Datenschutz-Audit: Warten auf den Adler

Im Innenausschuss des Bundestags plädierten Experten bei einer Anhörung für eine rasche gesetzliche Umsetzungsregelung für die bereits vorgesehene Möglichkeit für Unternehmen oder Behörden, bundesweit mit Gütesiegeln für die Einhaltung der gesetzlich vorgeschriebenen Regeln zum Schutz der Privatsphäre zu werben. Viele Institutionen hätten bereits versucht, sich als Zertifizierungsinstanzen für ein entsprechendes Datenschutz-Audit ins Spiel zu bringen, berichtete Andreas Jaspers, Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung (GDD). Weit gekommen wären die meisten aber nicht. Jeder warte daher offenbar nun "auf den Adler", rief Jaspers den Bundesgesetzgeber zum Handeln auf.

Dieser hat im Rahmen der jüngsten Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahr 2001 zwar in Paragraph 9a eine prinzipielle Regelung für ein Datenschutz-Audit erlassen. Das für die Umsetzung erforderliche Ausführungsgesetz fehlt aber nach wie vor. Der Bund komme einfach "nicht in die Hufe", beklagt Johann Bizer, stellvertretender Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD). Das nördliche Bundesland selbst zeige dagegen seit Jahren mit seinem zweistufigen Konzept der Zertifizierung von Datenschutzprodukten und ­verfahren, wie Datenschutz erfolgreich zu einem Wettbewerbsfaktor werde.

Das ULD selbst hat für das Audit allgemeine Kriterien aufgestellt. Deren Einhaltung wird von externen Gutachterinstanzen überprüft, das Ergebnis von dem Zentrum abgenommen oder gegebenenfalls mit Nachforderungen versehen an die ein Gütesiegel wünschende Organisation zurückgeschickt. Kontrolliert wird sowohl das Datenschutzmanagement, für das es gewisse Prozesse geben muss, als auch die eingesetzten Verfahren. "Die Schweiz hat unseren Anforderungskatalog mit unserer Zustimmung wortwörtlich übernommen", freute sich Bizer über den Vorbildcharakter der ULD-Vorgaben. Mit der Prüfung eines Update-Verfahrens von Microsoft habe das schleswig-holsteinische Gütesiegel zudem international Anerkennung gefunden. Eine Bundesregelung sei aber sinnvoll, um die Zulassung der Gutachter zu regeln, den Anwendungsbereich des Gütesiegels erweitern sowie die einfachere Auditierung von Verfahren der Datenverarbeitung in der Wirtschaft zu ermöglichen. Dem ULD lägen bereits mehrere Anfragen von Firmen vor, die aufgrund der beschränkten Rechtslage in Schleswig-Holstein nicht erfüllt werden könnten.

Christian Thorun vom Bundesverband der Verbraucherzentralen (vzbv) setzt ebenfalls auf die Siegel: "Datenschutz muss irgendwie sichtbar gemacht werden", ist er sich sicher. Für ein Audit müsse es daher bundesweit einheitliche und klar definierte Kriterien geben, die von einer unabhängigen Instanz zu überprüfen seien. Die Gefahr der Irreführung der Konsumenten bestehe zwar, griff Thorun die Kritik an der Gütesiegel-Verleihung für Microsoft auf, da die Prüfung des "Schnitzelchens" des Update-Prozesses viel zu kurz greife und rasch allgemein auf Produkte der Redmonder übertragen werden könnte. Erstrebenswert wäre es daher, letztlich ein gesamtes Unternehmen zu auditieren. Aber auch Zwischenschritte seien sinnvoll.

Die Widerstände aus Reihen der Wirtschaft gegen ein Umsetzungsgesetz des Bundes beruhten vor allem auf Befürchtungen, dass ganze Firmen überprüft und Konzerndatenschutzbeauftragte nicht eingebunden würden. Auch der Bundesdatenschutzbeauftragte Peter Schaar sprach sich dennoch dafür aus, dass bei einzelnen Konzernen wie der Schufa, die quasi nur personenbezogene Daten verarbeiten würden, ein Datenschutzkonzept insgesamt geprüft werden sollte. Die größten Vorteile in kürzester Zeit können ihm zufolge aber Firmen erzielen, die einzelne elektronische Dienstleistungen erbringen.

Der Bundesgesetzgeber sollte laut Schaar Vorgaben etwa zum Vergabeprozess der Siegel machen, darüber hinaus aber auch bei öffentlichen Ausschreibungen eine Bevorzugung von Firmen mit passenden Zertifikaten bei ansonsten gleichwertigen Angeboten vorschreiben. "Wir brauchen einen bundeseinheitlichen Rahmen", ergänzte Karsten Neumann, Landesdatenschutzbeauftragter von Mecklenburg-Vorpommern. Die Aufsichtsbehörden in den Ländern sollten aber letztlich entscheiden, ob auch landesspezifische Regelungen eingehalten werden. (Stefan Krempl) / (jk)