich vorgeschriebene Mindestinhalte geregelt sein müssen.

Die Pflicht des Auftraggebers, sich regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten zu überzeugen und das Ergebnis zu dokumentieren, scheint nicht nur eine Regelung zu sein, der häufig nicht durch den Normadressaten entsprochen wird, sondern auch eine sehr schwierige Aufgabe. Die Auftraggeber müssen sich entscheiden, auf welchem Weg und mit welchem Aufwand diese Vergewisserung vorgenommen werden soll. Hierbei wäre es für die verantwortliche Stelle von großem Vorteil, wenn ein Datenschutzsiegel bestätigt, dass der Auftragsdatenverarbeiter bei seiner Tätigkeit die gesetzlichen Bestimmungen zum Datenschutz einhält und die Umsetzung kontinuierlich verbessert[3] sowie darüber hinaus gehende Maßnahmen zum Schutz von personenbezogenen Maßnahmen ergreift[4].

Solch ein Vorteil bietet sich in der Praxis jedoch höchst selten. Die wenigsten Auftragsdatenverarbeiter lassen sich durch ein externes Audit zertifizieren. Hinzu kommt das Problem, dass es bisher keine gesetzlichen Vorgaben für eine Durchführung entsprechender Audits oder Anforderungen an Auditoren gibt[5]. Dies kann Zweifel darüber aufkommen lassen, dass bestehende Angebote alle erforderlichen Inhalte zum Gegenstand haben. Hierunter und unter der Tatsache, dass Audits für die verantwortliche Stelle bislang nicht ausreichend transparent sind, leidet wiederum momentan die Aussagekraft und Bedeutung solcher Datenschutzsiegel.

Derzeit kommen Auftragsdatenverarbeiter nicht immer ausreichend ihrer Pflicht nach, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Insbesondere eine stete Verbesserung und Reflexion der eigenen Umsetzung von datenschutzrechtlichen Bestimmungen ist oftmals praxisfern. Auch im Hinblick auf eine kontinuierliche Steigerung des Datenschutzstandards beim Auftragsdatenverarbeiter könnte ein zielgerichtetes Audit von Vorteil sein[6].

II. Gegenstand und Inhalt

Die Hauptfrage, welche sich zunächst stellt, ist, was der eigentliche Gegenstand eines solchen Datenschutzaudits sein sollte. Dies umfasst die Fragen, wer an dem Audit teilnimmt sowie in welchem räumlichen Bereich was auditiert wird[7]. Eine Orientierung an dem Umweltschutzaudit kommt in Bezug auf diese Fragestellung nicht in Betracht[8], da bei diesem das gesamte Umweltmanagementsystem eines Standortes betrachtet wird. Auch ein Datenschutzaudit, welches den Auftragsdatenverarbeiter selbst oder eines seiner Produkte zertifiziert, scheint nicht fähig zu sein, für die vorgenannten Probleme Abhilfe zu schaffen. Eine Ausrichtung an Begrifflichkeiten wie Datei oder Verwendungszweck wäre ebenfalls ungünstig, weil diese zu einem zu begrenzten Prüfungsrahmen führen würde. Hingegen würde eine Auditierung des gesamten Auftragsdatenverarbeiters zu einem zu großem Umfang führen, der über das Ziel hinaus führen würde, es sei denn, der Auftragsdatenverarbeiter betreibt nur eine Anwendung[9]. Des Weiteren darf die Auditierung aber sich gerade nicht nur auf den Auftragsdatenverarbeiter beschränken. Alle konkret einbezogenen Unterauftragnehmer sollten vom Audit mit erfasst werden.

III. Nutzen und Aussagekraft

Ob ein solches Audit den bezweckten Lerneffekt beim Auftragsdatenverarbeiter erfüllt, hängt davon ab, ob das Audit auch als ein Lernsystem verstanden wird[13]. Selbstverständlich wird bereits dadurch der Datenschutzstandard beim Auftragsdatenverarbeiter in geringem Umfang gesteigert, dass dieser den Prozess eines Datenschutzaudits auf sich nimmt und dabei die Beschäftigten mit der Thematik konfrontiert[14]. Diese werden zukünftig den Datenschutz nicht gänzlich vergessen und diesem einen gewissen Stellenwert beimessen. Bemerkenswert ist, dass der Lerneffekt nicht immer als eines der Ziele angesehen wird[15]. Die Erreichung weiterer möglicher Ziele, wie eine Stärkung der Selbstverantwortung des Auftragsdatenverarbeiters und des Wettbewerbs sowie eine Verringerung des Vollzugsdefizits des Datenschutzrechts[16], hängt davon ab, ob der Auftragsdatenverarbeiter tatsächlich dazu bereit ist, den Datenschutz zu verbessern. Eine reine Vorspiegelung von Fortschrittsabsichten sowie reinen Verbesserungen auf dem Papier werden keinen tatsächlichen Nutzen haben, sondern nur eine reine Täuschungswirkung gegenüber der verantwortlichen Stelle bzw. den Betroffenen. Eine Minderung des Vollzugsdefizits korreliert mit einer tatsächlichen Erhöhung des Datenschutzniveaus beim Auftragsdatenverarbeiter. Die Steigerung der Selbstverantwortung ist nicht nur eine Zielsetzung, die mittels eines Audits verwirklicht werden soll, sondern ist bereits wichtiger Bestandteil des gesamten Prozesses. Darüber hinaus sind Nutzen hinsichtlich Prozessoptimierung und Qualitätssteigerung möglich[17].

Die Aussagekraft eines Audits hängt offensichtlich davon ab, ob dieses in irgendeiner Art standardisiert oder vergleichbar ist[18]. Das bedeutet im Einzelnen, dass Audits nur eine angemessene Aussagkraft haben, wenn sie transparent sind, also das Auditverfahren selbst, dessen Inhalt, Anforderungen und Ergebnis allen berechtigten Stakeholdern zur Einsicht überlassen wird und sich das Audit nicht in erheblichem Umfang von den angebotenen Audits anderer Anbieter unterscheidet. In Bezug auf diese Anforderungen stellt sich die weitere Frage, ob ein Audit transparent sein kann, wenn dessen Verfahren und Ergebnis nicht veröffentlicht wird und ob eine Vergleichbarkeit gegeben ist, wenn das Audit bei einer Gegenüberstellung mit den Angeboten anderer Anbieter in Bezug auf Umfang, Vorgehensweise, Zeitrahmen, Niveau und Intensität eine abweichende Auffassung erkennen lässt. Für eine Aussagekraft eines Auditergebnisses ist ferner sehr entscheidend, ob der durchführende Auditor über alle erforderlichen Fähigkeiten und Kenntnisse verfügt[19].

Damit das Audit eine erstrebenswerte Aussagekraft vorweisen kann, dürfen aber auch Staatsgrenzen bei der Auditierung keine Barrieren darstellen[20]. Das heißt nicht nur, dass bei solchen Audits grenzüberschreitende Datenverarbeitungen betrachtet werden müssen, sondern diese in Folge von Aufdeckungen entsprechender Mängel auch verbessert werden müssen. Dabei stellen sprachliche Unterschiede, verschiedene Auffassungen von Datenschutz bzw. dessen Vollzug als auch differierende Gesetze und deren Interpretationen Hindernisse dar, die im schlechtesten Fall kumulierend auftreten können. Im europäischen Datenschutz ist bislang der einzige gemeinsame Nenner Art. 17 der Richtlinie 95/46/EG. Dieser bildet die Grundlage für § 11 BDSG und ist, aufgrund des Richtliniencharakters, unbestimmter als die deutsche Vorschrift. Wichtig ist jedoch, dass dort bereits die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Maßnahmen umrissen werden, der verantwortlichen Stelle die Pflicht auferlegt wird, dass diese sich von der Angemessenheit dieser Maßnahmen überzeugt, sowie dass das Schriftformerfordernis des Vertrages gefordert wird.

Für Auftragsdatenverarbeiter, welche als Servicerechenzentren agieren, wurde schon vor längerer Zeit ein konkreter Bedarf für Datenschutzaudits bestätigt[21]. Hinzu kommt, dass die immer ausgeprägtere Nutzung von im Ausland angesiedelten Cloud-Diensten ein weiteres Erfordernis für die Etablierung von Datenschutzaudits schafft. Aus diesen Gründen scheint die Einführung entsprechender Audits notwendig zu sein und einen sinnvollen Nutzen zu stiften[22].

IV. Rechtliche Fragen

Wie oben dargestellt, sind die Anforderungen an ein entsprechendes Audit, dass eine solche Maßnahme nicht ins Leere läuft und die eigentlichen Ziele nicht verfehlt werden, nicht unerheblich. Gerade im Hinblick auf die Probleme, die durch eine grenzüberschreitende Datenverarbeitung auftreten können, stellt sich die Frage, ob ein Regelungsrahmen für Datenschutzaudits bei Auftragsdatenverarbeitern erforderlich ist. Weiterhin bleibt offen, welche Form ein entsprechender Regelungsrahmen haben sollte. Diverse Modelle kommen dabei in Frage.

Mit der Implementierung des § 9a in das BDSG wurde der Form einer gesetzlichen Regelung bereits im Jahr 2001 der erste Anstoß gegeben. Diese Programmnorm[23] stellt ein Gesetz in Aussicht, das nicht nur die Durchführung entsprechender Audits, sondern auch das Verfahren und die Anforderungen und die Zulassung der Auditoren regelt. Dem Wortlaut entsprechend zielt das Vorhaben darauf ab, den Datenschutz und die Datensicherheit bei der zu auditierenden Stelle zu verbessern. Obwohl im Bundestag ein Gesetzesentwurf[24] diskutiert wurde, ist bis heute kein entsprechendes Gesetz verabschiedet worden[25]. Hierfür ist insbesondere die umfangreiche Kritik des Bundesrates[26] verantwortlich[27]. Obwohl sich die Politik mit der Programmnorm bereits darauf festgelegt hat, ein entsprechendes Gesetz zu verabschieden[28], und ein zweiter, wesentlich kompakterer Vorschlag[29] dem Bundesministerium des Inneren vorgelegt wurde, deutet nichts darauf hin, dass in absehbarer Zukunft ein nationales Gesetz beschlossen wird.

Neben einem nationalen Gesetz kommt auch eine supranationale Regelung des Themas in Betracht. Die geltende Richtlinie 95/46/EG erwähnt ein Datenschutzaudit nicht. Derzeit würde die aktuelle Entwicklung in der Europäischen Union jedoch die Gelegenheit bieten, dass Thema in allen Mitgliedsstaaten verbindlich zu regeln. Der durch die Europäische Kommission erstellte Entwurf für eine Datenschutzgrundverordnung[30] beinhaltet mit Art. 38 jedoch eher ein etwas ausführlicheres Abbild der deutschen Programmnorm, da die Vorschrift genauere Regelungen nur ankündigt und weitere Regelungsvorhaben legitimiert. In dessen Absatz 1 ist dabei jedoch nicht wörtlich die Rede von Datenschutzaudits, sondern von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -zeichen, anhand derer Betroffene rasch das von für die Verarbeitung Verantwortlichen oder von Auftragsverarbeitern gewährleistete Datenschutzniveau in Erfahrung bringen können. Die Änderungsvorschläge vom Berichterstatter für den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments[31] brachten in der Hinsicht keine signifikanten Konkretisierungen. Ganz im Gegensatz dazu machte der inoffiziell konsolidierte Entwurf für die weiteren Verhandlungen[32] wesentlich präzisere Vorschläge. Fraglich ist, ob ein Audit in der Datenschutzgrundverordnung grundsätzlich ausreichend Berücksichtigung finden kann oder ob hierzu eine eigene Verordnung erforderlich wäre. Das Umweltschutzaudit ist durch die Umwelt-Audit-Verordnung 761/2001/EG geregelt. Diese legt den Mitgliedsstaaten die Pflicht auf, Zulassung und Aufsicht der Umweltgutachter sowie die Benennung der für die Standortregistrierung zuständigen Stellen durch nationales Recht näher zu bestimmen. Diese Aufgabe erfüllt in Deutschland das Umweltauditgesetz[33]. Da die Idee eines Datenschutzaudits auf das Umweltschutzaudit zurückzuführen ist[34], stellt sich die Frage, ob auch hier eine Kombination von nationalem und europäischem Recht denkbar wäre. Diese könnte, wie beim Umweltschutzaudit, in einer Umsetzung in nationales Recht bestehen, welches auf eine europäische Richtlinie oder einen dazu ermächtigenden Artikel in der geplanten Datenschutzgrundverordnung zurückzuführen ist.

Neben Gesetzen und anderen legislativen Maßnahmen gibt es aber auch andere Möglichkeiten für ein entsprechendes Regelwerk. Hierbei ist z.B. auf die ISO-Normen zu verweisen. Diese beschreiben bereits andere Audits, die für Unternehmen große Relevanz aufweisen. In erster Linie sind hier das QM-Audit ISO 9001 oder das IT-Sicherheitsaudit ISO 27001 zu nennen. Auch hier ist wieder das Umweltschutzaudit als Beispiel aufzuzählen, da die ISO-Norm 14001 das Vorgehen bei Umweltaudits konkretisiert. Angesichts dessen ist auch hier eine Abwägung dahingehend erforderlich, ob für das Datenschutzaudit eine ISO-Norm als Regelungsform zweckführend ist. Dabei darf nicht übersehen werden, dass auch solche Regelungen einen indirekten Zwang zur Durchführung des Audits auf den Auftragsdatenverarbeiter ausüben können[35].

Eine dritte Form für eine mögliche Regelung ist die nicht bindende Regelung durch entsprechende Interessensverbände bzw. -vereine. Solch ein Standard könnte der neue ko operative Datenschutzstandard DS-BvD-GDD-01[36] des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. sowie der Gesellschaft für Datenschutz und Datensicherheit e. V. sein. Da aber solche Modelle, wie grundlegend auch ISO-Normen, keinen Gesetzescharakter aufweisen und somit nicht zwingend anwendbar sind, wird sich zeigen, ob diese alle gewünschten Ziele erreichen können.

Letztendlich ist es auch möglich, entsprechende Audits durch die staatlichen Datenschutzaufsichten durchführen zu lassen oder es diesen zu überlassen, ein einheitliches Verfahren zu entwickeln, zu etablieren, zu überwachen und zu unterstützen. Dabei stellt sich jedoch die Frage, ob dies wirtschaftlich zu verwirklichen ist und ein solches Audit alle bezweckten Effekte erzielen kann. Um diese Fragen beantworten zu können, müssen bestehende Modelle betrachtet werden. In Schleswig-Holstein hat das ULD bereits ein eigenes Audit für öffentliche und nicht-öffentliche Stellen sowie die Landesdatenschutzaufsicht in Bremen für öffentliche Stellen ein Datenschutzaudit eingeführt[37]. Sollten diese die angestrebten Ziele erreichen, könnten sie als Vorbild dienen.

Neben der Frage des Regelungsrahmens stellen sich weitere rechtliche Fragen. Hierzu zählt die Frage, ob bei einer Regelung der Zulassung von Auditoren ein Eingriff in das Grundrecht auf Ausübung der Berufsfreiheit der Gutachter aus Art. 12 GG vorliegt. Dabei muss berücksichtigt werden, ob Gutachter eine anerkannte Prüfung ablegen können oder ob der Markt für Datenschutzaudits sogar nur zugelassenen Auditoren eröffnet sein soll[38]. Ferner könnte auch gegenüber dem Unternehmen, dem nach nicht erfolgreicher Auditierung das Zertifikat oder das Führen eines Datenschutzsiegels untersagt wird, ein Eingriff in die freie Berufsausübung und Gewerbefreiheit vorliegen[39].

Darüber hinaus stellt sich in Bezug auf das Führen eines Zertifikats die Frage, welche rechtlichen Folgen dies mit sich bringt und welche Auswirkrungen dies auf die Rechtssicherheit hat. In Bezug auf Haftung, Datenschutzpannen und Bußgelder wäre es denkbar, dass das Führen eines Zertifikats Effekte für die verantwortliche Stelle oder den Auftragsdatenverarbeiter hat. Dabei spielt es sicherlich eine Rolle, wie das Audit ausgestaltet ist bzw. welchem Regelungsrahmen das Audit unterworfen ist.

Diese weiteren Probleme rechtlicher Natur deuten bereits zumindest darauf hin, dass eine gesetzliche Regelung förderlich wäre. Sollte dieser Eindruck letztlich bestätigt werden, bedarf es der Klärung der Gesetzgebungs- und Verwaltungskompetenz[40]. Der bestehende Gesetzentwurf könnte dann vielleicht als Grundlage für einen neuen Vorschlag für ein Gesetz dienen und die Programmnorm § 9a BDSG könnte doch noch ihren Zweck erfüllen. Dazu müsste der Entwurf geprüft und in der Weise angepasst werden, dass dieser den Entwicklungen seit seiner Erstellung Rechnung trägt. Ebenso sollten die Vorund Nachteile einer nationalen bzw. supranationalen Regelung abgewogen werden. Allerdings müssten bei dieser Abwägung auch wirtschaftliche und politische Aspekte eine angemessene Berücksichtigung finden.

V. Stand der Wissenschaft

Bisher gibt es für die Datenschutzauditierung von Auftragsdatenverarbeitern weder im europäischen noch im nationalen Recht eine gesetzliche Pflicht oder einen geregelten Rahmen. Das Bundesdatenschutzgesetz enthält zwar mit § 9a BDSG eine Programmnorm für Datenschutzaudits. Der Entwurf für ein Ausführungsgesetz von 2009[41] ist jedoch nicht als Gesetz verabschiedet worden. Zu dem Thema gab es bereits in der Vergangenheit wie auch heute wissenschaftliche und praxisnahe Publikationen[42]. Diese befassen sich jedoch meist mit einem allgemeinen Datenschutzaudit und nicht mit der konkreten Auditierung von Auftragsdatenverarbeitern. Oftmals werden insbesondere die in der Praxis auftretenden Interessenkonflikte und Probleme bei der Umsetzung nicht angemessen berücksichtigt.

Besonders im Hinblick darauf, dass mittlerweile diverse privatwirtschaftliche Stellen und Landesdatenschutzaufsichtsbehörden Datenschutzaudits anbieten, sowie Datenschutz-Interessensverbände sich dem Thema widmen, indem sie eine Ausbildung für Datenschutzauditoren anbieten und ein Zertifizierungsprogramm einführen, hat das Thema nicht nur weiteren wissenschaftlichen Klärungscharakter, sondern befasst sich auch mit einem aktuellen Thema des Datenschutzes. Dieses weist aufgrund der immer engeren Verstrickung des internationalen Datenverkehrs eine globale Bedeutung auf. Auf Grund dieser Problematik hat die Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ des Bundesministerium für Wirtschaft und Energie ein rechtspolitisches Thesenpapier „Datenschutzrechtliche Lösungen für Cloud Computing“ erarbeitet. Dieses zielt auf eine Compliance-Zertifizierung ab, welcher eine unabhängige Prüfung vorausgeht. Der Cloud-Nutzer könnte zukünftig auf ein solches Zertifikat vertrauen. Die eigentliche Überzeugung über die technischen und organisatorischen Maßnahmen könnte dann entfallen[43].

VI. Zusammenfassung von derzeitigen Unklarheiten

Die verschiedenartigen Modelle, die derzeit eingeführt werden bzw. eingeführt worden sind, müssen dahingehend bewertet werden, ob sie die Ziele eines modernen Datenschutzaudits für Auftragsdatenverarbeiter erfüllen können. Ferner müssen die Fragen geklärt werden, ob ein Audit freiwillig bleiben sollte, ob ein Regelungsrahmen erforderlich ist und falls ja, welche Art eine Zielerfüllung ermöglichen könnte.

Darüber hinaus muss ausgearbeitet werden, welche Inhalte ein Audit haben muss und wie die Durchführung in Bezug auf die verschiedenen Formen von Auftragsdatenverarbeitungen ausgestaltet sein sollte. Dabei muss auch die Frage der Zulassung und Ausbildung von Auditoren geklärt werden. Alle anderen rechtlichen Fragen, welche mit dem Thema in Verbindung stehen, bedürfen einer Analyse. Diese könnte der Politik und allen anderen Beteiligten aufschlussreiche Erkenntnisse liefern, welche bei weiteren Maßnahmen Berücksichtigung finden könnten.

* Der Autor ist Berater bei der s-con Datenschutz und schreibt eine Dissertation über Datenschutzaudits bei Auftragsdatenverarbeitern.

[1] Staub, DuD 2014, 159 (159).

[2] Spoerr, in: Wolff/Brink, Beck’scher Online-Kommentar zum Datenschutzrecht, Edition 7, Stand 01.02.2014, § 11 Rn. 4; Gola/Schomerus, Bundesdatenschutzgesetz, 11. Aufl., München 2012, § 11 Rn. 3.

[3] Mester, DuD 2014, 141 (141)

[4] So auch: Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 5 f.

[5] Weichert, in: Däubler/Klebe/Wedde/Weichert, Bundesdatenschutz- gesetz, 4. Auflage, Frankfurt am Main 2104, § 9a Rn. 2.

[6] Roßnagel/Pfitzmann/Garstka, Gutachten zur Modernisierung des Datenschutzrechts, 2001, S. 134; Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 6.

[7] Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 70.

[8] Ebenda

[9] Roßnagel/Pfitzmann/Garstka, Gutachten zur Modernisierung des Datenschutzrechts, 2001, S. 136; Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 73; anderer Meinung wohl: Bizer, DuD 2006, 5 (5 ff.); Zwick, DuD 2006, 24 (27).

[10] Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 71.

[11] Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 72.

[12] Ebenda.

[13] Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 6.

[14] Ebenda.

[15] Dieser findet zumindest nicht Erwähnung in der Aufzählung der Ziele bei: Behrendt, DuD 2006, 20 (22).

[16] Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 4; siehe auch Roßnagel/Pfitzmann/Garstka, Gutachten zur Modernisierung des Datenschutzrechts, 2001, S. 132 f.

[17] Behrendt, DuD 2006, 20 (22).

[18] So auch: Meissner, DuD 2008, 525 (525); Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 93.

[19] Roßnagel/Pfitzmann/Garstka, Gutachten zur Modernisierung des Datenschutzrechts, 2001, S. 138

[20] Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 72.

[21] Gesellschaft für Datenschutz und Datensicherheit, GDD-Mitteilungen 2/99, S. 4.

[22] Selber Meinung: Bizer, DuD 2006 5 (9)

[23] Scholz, in: Simitis, Bundesdatenschutzgesetz, § 9a BDSG, Rn. 1.

[24] BT-Drs. 16/12011.

[25] Scholz, in: Simitis, Bundesdatenschutzgesetz, 7. Aufl., Baden-Baden 2011, § 9a Rn. 40.

[26] BR-Drs. 4/09, S. 1 ff.

[27] Gola/Schomerus, Bundesdatenschutzgesetz, 11. Aufl., München 2012, § 9a Rn. 2.

[28] Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 140; Scholz, in: Simitis, Bundesdatenschutzgesetz, 7. Aufl., Baden-Baden 2011, § 9a Rn. 40.

[29] Roßnagel/Pfitzmann/Garstka, Gutachten zur Modernisierung des Datenschutzrechts, 2001, S. 140 ff.

[30] Europäische Kommission, KOM(2012) 11 endgültig.

[31] Europäisches Parlament, 2012/0011(COD).

[32] Inofficial consolidated version after LIBE COMMITTEE VOTE provided by the rapporteur 22.10.2013.

[33] Kloepfer, Umweltschutzrecht, München 2008, § 4 Rn. 103.

[34] Scholz, in: Simitis, Bundesdatenschutzgesetz, § 9a BDSG, Rn. 2; Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 40.

[35] Näheres hierzu bei: Zwick, DuD 2006, 24 (25).

[36] Http://www.dsz-audit.de/datenschutzstandard/; Staub, DuD 2014, 159 (159 ff.).

[37] Gola/Schomerus, Bundesdatenschutzgesetz, 11. Aufl., München 2012, § 9a Rn. 14; für Details siehe: https://www.datenschutzzentrum.de/audit/index.htm; Behrendt, DuD 2006, 20 (20 ff.); https://ssl.bremen.de/datenschutz/sixcms/detail.php?gsid=bremen02.c.736.de; Bock, DuD 2007, 410 (410); https://www.datenschutzzentrum.de/presse/20131114-europrise.html.

[38] Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 135.

[39] Ebenda.

[40] Roßnagel, Datenschutzaudit, Wiesbaden 2000, S. 137 f.

[41] BT-Drs. 16/12011.

[42] Gola/Schomerus, Bundesdatenschutzgesetz, 11. Aufl., München 2012, § 9a Rn. 2a.

[43]Http://www.trusted-cloud.de/561.php.