7. September 2009 - Neue Datenschutz-Siegel

So behalten Sie den Überblick bei den neuen Datenschutz-Siegeln

Während genaue gesetzliche Vorgaben für Datenschutzaudits auf sich warten lassen, nimmt die Zahl der Datenschutz-Siegel weiter zu. Seit kurzem bietet auch die SCHUFA Holding AG ein eigenes Datenschutz-Siegel an, das SCHUFA DatenschutzSiegel. Nicht nur für den Verbraucher wird die Bewertung eines Datenschutz-Siegels immer schwieriger, auch Sie als Datenschutzbeauftragter müssen versuchen, den Überblick zu behalten.

wie-sie-den-uberblick-bei-den-neuen-datenschutz-siegeln-behalten.jpeg
Angesichts der zahlreichen Datenschutz-Siegel ist ein entspannter Überblick nicht ganz einfach (Bild: Thinkstock)

Eine unabhängige Beurteilung des Datenschutz-Konzepts bringt deutliche Vorteile für Ihr Unternehmen, von der Optimierung interner Datenschutz-Maßnahmen bis hin zur Außenwirkung eines Datenschutz-Gütesiegels auf die Kunden.

Genaue gesetzliche Regelungen fehlen jedoch

Im Bundesdatenschutzgesetz (BDSG) finden Sie zur Auditierung des Datenschutzes im § 9a:

„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch ein besonderes Gesetz geregelt“.

Leider fehlt bislang dieses besondere Gesetz – auch nach der Novellierung.

Datenschutzbeauftragte sind gefordert

Für Ihr Unternehmen sind Sie als Datenschutzbeauftragter also gefordert, Angebote für Datenschutz-Siegel, aber auch Datenschutz-Siegel Ihrer Lieferanten zu bewerten. Nutzen Sie deshalb die folgende Checkliste, um bestehende und neue Datenschutz-Siegel genau zu hinterfragen.

Anforderung Erfüllt Nicht erfüllt
Prüfkriterien entsprechen aktuellen Datenschutzgesetzen
Prüfkriterien entsprechen aktuellen IT-Sicherheitsstandards
Prüfung bezieht sich auf den jeweils relevanten Bereich bei dem Lieferanten (z.B. Kundendatenverwaltung)
Zertifizierer gilt als unabhängig und neutral
Auditoren müssen Fachkenntnisse nachweisen und bei einem anerkannten Zertifizierer gelistet sein
Datenschutz-Siegel hat begrenzte Gültigkeit
Folgeaudits und Re-Zertifizierungen gehören zu dem Datenschutz-Siegel-Programm
Voraussetzung zur Re-Zertifizierung entspricht den dann geltenden gesetzlichen Vorgaben (Berücksichtigung der BDSG-Novellen)

 

Checkliste Anforderungen an Datenschutz-Siegel. Diese Checkliste finden Sie im DIN-A4-Format zum kostenlosen Download unter den Vorlagen.

Vielfalt an Datenschutz-Siegeln blüht

Mittlerweile gibt es zahlreiche Anbieter für externe Datenschutz-Überprüfungen und Datenschutz-Siegel. Mit der SCHUFA Holding AG ist nun ein weiterer dazu gekommen.

Mit ihrem neuen SCHUFA DatenschutzSiegel bietet die SCHUFA interessierten Unternehmen nach eigenen Angaben die Prüfung und Zertifizierung hinsichtlich der aktuellen Datenschutzanforderungen, der angewandten Sicherheitsstandards sowie des technisch und fachlich korrekten Umgangs mit Datenschutzsystemen und -prozessen. Als Pilotprojekt wurde die Zertifizierung eines Call Centers angeführt.

Warum noch ein weiteres Datenschutz-Siegel?

Die Frage von Datenschutz PRAXIS, warum die SCHUFA ein eigenes Datenschutz-Siegel anbietet, beantwortete die SCHUFA so: „Die langjährige Erfahrung und der bewusste und sorgsame Umgang mit den Daten und unser Wissen fließen in das SCHUFA-DatenschutzSiegel ein. So können auch andere Unternehmen davon profitieren.“

Unterschiede zu anderen Datenschutz-Siegeln

Natürlich stellt sich auch die Frage, wie sich das neue Datenschutz-Siegel von den bereits bestehenden Angeboten unterscheidet. Dazu die SCHUFA: „Mit dem SCHUFA-DatenschutzSiegel werden – im Unterschied zu anderen Siegeln – nicht nur gesetzliche Mindeststandards geprüft. Die Prüfung geht insbesondere beim Datenschutz über die gesetzlichen Mindestvorgaben hinaus und prüft außerdem, ob die Anforderungen auch im Sinne der Verbraucher umgesetzt werden.“

Das bedeute beispielsweise, dass nicht nur beleuchtet wird, ob ein Unternehmen entsprechend der gesetzlichen Anforderungen Auskunft über persönliche Daten an anfragende Verbraucher gibt, sondern vor allem auch, auf welchen Wegen und mit welcher Kundenorientierung dies geschehe. Neben dem Bereich Datenschutz könnten interessierte Unternehmen deshalb auch die Bereiche Verbraucherschutz, Kundenschutz online und Kundenzufriedenheit überprüfen lassen.

Prüfung im Zwei-Stufen-Verfahren

Nach Angaben der SCHUFA erfolgt die Überprüfung in zwei Stufen: Zunächst beantwortet das Unternehmen einen Fragebogen zum Themenschwerpunkt „Datenschutz“. Nach dessen Auswertung prüfen die SCHUFA-Auditoren vor Ort alle relevanten Unternehmensbereiche in Form von Interviews und Besichtigungen.

Bei den Auditoren soll es sich um vom TÜV bzw. der Deutschen Gesellschaft für Qualität geprüfte Datenschutzbeauftragte und Qualitäts-Auditoren handeln.

Aber keine staatliche Qualitätssicherung

Beide Stufen des Prüfungsverfahrens beim SCHUFA DatenschutzSiegel laufen also über die SCHUFA. „Das zweistufige Verfahren bei dem SCHUFA-DatenschutzSiegel unterscheidet sich grundlegend von unserem Verfahren, bei dem zunächst unabhängige Gutachter die Begutachtung vornehmen und in der zweiten Stufe das ULD (als staatliche Stelle) eine Qualitätssicherung vornimmt“, kommentiert Henry Krasemann vom Referat Datenschutz-Gütesiegel des ULD Schleswig-Holstein gegenüber Datenschutz PRAXIS. Dabei prüfe das ULD in erster Linie die Schlüssigkeit und die methodisch einwandfreie Vorgehensweise des Gutachtens.

Verbraucher ist überfordert

Der einzelne Verbraucher jedoch ist überfordert, jedes Datenschutz-Siegel einzuschätzen und in seiner Aussagekraft zu bewerten.

Cornelia Tausch, Fachbereichsleiterin Wirtschaft und Internationales bei der Verbraucherzentrale Bundesverband e.V. (vzbv), erklärt die Position des Verbrauchers so: „Datenschutzsiegel können nur dann sinnvoll sein, wenn sie sowohl transparent als auch vertrauenswürdig sind. Kein Verbraucher will für jedes Siegel erst umfänglich recherchieren, was dahinter steckt. Die Realität bei der Zertifizierung bzw. Auditierung kann kein Verbraucher überprüfen. Wichtigste Voraussetzung für eine Verbrauchertauglichkeit ist also, dass es ein Gesetz und damit Standards gibt. Und bekannte sowie vertrauenswürdige Zertifizierer bzw. Auditverfahren.“

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln