Echte Mehrwerte beim Datenschutzgütesiegel schaffen

Die Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) hält den vom Bundesministerium des Innern vorgelegten Entwurf eines Bundesdatenschutzauditgesetzes (BDSAuditG) insbesondere im Hinblick auf eine möglichst breite Akzeptanz des geplanten Datenschutz-Gütesiegels in Wirtschaft und Verwaltung für nachbesserungsbedürftig.

Nach dem Entwurf soll Unternehmen die Möglichkeit eröffnet werden, sich freiwillig einem gesetzlich geregelten, unbürokratischen Datenschutzaudit zu unterziehen. Dabei sollen Sachverständige bewerten, ob Datenschutzkonzepte beziehungsweise technische Einrichtungen mit den Vorschriften über den Datenschutz vereinbar sind. Bei erfolgreichem Abschluss des Audits soll den Antragstellern ein Siegel verliehen werden, das diese öffentlichkeits- und werbewirksam einsetzen können.

Nach Auffassung der GDD wird dem Datenschutz-Gütesiegel nur dann der gewünschte Erfolg beschieden sein, wenn bundeseinheitlich harmonisierte Anforderungen an die Zertifizierung und die Qualifikation der Sachverständigen gestellt werden.

Als zentrale Akkreditierungsinstanz für die Sachverständigen empfiehlt der Verband die IHK-Organisation, da diese bereits Erfahrung in der öffentlichen Bestellung von Sachverständigen hat. Der Gesetzentwurf sieht demgegenüber eine dezentrale Akkreditierung durch die jeweilige Datenschutzaufsichtsbehörde am Sitz der Niederlassung des Sachverständigen vor. Um der Forderung des Bundestages nach einem unbürokratischen Datenschutzaudit nachzukommen, müssten die akkreditierten Gutachter ohne weitere bürokratische Zwischenschritte im gesamten Bundesgebiet tätig werden können.

Die GDD kritisiert neben einer unzureichenden Regelung der Qualifikation der Gutachter insgesamt eine unzulängliche gesetzliche Beschreibung des Auditierungsverfahrens. Eine solche sei aber nach § 9a BDSG ausdrücklich gefordert. Die Zertifizierung datenschutzgerechter Produkte schaffe Transparenz und Vertrauen. Was die vorgesehene Auditierung gesamter Daten verarbeitender Stellen beziehungsweise der dort eingesetzten Datenverarbeitungsverfahren anbelangt, sieht der Verband allerdings nur dort einen Nutzen, wo die Verarbeitung personenbezogener Daten zum Kerngeschäft gehört. Dies sei beispielsweise bei Datenverarbeitungsdienstleistern der Fall, die von Gesetzes wegen sorgfältig auszuwählen seien und schon von daher ein Datenschutz-Gütesiegel als Qualitäts- und Wettbewerbsvorteil verwenden könnten. Die GDD weist ferner darauf hin, dass Änderungen eines zertifizierten Datenschutzkonzeptes nur dann zum Verfall des Gütesiegels führen dürften, wenn zuvor der zuständige Sachverständige eine negative Auswirkung auf das Datenschutzniveau festgestellt habe.

Insgesamt plädiert die GDD für eine akzeptanzfähigere Ausgestaltung des Datenschutzaudits, dessen Verfahren durch eine sachgerechte Einbindung der fach- und unternehmenskundigen Datenschutzbeauftragten verschlankt werden könne. Anstatt den Unternehmen erhebliche Bußgelder schon für fahrlässig unbefugte Verwendungen des Gütesiegels anzudrohen, sollten besser echte Anreize zur Zertifizierung gesetzt werden. In diesem Zusammenhang kommt aus Sicht der GDD der Verzicht auf anlassunabhängige Kontrollen der Datenschutzaufsichtsbehörden in Bezug auf bereits zertifizierte Verfahren in Betracht.