Scharfe Kritik am geplanten bundesweiten Datenschutzaudit

Experten ließen bei einer Anhörung im Innenausschuss des Bundestags am heutigen Montag kaum ein gutes Haar am Regierungsentwurf für ein Gesetz zur Vergabe eines Datenschutz-Gütesiegels. Die Einführung eines Auditverfahrens sei zwar im Prinzip gut für den Wettbewerb, betonte der Hamburger Verwaltungsrechtler Hans Peter Bull, "es sollte um ein Zeichen gehen, dass Unternehmen die Vorschriften des Datenschutzrechts ernst nehmen." Das vom Parlament derzeit beratene Vorhaben des Bundeskabinetts zeichne sich aber durch eine "bürokratische Überkomplizierung und ein umständliches Verfahren" aus.

Die Initiative "geht an der Praxis vollkommen vorbei", bemängelte Karin Schuler von der Deutschen Vereinigung für Datenschutz (DVD). So fehle es etwa an handhabbaren Kriterien, was überhaupt zertifiziert werde solle. Vage sei hier allein von "Konzepten und Systemen" die Rede. Nötig sei daher eine inhaltliche Ausgestaltung etwa durch Vorschriften zur Prüfung der Umsetzung und Organisation von Datenschutzbestimmungen. Schuler empfahl ferner eine Ausrichtung an internationalen Normen, wie sie etwa bei der ISO im Bereich IT-Sicherheit bestünden. Zu trennen sei zudem zwischen Gutachtern und den eigentlichen Vergabestellen der Siegel, was der Entwurf in einer Instanz vermenge.

Laut Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), ist ein Auditgesetz "absolut notwendig", da der Markt nach diesem Instrument "schreit". Es müsse aber ein qualifiziertes Gütesiegel sein, das erst nach erfolgter Prüfung durch eine unabhängige Stelle verliehen werden dürfe. Dass in dem bisher vorgesehenen Ausschuss zur Festlegung von Vergabekriterien nur "Interessenvertreter" sitzen sollen, würde zu einem "Billig-Siegel" und "Placebo" führen. In Schleswig-Holstein, wo die Landesdatenschutzbehörde bereits seit Jahren Gütesiegel verteilt, gebe es einen "20 Seiten dicken Anforderungskatalog", demzufolge etwa die materielle Rechtmäßigkeit von Verfahren, Produkten oder Dienstleistungen, die Wahrung der Betroffenenrechte oder technisch-organisatorische Maßnahmen zum Datenschutzmanagement von zwei Seiten zu prüfen seien.

Zugleich räumte Weichert mit Vorbehalten auf, wonach ein Auditverfahren gerade für Mittelständler nicht zu bezahlen sei. Bei einer aufwendigen Begutachtung wie etwa im Fall Microsoft mit nötigen USA-Reisen komme man zwar auf einen sechsstelligen Betrag. In der Regel schlage die externe Begutachtung aber mit rund 5500 Euro zu Buche, die zusätzliche Abnahme durch das ULD bleibe unter diesem Wert.

Viele der Vorgaben aus dem Norden könne der Bund in einer Ausführungsrichtlinie zum Datenschutzauditgesetz direkt übernehmen, machte auch der Bundesdatenschutzbeauftragte Peter Schaar den Abgeordneten Mut zur weiteren Behandlung des Themas. Bereichsspezifische Zusatzmodule mit Konkretisierungen etwa für die Anwendung von RFID-Chips im Handel oder die Prüfung von Webshops sollten aber zusätzlich noch aufgenommen werden. Gemeinsam mit Verbraucherschützern wandte sich Schaar entschieden gegen den Ansatz des jetzigen Entwurfs, das Gütesiegel bereits bei der Anmeldung für ein Zertifizierungsverfahren zu verleihen. Die eigentliche Begutachtung im Anschluss könne sich schließlich eine Weile hinziehen.

Umstritten blieb unter den Sachverständigen, ob der Gesetzgeber schon die Einhaltung der Datenschutzbestimmungen mit einer Auszeichnung belohnen solle oder nur einen Mehrwert bei der Sicherung der Privatsphäre. Die Mehrheit plädierte im Sinne der Bundesregierung dafür, dass für den Siegelerhalt ein "Kick" und "Bonbon" über die gesetzlichen Regelungen hinaus nachgewiesen werden sollte. Sonst könnten Firmen, die sich nicht um eine Zertifizierung bemühen, in Verdacht geraten, zu den schwarzen Schafen im Umgang mit persönlichen Daten zu gehören.

Siehe zu der Anhörung auch:

• Expertenstreit im Bundestag um Datenschutzreform

(Stefan Krempl) / (pmz)