24. November 2008 - Datenschutzauditgesetz

Zertifizierung: Vorschlag für ein zweistufiges Verfahren

Das angekündigte Bundesdatenschutzauditgesetz eröffnet Unternehmen neue Chancen, sich gegen Datenschutz-GAUs abzusichern und das Vertrauen der Verbraucher zu gewinnen. Damit sich eine solche Zertifizierung wirklich auszahlt, müssen jedoch ihre Qualität und Akzeptanz sichergestellt sein. Ein Knackpunkt ist dabei die Frage, wie das Zertifizierungsverfahren aussehen soll.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Die Datenschutz-Skandale, die in den letzten Monaten durch die Presse gegangen sind, machen es überdeutlich: Unternehmen tun gut daran, das Thema Datenschutz ernst zu nehmen.

Das sieht auch der Gesetzgeber so. Für Ende November hat er das Bundesdaten­schutzauditgesetz (BDSAuditG) angekündigt, das die Bedingungen für ein freiwilliges Datenschutzaudit regelt.

Die Qualität muss stimmen

Es wird Unternehmen die Möglichkeit geben, ihre Produkte, Services und Verfahren datenschutzrechtlich prüfen, bewerten und zertifizieren zu lassen. Nach erfolgreicher Prüfung erhalten sie ein bundesweit einheitliches Gütesiegel.

Eine echte Chance, um das Vertrauen ihrer Kunden (zurück-) zu gewinnen und sich Marktvorteile zu verschaffen – jedoch nur dann, wenn das Zertifikat strenge Qualitätskriterien erfüllt und allgemein anerkannt ist.

Kritik am aktuellen Gesetzentwurf

Aktuell liegt nach einem ersten Entwurf von September 2007 ein zweiter, überarbeiteter Entwurf des Bundesdatenschutzauditgesetzes vor. Die darin enthaltenen Bedingungen für ein Datenschutzgütesiegel gehen allerdings nach Meinung vieler Datenschutzexperten nicht weit genug.

So müssen sich interessierte Firmen nach dem aktuellen Entwurf lediglich einer freiwilligen Auditierung durch unabhängige, private „Kontrollstellen“ unterwerfen.

Bisher nicht vorgesehen ist dagegen die Einführung eines zweistufigen Prüfverfahrens.

Daher besteht die Befürchtung, dass private Kontrollstellen, die gleichzeitig als Zertifizierungsstellen arbeiten, nicht die Qualität und Vergleichbarkeit der Gütesiegel gewährleisten können.

Offizielle Zertifizierungsstelle sollte Ergebnisse der privaten Prüfstelle bestätigen

Sinnvoller wäre – wie auch international üblich – eine offizielle Zertifizierungstelle, die Auditergebnisse privater, akkreditierter Prüfstellen zertifiziert.

Nur so ist das Datenschutzauditsiegel ein „objektives“ Qualitätskriterium – das auch im Wettbewerb wahrgenommen und verlangt wird.

„Nur wenn sich die Audits an nationalen und internationalen Standards orientieren und von staatlicher Seite überwacht werden, wird das Gütesiegel allgemein anerkannt sein. Und nur dann ist es für Unternehmen wirklich interessant“, so Antonius Sommer, Geschäftsführer der TÜV Informationstechnik GmbH, Essen.

„Für die Wirtschaft ist es sehr wichtig, wie das Verfahren der Datenschutzaudits im geplanten Gesetz gestaltet wird – und das wird sich in den nächsten Wochen entscheiden“, erläutert der Datenschutzfachmann Marcus Belke.

Er engagiert sich seit Jahren im Rahmen der Gesetzgebung und ist Experte bei allen Fragen rund um den Datenschutz.

Außerdem ist Marcus Belke Geschäftsführer der 2B Advice GmbH, die mit einem Team aus hoch spezialisierten IT-Experten, Softwareentwicklern und Rechtsanwälten Beratung, Software und Audits im Bereich Datenschutz anbietet.

Aus den bisherigen Erfahrungen mit Gütesiegeln lernen

„Bei der Gestaltung des Datenschutzauditgesetzes sollten die Erfahrungen der letzten Jahre aus der Zertifizierung von Produkten und Services genutzt werden.

Sehr erfolgreich sind zum Beispiel das vom Land Schleswig-Holstein verliehene Datenschutz-Gütesiegel für Produkte sowie auf europäischer Ebene das European Privacy Seal (EuroPriSe). Diese Zertifizierungsprogramme setzen hohe Qualitätsmaßstäbe“, erklärt Antonius Sommer.

Die beiden genannten Programme zeichnen sich durch ein zweistufiges Verfahren aus, das eine Überwachung durch unabhängige Stellen ermöglicht.

Dadurch enthält das Verfahren eine wirkungsvolle Qualitätssicherung.

„Der aktuelle Referentenentwurf schlägt dagegen ein einstufiges Verfahren vor, bei dem diese Qualitätssicherung fehlen würde – und mit ihr ein wichtiges Kriterium für die Anerkennung der Zertifizierung“, so Belke.

Die Vorteile eines zweistufigen Zertifizierungsverfahrens

TÜV Informationstechnik GmbH und die 2B Advice GmbH haben deshalb gemeinsam ein Schema für ein Verfahren erarbeitet, das nationale und internationale Standards berücksichtigt (siehe Kasten).

Es sieht vor, dass die Prüf- bzw. Auditverfahren durch akkreditierte Experten durchgeführt werden, die ihre Leistungen frei anbieten, und öffentlich-rechtliche Stellen bei Bund und Ländern oder beliehene Stellen die Zertifizierung und Überwachung übernehmen. Sie stehen auch für mögliche Beschwerdeverfahren zur Verfügung.

So wird sichergestellt, dass das Verfahren durch die Wirtschaft getragen und von staatlichen Stellen legitimiert ist und zudem ohne viel Bürokratie auskommt.

Skizze eines von der Wirtschaft getragenen und staatlich legitimierten Zertifizierungsverfahrens
TÜV Informationstechnik und 2B Advice haben ein gemeinsames Modell für die Gestaltung der Zertifizierungsverfahren im Rahmen des angekündigten Bundesdatenschutzauditgesetzes entwickelt.

Beide Unternehmen haben bereits in den vergangenen Jahren als Prüflabore zahlreiche Datenschutzaudits für Produkte und Verfahren durchgeführt sowie Akkreditierungen von Prüf- und Zertifizierungsstellen vorgenommen. Diese Erfahrungen bilden die Grundlage für ihren Entwurf.

Das vorgeschlagene Modell setzt sich aus einer operationalen und einer Steuerungs- und Überwachungsschicht zusammen:

Operationale Ebene

Auf der operationalen Ebene wählen die Hersteller und Anbieter von Produkten, Services und Verfahren die Prüfstellen und Sachverständigen bzw. Auditoren frei aus.

Diese führen die Prüfungen durch und reichen ihren Prüfbericht zur Zertifizierung bei den Zertifizierungsstellen ein. Die Zertifizierungsstellen erteilen bei erfolgreicher Prüfung ein zeitlich begrenztes Zertifikat und veröffentlichen dieses.

Darüber hinaus haben sie die Aufgabe, die formale Einhaltung des Prüf- beziehungsweise Auditverfahrens, die Nachvollziehbarkeit sowie die Vergleichbarkeit der Ergebnisse zu überprüfen und die Nutzung der ausgestellten Zertifikate zu überwachen.

Alle Prüfinstanzen müssen die benötigten Kompetenzen im Vorfeld im Rahmen einer Akkreditierung nachweisen, die durch die Zertifizierungsstellen durchgeführt wird.
Basis dafür sollte die ISO 17025 sein, der national und international anerkannte Standard für die Akkreditierung von Prüfstellen.

Um diese Aufgaben sachgerecht und neutral durchführen zu können, unterwerfen sich die Zertifizierungsstellen ihrerseits einer Akkreditierung nach DIN/EN 45011 oder ISO Guide 65.

Steuerungs- und Überwachungsebene

Die zweite Ebene bildet die Steuerungs- und Überwachungsschicht. Sie bezieht die entsprechenden Ministerien auf Bundes- und Landesebene sowie Verbände und Wissenschaft mit ein.

Die Zertifizierungsstellen werden durch den Bundesbeauftragten für Datenschutz bzw. durch die Aufsichtsbehörden und ein Lenkungsgremium gesteuert und überwacht. Dieses ist auch für Beschwerden und sonstige Verfahrensüberprüfungen zuständig.

Bei der Zertifizierung von Verfahren behalten die Länder die Oberhoheit, indem sie die Federführung bei der Akkreditierung/Beleihung übernehmen.

Die wichtigsten Vorteile dieses Verfahrens im Überblick:

  • Der Aufwand für die Zertifizierungsstellen bleibt im wirtschaftlich sinnvollen Rahmen und stellt zugleich die hohe Qualität der Zertifizierung sicher. Die Erfahrungen zeigen, dass Audit und Auditbericht etwa neunmal den Aufwand der eigentlichen Zertifizierung erfordern. Der größte Teil des Gesamtverfah¬rens wird somit unter wirtschaftlichen Wettbewerbsbedingungen durchgeführt.
  • Die zentrale Akkreditierung von Sachverständigen, Prüfern, Auditoren und Zertifizierungsstellen sowie das mögliche Beschwerdeverfahren sorgen für Vergleichbarkeit und die Integrität des Gesamtsystems.
  • Die Beteiligung staatlicher Stellen bei der Akkreditierung und Vergabe der Zertifikate schafft eine hohe Akzeptanz.

Weitere Artikel zum Thema „Datenschutzaudit“ und „Datenschutz-Gütesiegel“.

Susanne Gerbert
Susanne Gerbert ist Journalistin und schreibt seit vielen Jahren Fachbeiträge zu Technik- und Wirtschafts-Themen.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln