Datenschutz-TÜV

Nach den Anschlägen vom 11. September galt Datenschutz plötzlich als Sicherheitsrisiko. Die Befugnisse für Polizei und Geheimdienste wurden erweitert; die Hüter der Privatsphäre gerieten in die Defensive.

Auch in Unternehmen kämpfen Datenschützer mit einem Negativ-Image: Sie gelten als Bremser oder gar als Verhinderer. Doch gerade in der privaten Wirtschaft, die immer größere Mengen personenbezogener Daten speichert und verarbeitet, sehen die Privacy-Wächter eine Chance, ihre Belange positiv und - nebenbei gesagt - auch für Geld zu verkaufen.

Mit vorbildlichem Datenschutz sollen Unternehmen Kunden werben, so zumindest die Vision. Vor allem im Internet wittern die Datenschützer schon länger einen Wachstumsmarkt, schließlich ist die Datensammelei dort besonders verbreitet und gleichzeitig besonders einfach zu bewerkstelligen.

Ein neues, speziell für Websites entwickeltes Datenschutz-Zertifikat könnte Verbrauchern künftig bei der Suche nach seriösen Online-Angeboten behilflich sein. Entwickelt hat die ‘internet privacy standards’ (ips) die Datenschutz Nord GmbH (www.datenschutz-nord.de), ein Unternehmen der Freien Hansestadt Bremen, das die Kriterien mit den Landesdatenschutzbeauftragten aus Schleswig-Holstein, Bremen, Hamburg und Niedersachsen abstimmte.

Um die eigene Website werbewirksam mit dem ips-Logo schmücken zu können, müssen verschiedene Anforderungen erfüllt werden. Dazu gehören nicht nur die Einhaltung der Datenschutzbestimmungen und eine sichere Betriebsorganisation inklusive der entsprechenden Hardware, sondern auch allgemeine Belange des Verbraucherschutzes - etwa die schnelle Bearbeitung von Kundenanfragen und Angebote zur Streitschlichtung. Details wie Bezahlvorgänge, E-Mail-Abwicklung, User-Foren oder Cookies untersuchen und bewerten die Gutachter gesondert.

K.-o.-Kriterien

Sind die Anforderungen in einem Bereich erfüllt, gibt es zwei Punkte; bei Mängeln einen oder gar keinen. Geht ein Anbieter über die gesetzlichen Anforderungen hinaus, können auch drei Punkte vergeben werden. Die Gesamtnote ergibt sich aus der gewichteten Summe der geprüften Bereiche. Mängel in einem Bereich können so unter Umständen mit ‘überobligatorischer Umsetzung’ in anderen Bereichen kompensiert werden. Bestimmte Punkte, zum Beispiel die Anbieterkennzeichnung (Impressum) gelten als K.-o.-Kriterium. Eine Website ohne Impressum bekommt also auch dann kein ips-Logo, wenn sie ansonsten überall mit drei Punkten bewertet wurde.

Die Zertifizierung übernimmt entweder die Datenschutz Nord GmbH oder ein selbstständiger, von dieser anerkannter Gutachter mit entsprechender Erfahrung in den Bereichen Datenschutz und Datensicherheit. Der Preis hängt vom Umfang des Webangebots ab und wird individuell verhandelt.

Langfristig möchte die Datenschutz Nord GmbH mit ips ein Standardzertifikat für Webseiten etablieren. Das im Mai 2001 in Kraft getretene Bundesdatenschutzgesetz sieht im neuen § 9a ausdrücklich die Vergabe von Datenschutz-Gütesiegeln vor, ohne dies jedoch im Detail zu regeln. Die Anforderungen an die Prüfung, Bewertung, das Verfahren sowie die Zulassung der Gutachter sollen demnach durch ein ‘besonderes Gesetz’ definiert werden, das bislang noch nicht beschlossen wurde.

Gleichwohl existieren bereits entsprechende Zertifikate. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD, www.datenschutzzentrum.de) vergibt seit Anfang 2002 ein Gütesiegel für Hard- und Softwareprodukte, die im öffentlichen Bereich eingesetzt werden können. Anders als ips fußt dieses Siegel auf einer gesetzlichen Grundlage, dem schleswig-holsteinischen Landesdatenschutzgesetz. Bei öffentlichen Ausschreibungen im nördlichsten Bundesland werden Produkte mit Gütesiegel bevorzugt - so will es das Gesetz. Vergeben wurde das Siegel bislang nur ein einziges Mal: Mitte Dezember an einen Akten- und Datenträgervernichter. Im Jahr 2003 rechnet das ULD mit 15 Zertifizierungen.

Cola ganz privat

Die Frankfurter Firma quid! (www.quid.de) vermarktet gemeinsam mit der TÜV Informationstechnik GmbH (TÜVIT) ein gleichnamiges Gütezeichen, das den gesamten betrieblichen Datenschutz bewertet, also umfassender aufgestellt ist als die Gütesiegel aus Bremen und Kiel. Auch quid!, das aus einem Forschungsprojekt der Fachhochschule Frankfurt entstand, vermeldet erst einen einzigen Kunden: die Coca-Cola Erfrischungsgetränke AG - Deutschlands größter Getränkehersteller.

Das ips-Logo hingegen prangt noch auf keiner einzigen Website. Datenschutz-Nord-Sprecher Oliver Stutz kündigte gegenüber c't die bevorstehende Zertifizierung von drei Unternehmensauftritten an, darunter sei auch ein Energieversorger.

Welches Zertifikat ist nun das richtige? Die drei Gütesiegel haben verschiedene Zielgruppen im Visier, es gibt aber auch Überschneidungen. Die Anbieter geben sich jedenfalls kollegial: ‘Wir führen Gespräche mit quid! und Datenschutz Nord und wollen eine Kooperation einrichten’, berichtet Anja Diek vom Kieler Landeszentrum für Datenschutz. Sie sieht das Nebeneinander dreier Zertifikate sogar als ‘Bereicherung und Qualitätssicherung’ für den Datenschutz. Kompatibel gestaltete Anforderungskataloge sollen ihrer Meinung nach ein Zertifikate-Wirrwarr verhindern und dem Datenschutz-Audit zum Durchbruch verhelfen.

Für Verbraucher und für Unternehmen, die sich zertifizieren lassen wollen, bleibt die Lage unübersichtlich. Ohne etablierten Standard lassen sich misstrauische Kunden nicht gewinnen, eine teure Zertifizierung zahlt sich für Unternehmer kaum aus - ein klassisches Henne-Ei-Problem. (hod) (ole)