Stand: 7. September 2007 (Entwurf der Bundesregierung)
Der Bundestag hat mit Zustimmung des Bundesrates das folgende Gesetz beschlossen:
(1) Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen können auf Antrag ihr Datenschutzkonzept sowie ihre technischen Einrichtungen auf Vereinbarkeit mit den Vorschriften über den Datenschutz prüfen und bewerten lassen (Datenschutzaudit).
(2) Vorschriften über den Datenschutz im Sinne dieses Gesetzes sind solche, die die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten der Europäischen Union in den Fällen des § 1 Abs. 5 des Bundesdatenschutzgesetzes.
(3) Die Bewertung nach Absatz 1 erstreckt sich nicht auf die Sicherheit informationstechnischer Systeme und informationstechnischer Komponenten.
(1) Das Datenschutzaudit wird durch Sachverständige durchgeführt, die von der Datenschutzaufsichtsbehörde des Landes öffentlich bestellt sind, in dem sie eine Haupt- oder Zweigniederlassung haben. Die Bestellung eines Sachverständigen in mehreren Ländern ist zulässig.
(2) Der Antrag auf Durchführung eines Datenschutzaudits kann bei jedem Sachverständigen gestellt werden, der von der Datenschutzaufsichtsbehörde des Landes bestellt ist, in dem der Antragsteller eine Niederlassung hat. Ausländische Antragsteller können den Antrag bei jedem Sachverständigen stellen.
(1) Über die Vereinbarkeit eines Datenschutzkonzeptes oder einer technischen Einrichtung mit den Vorschriften über den Datenschutz stellt der Sachverständige ein Zertifikat aus.
(2) Zertifizierte Datenschutzkonzepte und zertifizierte technische Einrichtungen dürfen mit einem Datenschutzauditsiegel so lange gekennzeichnet werden, wie sie gegenüber der zertifizierten Version unverändert sind, längstens jedoch zwei Jahre, Der Antragsteller ist verpflichtet, dem Bundesbeauftragten für den Datenschutz und der Informationsfreiheit Veränderungen der zertifizierten Version anzuzeigen. Der Sachverständige weist ihn darauf in dem Zertifikat hin.
(3) Der Sachverstandige unterrichtet den Bundesbeauftragten für den Datenschutz und die lnformationsfreiheit über ausgestellte Zertifikate und bezeichnet dabei das zertifizierte Datenschutzkonzept oder die zertifizierte technische Einrichtungen, den Namen und die Anschrift des Antragstellers, sowie die Dauer, für die die Kennzeichnung mit dem Datenschutzauditsiegel längstens zulässig ist.
(4) Ist die Zertifizierung bestandskräftig abgelehnt worden, weil das Datenschutzkonzept oder die technische Einrichtung mit den Vorschriften über den Datenschutz unvereinbar ist, kann ein erneuter Antrag erst gestellt werden, wenn das Datenschutzkonzept oder die technische Einrichtung gegenüber der auditierten Version verändert ist.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit führt ein öffentliches Register, in dem alle zertifizierten Datenschutzkonzepte und zertifizierten technischen Einrichtungen, die Namen und die Anschrift der Antragsteller sowie die längstens zulässige Dauer der Kennzeichnung mit dem Datenschutzauditsiegel verzeichnet sind. Er löscht Registereinträge nach Ablauf der Frist nach § 3 Abs. 2 Satz 1 sowie Registereinträge, über die ihm Veränderungen nach § 3 Abs. 2 Satz 2 angezeigt worden sind. Das Register ist über das Internet einsehbar.
Für Rücknahme und Widerruf ist die Datenschutzaufsichtsbehörde zuständig, die den Sachverständigen bestellt hat, der das Zertifikat ausgestellt hat. Sie holt zuvor dessen Stellungnahme ein.
Ordnungswidrig handelt, wer das Datenschutzauditsiegel vorsätzlich oder fahrlässig unbefugt verwendet. Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu zweihundertfünfzigtausend Euro geahndet werden.
(1) Wer das Datenschutzauditsiegel in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, unbefugt verwendet, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Verletzte, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Datenschutzaufsichtsbehörde.
Das Bundesministerium des Innern Wird ermächtigt, zur Durchführung dieses Gesetzes mit Zustimmung des Bundesrates Rechtsverordnungen zu erlassen über
Von den in §§ 1 bis 4 dieses Gesetzes enthaltenen Regelungen des Verwaltungsverfahrens dürfen die Länder nicht abweichen.
© 1998 - 2007 für Auswahl und Zusammenstellung der Gesetze bei Rainer W. Gerling. Alle Rechte vorbehalten.
zuletzt geändert am 28. September 2007 von Rainer W. Gerling