Navigation und Service

Direkt zu:

Logo der Stiftung Datenschutz

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Inhalt

Hintergrund Datenschutzgütesiegel

Gütesiegel und Zertifikate zum Datenschutz können als unterscheidende und werbende Merkmale der geprüften und ausgezeichneten Produkte, Dienstleistungen oder Unternehmen eingesetzt werden. Sie erleichtern Kunden die Entscheidung zwischen verschiedenen Anbietern und Angeboten und können zugleich das Vertrauen in neue Technologien fördern. Glaubwürdige Prüfzeichen setzen für Unternehmen Anreize, hohe datenschutzrechtliche Anforderungen einzuhalten oder zu übertreffen: Sie belohnen den dafür betriebenen Aufwand mit einer zusätzlichen Werbemöglichkeit und bestenfalls echten Wettbewerbsvorteilen.

Überlegungen hinsichtlich einer einheitlichen Prüfung und Bewertung technischer Anwendungen auf Datenschutzfreundlichkeit gibt es seit Mitte der 1990er Jahre. Die Konzipierung und Praxiseinführung eines bundeseinheitlichen Datenschutzaudits und Gütesiegels jedoch steht im Bereich des Datenschutzes seit Jahren aus. Eine grundsätzliche Norm zur gesetzlichen Regelung eines Datenschutzaudits wurde im Jahr 2001 erlassen, blieb aber seither unausgefüllt. Auf Landesebene bestehen in Schleswig-Holstein mehrjährige Praxiserfahrungen mit öffentlichen Datenschutz-Gütesiegeln. Auf dem privaten Markt haben sich weitere Anbieter etabliert, die datenschutzbezogene Auditierungen, Zertifizierungen und Gütesiegel anbieten.

Verfahren einer unabhängigen Datenschutzüberprüfung

Einer Zertifikat- oder Gütesiegelverleihung sollte immer eine intensive Prüfung vorausgegangen sein. Diese Prüfung und/oder Auditierung (Anhörung) wird meist von privaten Stellen wie selbstständigen Gutachtern und IT-Sachverständigen vorgenommen. Die prüfenden Stellen sollten stets unabhängig von der zu begutachtenden Stelle sein. Zusätzlich sind sie idealerweise (zumindest) personell unabhängig von der Stelle, die am Prozessende das Zertifikat/Siegel verleiht. Die auditierende Stelle muss zudem die notwendige Fachkunde und Erfahrung nachweisen. Sie kann sich zur Prüfung dieses Nachweises und zur Herstellung von Vergleichbarkeit und Verlässlichkeit bei der zertifizierenden Stelle akkreditieren, d.h. als geeignet beglaubigen lassen. Die zertifizierende Stelle kann sich – zur Steigerung der Glaubwürdigkeit der von ihr erteilten Prüfzeichen – wiederum selbst akkreditieren und ihre Kompetenz bestätigen lassen. Diese „Bewertung der bewertenden Stelle“ wird bei der Deutschen Akkreditierungsstelle (DAkkS) in Berlin vorgenommen.

Für die Prüfungen selber ist ein standardisiertes Anforderungsprofil ebenso notwendig wie eine hinreichende Prüftiefe; eine Auditierung mit nur geringen Anforderungen kann schwerlich eine belastbare Aussagekraft und Akzeptanz erreichen. Nur die Einhaltung eines hohen Qualitäts- und Zuverlässigkeitsstandards im Prüfverfahren kann sicherstellen, dass einem Datenschutzgütesiegel auf Seiten der Verbraucher Vertrauen und auf Seiten der Aufsichtsbehörden Akzeptanz entgegengebracht wird.

Dabei darf jedoch gerade für kleinere und mittlere Unternehmen der finanzielle, personelle und bürokratische Aufwand eines Prüf- und Zertifizierungsverfahrens nicht unverhältnismäßig hoch sein. Denn einem Prüfzeichen, das zwar höchste Anforderungen aufstellt, das aber wegen des damit verbundenen Aufwandes und der Kosten auf Seiten der Wirtschaft kaum nachgefragt wird, wird langfristig kein breiter Erfolg beschert werden.

Die Prüfung erfolgt anhand eines einheitlichen oder modularen Kriterienkataloges, der dem Stand der Technik entsprechen muss und dem technologischen Fortschritt regelmäßig anzupassen ist. Das Aufstellen der Kriterien durch eine unabhängige Stelle macht derlei Anpassungen schneller möglich, als sie es in einem Gesetzgebungsverfahren wären. Die betrieblichen Datenschutzbeauftragten werden meist in den konkreten Prüfprozess eingebunden. Ihre Kenntnisse sind für die am Beginn der Auditierung regelmäßig durchzuführende Bestandsaufnahme unverzichtbar.

Die nach bestandener Prüfung verliehenen Zertifikate und Gütesiegel haben meist eine begrenzte Gültigkeitsdauer. Für deren Verlängerung müssen regelmäßig sogenannte Re-Zertifizierungsprozesse durchlaufen werden. Bei der dazu nötigen erneuten Prüfung wird wiederum unabhängig festgestellt, ob die Voraussetzungen für das Werben mit dem Prüfzeichen weiter erfüllt sind, auch im Hinblick auf technische Modifikationen.