31. Juli 2008 - Datenschutz-Siegel

Was Sie bei Datenschutz-Siegeln bedenken sollten

Verbraucher achten im Internet zunehmend darauf, wie die Anbieter es mit dem Datenschutz halten. Oftmals ist dies jedoch ohne intensives Studium der Datenschutzerklärung kaum ersichtlich. Zudem ist es für Verbraucher nicht einfach, die ausgewiesenen Datenschutzbestimmungen in ihrer Bedeutung und Konsequenz zu bewerten. Ein Gütesiegel für den Datenschutz könnte auf einen Blick zeigen, dass ein Anbieter unabhängige Experten von seinem hohen Datenschutzstandard überzeugt hat. Doch Gütesiegel ist nicht immer gleich Gütesiegel.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

(K)ein Buch mit sieben Siegeln

Bereits ein Besuch im Supermarkt reicht aus, um festzustellen, dass sich eine Fülle von Kennzeichnungen und Gütesiegeln auf dem Markt tummelt. Besonders Produkteigenschaften wie ökologischer Anbau, Bio-Produkte und Umweltverträglichkeit erregen das Interesse der Kunden und haben in den letzten Jahren zu einer reichen Blüte an unterschiedlichen Gütesiegeln geführt.

Ein ähnliches Aufsehen erregt zunehmend der Datenschutz im Internet, in der Telekommunikation und in der EDV generell. Kein Wunder also, wenn man auch hier verschiedene Gütesiegel vorfinden kann. Ein solches Gütesiegel signalisiert dem Kunden, dass ein Produkt oder ein Service mit bestimmten Vorgaben und Kriterien übereinstimmt.

Doch wie kann der Verbraucher unterschiedliche Gütesiegel im Internet richtig interpretieren?

Ziele der Gütesiegel im Auge behalten

Die generellen Ziele eines Gütesiegels im Datenschutz, aber auch in anderen Bereichen, sind

  • mehr Transparenz im Markt zu schaffen
  • mehr Vertrauen seitens der Kunden zu wecken
  • mehr Verbraucherschutz zu erreichen, aber auch
  • eine Stärkung der Produkt- und Anbieterposition im Wettbewerb

Diese wesentlichen Ziele könnten jedoch schnell in Gefahr geraten, wenn die genauen Kriterien und Verfahren zur Erlangung eines Gütesiegels nicht allgemein bekannt und mit anderen Gütesiegeln vergleichbar sind.

Einheitliche Kriterien für die Zertifizierer wichtig

Wenn Sie sich auf den Webseiten verschiedener Online-Shops umsehen, werden Sie ähnlich wie im Supermarkt bald auf verschiedene Siegel für geprüfte Sicherheit und Datenschutz stoßen. Abgesehen von einer möglichen Verwirrung der Nutzer durch das jeweils unterschiedliche Erscheinungsbild der Gütesiegel stellt sich natürlich die Frage, welche Kriterien erfüllt werden müssen, um ein bestimmtes Siegel tragen zu dürfen. Alleine durch das Siegel ist für den Verbraucher noch nicht unmittelbar deutlich,

  • wie die Prüfkriterien ausgesehen haben
  • welche Bereiche genau überprüft wurden
  • für welchen Anwendungsbereich das Gütesiegel genau gilt
  • wie unabhängig und neutral die das Gütesiegel verleihende Institution ist
  • auf welche gesetzlichen Grundlagen sich die Überprüfung und damit das Gütesiegel bezieht
  • welche Voraussetzungen die Auditoren erfüllen müssen
  • welche Gültigkeitsdauer bei dem jeweiligen Siegel besteht

ULD zeichnet den Weg zum Gütesiegel

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mit seinem Datenschutz-Gütesiegel einen Weg vorgezeichnet, der zum Vorbild für weitere Datenschutz-Gütesiegel geworden ist. Dieses Gütesiegel signalisiert dem Anwender von entsprechend zertifizierten IT-Produkten oder -Services, dass eine datenschutzgerechte Nutzung ohne großen Aufwand möglich ist und dass keine Funktionen enthalten sind, die gegen bestehende Datenschutzbestimmungen verstoßen oder sicherheitstechnisch unzureichend sind.

Durch die staatliche Regulierung der Vergabe des Gütesiegels kann sichergestellt werden, dass

  • ein den gesetzlichen Vorgaben entsprechendes Prüfverfahren durchlaufen werden muss
  • das Gütesiegel allen Interessenten im Rahmen der gesetzlichen Möglichkeiten zugänglich ist, sofern die Kriterien erfüllt werden
  • die technischen und rechtlichen Prüfungen durch anerkannte Experten durchgeführt werden

Formale Gültigkeit ist begrenzt

Gleichzeitig führt die Kopplung des ULD-Gütesiegels an das Landesdatenschutzgesetz von Schleswig-Holstein dazu, dass es sich im Prinzip um ein regionales Datenschutz-Gütesiegel handelt, wobei dies gerade für das weltweite Internet einen Handlungsbedarf aufzeigt.

Ziel muss eine nationale, besser noch europäische Grundlage sein, um im Internet eine gegenseitige Anerkennung und Vergleichbarkeit leichter erzielen zu können. Eine weltweite Ausdehnung von Gütesiegel-Grundlagen hingegen ist mit den großen datenschutzrechtlichen Unterschieden im internationalen Raum kaum vereinbar.

Europäisches Datenschutz-Siegel in Sicht

Unter der Leitung des ULD und im Auftrag der EU-Kommission arbeiten derzeit neun europäische Organisationen und Unternehmen im Projekt European Privacy Seal (EuroPriSe) an den Anforderungen für ein Europäisches Datenschutz-Gütesiegel und an dessen exemplarischer Erprobung.

An dem Projekt beteiligt sind:

  • Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Deutschland
  • Agencia de Protección de Datos de la Communidad de Madrid, Spanien
  • TüV Informationstechnik GmbH, Deutschland
  • Borking Consultancy, Niederlande
  • Commission Nationale de l`Informatique et des Libertés, Frankreich
  • Ernst & Young AB, Schweden
  • Österreichische Akademie der Wissenschaften, Institut für Technikfolgenabschätzung
  • London Metropolitan University, Vereinigtes Königreich
  • VaF s.r.o, Slowakei

Grundlage des noch bis November 2008 laufenden Projekts ist insbesondere die seit 1998 in der EU geltende Datenschutzrichtlinie, mit dem Ziel, eine freiwillige, in der ganzen EU gültige Zertifizierung sowie ein entsprechendes Datenschutz-Gütesiegel zu schaffen.

Fazit: Datenschutz-Gütesiegel brauchen einheitliche Grundlagen

Wenn Sie IT-Produkte oder -Services, die ein Gütesiegel tragen, nutzen wollen, oder selbst eine Zertifizierung angehen wollen, sollten Sie insbesondere auf die folgenden Punkte achten:

  • Wer vergibt das Gütesiegel (Unabhängigkeit)?
  • Werden nachvollziehbare Kriterien vorausgesetzt, die den gesetzlichen Vorgaben entsprechen?
  • Welche Gültigkeit hat das Gütesiegel?
  • Welche Voraussetzungen bestehen für eine Rezertifizierung?

Oliver Schonschek, Diplom-Physiker und Fachjournalist

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln