Titelthema | Vorsicht vor Datendieben

Geprüfter Datenschutz

Zertifizierungen

0Kommentare

Unternehmen setzen Güte­siegel und Zer­ti­f­ikate ein, um die Da­ten­schutz­quali­tät ihrer Pro­dukte und Dienst­leis­tun­gen nach­zu­weisen. Dem gehen eine in­ten­sive Prü­fung und Zerti­fi­zie­rung vo­raus. Dafür sind va­lide Prüf­kri­te­rien und gut aus­ge­bil­dete Prüf­gut­achter not­wendig.

Auf das Streben nach Erzielung von Kundenvertrauen kann kein Unternehmen verzichten. Es wird für Gewerbebetriebe teilweise ähnlich wertvoll wie das Vertrauen, das Mandanten in ihren Steuerberater setzen. Denn wenn heutzutage viele Produkte und Dienstleistungen in ihrer grundsätzlichen Qualität und Ausstattung sich ähnlicher werden (zum Beispiel Automobile), dann kann Vertrauen zu einem wichtigen Unterscheidungsmerkmal wachsen. Die bei Konsumenten vorhandenen Einschätzungen der eigenen Integrität sollte jeder Anbieter ernst nehmen. Erst recht gilt dies in einem digitalen Umfeld, in dem hinter vielen gewerblichen Angeboten derart komplexe technische Sachverhalte stehen, dass die nachfragenden Marktteilnehmer sie nicht komplett erfassen können. Besonders dort, wo mit schützenswerten personenbezogenen Daten umgegangen wird – mittels dem Endkunden meist unbekannter Programme und Algorithmen –, gewinnt Verbrauchervertrauen massiv an Bedeutung: Wenn ich die Datenverarbeitungsvorgänge meines Vertragspartners nicht technisch durchdringen kann, dann muss ich ihm in großem Ausmaß schlicht vertrauen. Vertrauen können muss ich darauf, dass sich mein Gegenüber rechtstreu verhält, dass er IT-Sicherheit großschreibt und dass er dem Schutz meiner Privatsphäre besonderes Augenmerk widmet. Vertrauen muss jedoch erworben werden, und es muss mit konkreten Anhaltspunkten untermauert werden. Ein bloßes Erklären und Behaupten von Rechtskonformität oder besonderem Schutzaufwand durch ein Unternehmen selbst wird kritischen Verbrauchern und ebenso Mandanten nicht ausreichen. Nötig ist Unterstützung von außen. Hier kommen unabhängige Stellen ins Spiel, die von Prüfung und Auszeichnung von Datenschutzmanagement und technisch-organisatorischen Maßnahmen beim Vertrauensaufbau und -ausbau helfen können.

Konzept der Datenschutzzertifizierung

Gütesiegel und Zertifikate zum Datenschutz können als unterscheidende Merkmale der geprüften Datenschutzqualität von Produkten, Dienstleistungen oder gar ganzen Unternehmen eingesetzt werden. Die Anbieter können Prüfzeichen werbend hervorheben. Sie erleichtern Kunden die Entscheidung zwischen verschiedenen Anbietern und Angeboten und können die Annäherung von Kunden an neue Technologien und Geschäftsmodelle erleichtern. Die Prüfzeichen belohnen den zu ihrer Erlangung betriebenen Aufwand mit einer zusätzlichen Werbemöglichkeit und bestenfalls Vorteilen im Wettbewerb. Einer Zertifikats- oder Gütesiegelverleihung geht eine intensive Prüfung voraus. Diese Auditierung wird meist von selbstständigen Gutachtern und IT-Sachverständigen vorgenommen. Sie müssen als sogenannte Prüfstellen organisatorisch vom zu begutachtenden Unternehmen unabhängig sein. Auch sollten die Prüfstellen zumindest personell von derjenigen Stelle getrennt sein, die am Prozessende das Zertifikat/Siegel verleiht (Zerti­fi­zie­rungs­stelle). Die Prüfstelle muss in jedem Fall die für die inhaltliche Begutachtung not­wen­dige Fach­kunde und Erfahrung haben und nachweisen können. Die Prüfung erfolgt anhand eines ein­heit­lichen oder modularen Kriterienkatalogs, der dem Stand der Technik ent­sprechen muss und dem tech­no­logischen Fortschritt regelmäßig anzupassen ist. Das Aufstellen der Kriterien durch eine unabhängige Stelle macht derlei Anpassungen schneller möglich, als sie es in einem Gesetzgebungsverfahren wären. Die betrieblichen Datenschutzbeauftragten werden in den konkreten Prüfprozess eingebunden. Ihre Kenntnisse sind für die am Beginn der Auditierung regelmäßig durchzuführende Bestandsaufnahme unverzichtbar. Die nach bestandener Prüfung verliehenen Zertifikate und Gütesiegel haben meist eine begrenzte Gültigkeitsdauer. Für deren Verlängerung müssen regelmäßig sogenannte Rezertifizierungsprozesse durchlaufen werden. Bei der dazu nötigen erneuten Prüfung wird wiederum unabhängig festgestellt, ob die Vo­raus­set­zun­gen für das Werben mit dem Prüfzeichen weiter erfüllt sind, auch im Hinblick auf technische Modifikationen.

Voraussetzungen für den Erfolg

Damit Zertifizierungen im Bereich des Datenschutzes ihren Zweck erreichen, müssen gleich mehrere grundlegende Bedingungen erfüllt sein. Ein gut strukturierter Katalog valider Prüf­kri­te­rien und gut ausgebildete Prüfgutachter sind zwar unverzichtbar, aber längst nicht aus­rei­chend, damit Datenschutzzertifikate auch wirklich Wettbewerbsvorteile generieren und bei der Gewinnung von Verbrauchervertrauen helfen können. Zu den wichtigsten Faktoren zählen Transparenz und Bekanntheit. Verbraucher werden nur dann einem zertifizierten Produkt mehr Vertrauen schenken als einem nichtzertifizierten, wenn sie auch dem Zertifikat selber vertrauen. Dazu müssen sie es selbstverständlich zunächst einmal kennen und wiedererkennen. Und weiter müssen sie die Umstände seiner Verleihung zumindest ganz grob erfasst haben.

Marktübersicht

Die Stiftung Datenschutz nimmt als unabhängige Einrichtung auf Bundesebene die Aufgabe wahr, auf Transparenz und Vereinheitlichung hinzuwirken. Sie hat eine Übersicht der in Deutsch­land angebotenen Datenschutzgütesiegel und Datenschutzzertifikate erstellt, um Unter­neh­men, die an einer Über­prü­fung ihrer Bemühungen um den Datenschutz interessiert sind, die Wahl eines Anbieters zu erleichtern. Derzeit bestehen über 41 voneinander unabhängige Sys­teme (siehe Markt­über­sicht auf stiftungdatenschutz.org). Bei den Zertifikats- und Siegel­an­bie­tern be­steht großen­teils Einigkeit bei der Auswahl der Prüfgrundlagen, durchaus aber unterschiedlich aus­ge­prägt sind Transparenz und Erfahrung.

Europäische Perspektive

Entscheidend für die zukünftige Entwicklung wird es sein, ob diese nach dem abgeschlossenen Rechtsetzungsprozess zur europäischen Datenschutzreform auch in Bezug auf die Zertifizierung mit Leben gefüllt wird. Die Art. 39 und 39a der neuen EU-Datenschutzgrundverordnung enthalten bereits gewisse Vorgaben zur Datenschutzzertifizierung. So ist vorgesehen, dass sich die Zer­ti­fi­zie­rungs­stellen bei der für sie zuständigen Aufsichtsbehörde akkreditieren lassen müssen (bisher keine Pflicht in Deutschland). Zudem wurde klargestellt, dass das Tragen eines euro­pä­ischen Siegels nicht von der Verantwortlichkeit zur Einhaltung des Rechts aus der Ver­ord­nung ent­bin­det und dass die Aufsichtsbehörden nicht an die Feststellungen des Zer­ti­fi­zie­rungs­ver­fahrens ge­bun­den sind (auch bisher Rechtslage in Deutschland). Die Möglichkeit, Datenschutzzertifizierungen durchzuführen und Zertifikate auszustellen, haben nach dem kom­men­den euro­pä­ischen Recht (weiterhin) auch private Stellen, wie zum Beispiel der TÜV. In der Praxis wird es auch auf die Unterstützung durch die EU-Kommission und durch die Mitgliedstaaten ankommen. Die euro­pä­ische Vereinheitlichung des Datenschutzrechts ist durchaus geeignet, die Daten­schutz­zer­ti­fi­zie­rung und damit ein gutes Instrument zur Gewinnung von Kundenvertrauen voranzubringen. So werden insbesondere große und internationale Anbieter digitaler Dienst­leis­tungen einer Zertifizierung interessierter gegenübertreten, wenn zukünftig EU-weite Gültigkeit (und damit Bewerbbarkeit) eines Zertifikats besteht. Nur ein einziges Zertifikat zum Datenschutz erwerben zu müssen, welches dann in 28 EU-Mitgliedstaaten Geltung hat, kann die Bereitschaft, seine Dienste zertifizieren zu lassen, massiv fördern.

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.