Unternehmen setzen Gütesiegel und Zertifikate ein, um die Datenschutzqualität ihrer Produkte und Dienstleistungen nachzuweisen. Dem gehen eine intensive Prüfung und Zertifizierung voraus. Dafür sind valide Prüfkriterien und gut ausgebildete Prüfgutachter notwendig.
Auf das Streben nach Erzielung von Kundenvertrauen kann kein Unternehmen verzichten. Es wird für Gewerbebetriebe teilweise ähnlich wertvoll wie das Vertrauen, das Mandanten in ihren Steuerberater setzen. Denn wenn heutzutage viele Produkte und Dienstleistungen in ihrer grundsätzlichen Qualität und Ausstattung sich ähnlicher werden (zum Beispiel Automobile), dann kann Vertrauen zu einem wichtigen Unterscheidungsmerkmal wachsen. Die bei Konsumenten vorhandenen Einschätzungen der eigenen Integrität sollte jeder Anbieter ernst nehmen. Erst recht gilt dies in einem digitalen Umfeld, in dem hinter vielen gewerblichen Angeboten derart komplexe technische Sachverhalte stehen, dass die nachfragenden Marktteilnehmer sie nicht komplett erfassen können. Besonders dort, wo mit schützenswerten personenbezogenen Daten umgegangen wird – mittels dem Endkunden meist unbekannter Programme und Algorithmen –, gewinnt Verbrauchervertrauen massiv an Bedeutung: Wenn ich die Datenverarbeitungsvorgänge meines Vertragspartners nicht technisch durchdringen kann, dann muss ich ihm in großem Ausmaß schlicht vertrauen. Vertrauen können muss ich darauf, dass sich mein Gegenüber rechtstreu verhält, dass er IT-Sicherheit großschreibt und dass er dem Schutz meiner Privatsphäre besonderes Augenmerk widmet. Vertrauen muss jedoch erworben werden, und es muss mit konkreten Anhaltspunkten untermauert werden. Ein bloßes Erklären und Behaupten von Rechtskonformität oder besonderem Schutzaufwand durch ein Unternehmen selbst wird kritischen Verbrauchern und ebenso Mandanten nicht ausreichen. Nötig ist Unterstützung von außen. Hier kommen unabhängige Stellen ins Spiel, die von Prüfung und Auszeichnung von Datenschutzmanagement und technisch-organisatorischen Maßnahmen beim Vertrauensaufbau und -ausbau helfen können.
Konzept der Datenschutzzertifizierung
Gütesiegel und Zertifikate zum Datenschutz können als unterscheidende Merkmale der geprüften Datenschutzqualität von Produkten, Dienstleistungen oder gar ganzen Unternehmen eingesetzt werden. Die Anbieter können Prüfzeichen werbend hervorheben. Sie erleichtern Kunden die Entscheidung zwischen verschiedenen Anbietern und Angeboten und können die Annäherung von Kunden an neue Technologien und Geschäftsmodelle erleichtern. Die Prüfzeichen belohnen den zu ihrer Erlangung betriebenen Aufwand mit einer zusätzlichen Werbemöglichkeit und bestenfalls Vorteilen im Wettbewerb. Einer Zertifikats- oder Gütesiegelverleihung geht eine intensive Prüfung voraus. Diese Auditierung wird meist von selbstständigen Gutachtern und IT-Sachverständigen vorgenommen. Sie müssen als sogenannte Prüfstellen organisatorisch vom zu begutachtenden Unternehmen unabhängig sein. Auch sollten die Prüfstellen zumindest personell von derjenigen Stelle getrennt sein, die am Prozessende das Zertifikat/Siegel verleiht (Zertifizierungsstelle). Die Prüfstelle muss in jedem Fall die für die inhaltliche Begutachtung notwendige Fachkunde und Erfahrung haben und nachweisen können. Die Prüfung erfolgt anhand eines einheitlichen oder modularen Kriterienkatalogs, der dem Stand der Technik entsprechen muss und dem technologischen Fortschritt regelmäßig anzupassen ist. Das Aufstellen der Kriterien durch eine unabhängige Stelle macht derlei Anpassungen schneller möglich, als sie es in einem Gesetzgebungsverfahren wären. Die betrieblichen Datenschutzbeauftragten werden in den konkreten Prüfprozess eingebunden. Ihre Kenntnisse sind für die am Beginn der Auditierung regelmäßig durchzuführende Bestandsaufnahme unverzichtbar. Die nach bestandener Prüfung verliehenen Zertifikate und Gütesiegel haben meist eine begrenzte Gültigkeitsdauer. Für deren Verlängerung müssen regelmäßig sogenannte Rezertifizierungsprozesse durchlaufen werden. Bei der dazu nötigen erneuten Prüfung wird wiederum unabhängig festgestellt, ob die Voraussetzungen für das Werben mit dem Prüfzeichen weiter erfüllt sind, auch im Hinblick auf technische Modifikationen.
Voraussetzungen für den Erfolg
Damit Zertifizierungen im Bereich des Datenschutzes ihren Zweck erreichen, müssen gleich mehrere grundlegende Bedingungen erfüllt sein. Ein gut strukturierter Katalog valider Prüfkriterien und gut ausgebildete Prüfgutachter sind zwar unverzichtbar, aber längst nicht ausreichend, damit Datenschutzzertifikate auch wirklich Wettbewerbsvorteile generieren und bei der Gewinnung von Verbrauchervertrauen helfen können. Zu den wichtigsten Faktoren zählen Transparenz und Bekanntheit. Verbraucher werden nur dann einem zertifizierten Produkt mehr Vertrauen schenken als einem nichtzertifizierten, wenn sie auch dem Zertifikat selber vertrauen. Dazu müssen sie es selbstverständlich zunächst einmal kennen und wiedererkennen. Und weiter müssen sie die Umstände seiner Verleihung zumindest ganz grob erfasst haben.
Marktübersicht
Die Stiftung Datenschutz nimmt als unabhängige Einrichtung auf Bundesebene die Aufgabe wahr, auf Transparenz und Vereinheitlichung hinzuwirken. Sie hat eine Übersicht der in Deutschland angebotenen Datenschutzgütesiegel und Datenschutzzertifikate erstellt, um Unternehmen, die an einer Überprüfung ihrer Bemühungen um den Datenschutz interessiert sind, die Wahl eines Anbieters zu erleichtern. Derzeit bestehen über 41 voneinander unabhängige Systeme (siehe Marktübersicht auf stiftungdatenschutz.org). Bei den Zertifikats- und Siegelanbietern besteht großenteils Einigkeit bei der Auswahl der Prüfgrundlagen, durchaus aber unterschiedlich ausgeprägt sind Transparenz und Erfahrung.
Europäische Perspektive
Entscheidend für die zukünftige Entwicklung wird es sein, ob diese nach dem abgeschlossenen Rechtsetzungsprozess zur europäischen Datenschutzreform auch in Bezug auf die Zertifizierung mit Leben gefüllt wird. Die Art. 39 und 39a der neuen EU-Datenschutzgrundverordnung enthalten bereits gewisse Vorgaben zur Datenschutzzertifizierung. So ist vorgesehen, dass sich die Zertifizierungsstellen bei der für sie zuständigen Aufsichtsbehörde akkreditieren lassen müssen (bisher keine Pflicht in Deutschland). Zudem wurde klargestellt, dass das Tragen eines europäischen Siegels nicht von der Verantwortlichkeit zur Einhaltung des Rechts aus der Verordnung entbindet und dass die Aufsichtsbehörden nicht an die Feststellungen des Zertifizierungsverfahrens gebunden sind (auch bisher Rechtslage in Deutschland). Die Möglichkeit, Datenschutzzertifizierungen durchzuführen und Zertifikate auszustellen, haben nach dem kommenden europäischen Recht (weiterhin) auch private Stellen, wie zum Beispiel der TÜV. In der Praxis wird es auch auf die Unterstützung durch die EU-Kommission und durch die Mitgliedstaaten ankommen. Die europäische Vereinheitlichung des Datenschutzrechts ist durchaus geeignet, die Datenschutzzertifizierung und damit ein gutes Instrument zur Gewinnung von Kundenvertrauen voranzubringen. So werden insbesondere große und internationale Anbieter digitaler Dienstleistungen einer Zertifizierung interessierter gegenübertreten, wenn zukünftig EU-weite Gültigkeit (und damit Bewerbbarkeit) eines Zertifikats besteht. Nur ein einziges Zertifikat zum Datenschutz erwerben zu müssen, welches dann in 28 EU-Mitgliedstaaten Geltung hat, kann die Bereitschaft, seine Dienste zertifizieren zu lassen, massiv fördern.
Mehr DAZU
MEHR DAZU
Zum Thema Datenschutz haben wir folgende Dialogseminare online live TeleTax
Datenschutzgrundlagen – Mitarbeiterunterweisung 2016, Art.-Nr. 76107
Achtung Datenschutz: Allgemeine Anforderungen kennen und umsetzen, Art.-Nr. 76494
Datenschutzmaßnahmen technisch umsetzen, Art.-Nr. 76334
