Schäuble will Datenschutz als Wettbewerbsfaktor fassen

Das Bundesinnenministerium hat einen lange erwarteten Entwurf für ein Bundesdatenschutzauditgesetz vorgelegt, dank dem Unternehmen und Behörden mit Gütesiegeln für die Einhaltung der Privatsphäre werben können sollen.

In Pocket speichern vorlesen Druckansicht 162 Kommentare lesen
Lesezeit: 4 Min.

Das Bundesinnenministerium hat Interessenverbänden und Bundesländern einen Referentenentwurf für ein Bundesdatenschutzauditgesetz (PDF-Datei) zukommen lassen. Mit dem Vorstoß will Ressortchef Wolfgang Schäuble (CDU) Unternehmen oder Behörden die Möglichkeit geben, bundesweit freiwillig mit Gütesiegeln für die Einhaltung der gesetzlich vorgeschriebenen Vorgaben zum Schutz der Privatsphäre zu werben. Eine entsprechende prinzipielle Regelung für ein Datenschutz-Audit hatte der Gesetzgeber bereits 2001 im Rahmen der jüngsten Novelle des Bundesdatenschutzgesetzes (BDSG) erlassen. Das für die Umsetzung erforderliche Ausführungsgesetz fehlt aber bislang. Diese von Daten- und Verbraucherschützern immer wieder hervorgehobene Lücke will das Innenministerium mit dem Entwurf nun mit sechs Jahren Verzögerung schließen.

Mit dem Audit verknüpft die Legislative die Hoffnung auf eine Verbesserung des Datenschutzes und der Datensicherheit. Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen sollen damit ihre Regeln zur Sicherung der Privatsphäre sowie ihre entsprechenden technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis des Checks veröffentlichen. Laut dem Entwurf aus dem Innenministerium soll die Zertifizierung durch Sachverständige durchgeführt werden, "die von der Datenschutzaufsichtsbehörde des Landes öffentlich bestellt sind", in dem diese öffentlich bestellt sind. Anträge auf Prüfungen können bei den amtlich zugelassenen Experten des jeweiligen Bundeslandes – von ausländischen Organisationen bei jedem offiziellen Zertifizierungsberechtigten – gestellt werden.

Abgesegnete Datenschutzkonzepte und dazugehörige technische Systeme dürfen das Gütesiegel dem Plan zufolge höchstens zwei Jahre tragen. Es soll schon vorher ungültig werden, wenn es zu größeren Änderungen an den zertifizierten Objekten und Ausfertigungen kommt. Geht es nach dem Innenministerium, wird der Bundesdatenschutzbeauftragte ein öffentliches Register der ausgestellten Gütesiegel und ihrer Gültigkeit führen. Die Datenbank soll auch im Internet einsehbar sein. Rechtsverordnungen mit Einzelheiten der Antragstellung, Form und Verfahren der Auditierung, der Ausgestaltung des Prüfsiegels und des Inhalts des Datenschutzauditregisters sind laut Entwurf mit Zustimmung des Bundesrates nach Verabschiedung des Gesetzes zu erlassen.

Der Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Thilo Weichert, hat die lange erwartete Initiative Schäubles im Prinzip begrüßt. Damit vollziehe das Ministerium in seiner Datenschutzpolitik einen Schwenk, indem es nun auch auf den Datenschutz als Wettbewerbsfaktor setze. In Kiel werde dieser Ansatz schon seit Jahren erfolgreich praktiziert. Dabei würden datenschutzkonforme Verfahren und Produkte über ein Gütesiegel einen Marktvorteil erhalten. Einzelne Zertifizierungen, welche das ULD unter anderem an Microsoft für ein Update-Verfahren und die Lizenzprüfungsfunktion WGA erteilt hat, sind aber umstritten.

Weichert moniert in einer ersten Stellungnahmes aber auch, dass der Entwurf für ein Audit auf Bundesebene ein "recht kompliziertes und konfliktträchtiges Verfahren vorsieht". So sei es problematisch, wenn "private Gutachter als Beliehene hoheitlich agieren sollen". Der Vorstoß verkenne die Notwendigkeit der Qualitätssicherung der Gutachten, um Gesetzeskonformität der Auditgegenstände und eine Vergleichbarkeit der Zertifizierung zu gewährleisten. Andererseits könne das Akkreditierungsverfahren für Gutachter vereinfacht werden. Unklar sei auch, warum der Entwurf das Zertifikat nicht auch den Herstellern von Soft- und Hardwareprodukten anbiete. Der Ausschluss der Sicherheitsprüfung informationstechnischer Systeme und Komponenten konterkariere ferner die eigenen datenschutzrechtlichen Anforderungen und bleibe "aussage- und damit sinnlos".

Auch die Bestimmungen für das Gütesiegelregister hält das ULD noch für unzureichend. So werde nicht vorgesehen, "dass die Eigenschaften, die Zwecke, die Anwendungsbereiche, die besonderen datenschutzrechtlichen Vorzüge und Probleme" in der Datenbank beschrieben werden sollten. Das wichtigste Kriterium der Transparenz der Begutachtung sei die Beschreibung des Produktes, über die eine dauernde Weiterentwicklung von Produktstandards erreicht werde und über welche die Betroffenen, deren Daten verarbeitet werden, sowie mögliche Wettbewerber die Berechtigung eines Zertifikats überprüfen könnten.

Auch die vorgeschlagenen Verfahren für Rücknahme und Widerruf von Zertifizierungen erscheinen dem ULD zu kompliziert. Bei den Folgeverordnungen habe das Ministerium zudem die entscheidenden Voraussetzungen für die Bestellung der Sachverständigen und die inhaltlichen Anforderungen des Datenschutzes und der Datensicherheit an die Eigenschaften des Verfahrens oder Produktes vergessen. Laut Weichert geht es nun um das Finden einer Lösung, "die eine hohe Akzeptanz bei allen Beteiligten und Betroffenen findet und zugleich zu einer Verbesserung des präventiven Datenschutzes beiträgt". (Stefan Krempl) / (jk)