1.
Allgemeines ^
Zertifizierungen sind im Zusammenhang mit der Veränderung der Qualitätsanforderungen und der Qualitätsbewirtschaftung zu sehen. Nachdem anfangs des 20. Jahrhunderts immer mehr Qualitätsüberüberprüfungen in den Unternehmen selbst vorgenommen wurden, entwickelten sich Standards, die von einer unabhängigen Institution überprüft wurden anfangs der 80er Jahre. Es wurden Systemnormen entwickelt, so konnte die Qualität der verschiedenen Unternehmen und Prozesse verglichen werden. Für den Nachweis, dass ein (Qualitäts-)System funktioniert, ein Verfahren, ein Ablauf, eine Dienstleistung einer bestimmten Anforderung entspricht, war ein Zertifikat notwendig – erteilt durch eine unabhängige Institution1. Zertifizieren lassen können sich ganze Unternehmen oder Teile davon, einzelne Prozesse, Produkte oder auch Personen.
Inzwischen gibt es verschiedenste Normen, nationale Schemen, Labels und auch Bewertungsmodelle. Je nach Branche (z.B. Lebensmittel mit BRC Standard für Konsumgüter), Verband (z.B. Case Management) oder Anliegen (Arbeitssicherheit) gibt es eigene Zertifizierungen. Ein Gesamtüberblick ist kaum mehr möglich. Auch der Datenschutz hat eigene Anforderungen hervorgebracht.
2.
Deutschland ^
Erste Datenschutz-Zertifizierungen entwickelten sich bereits anfangs 2000: Im Landesdatenschutzgesetz Schleswig-Holstein, das am 1. Juli 2000 in Kraft trat, war eine Datenschutzprüfung für öffentliche Stellen vorgesehen: § 43 Abs. 2 LDSH SH2. Umgehend wurden Regelungen erarbeitet und auch im Frühling 2001 verabschiedet3. Damit war dies die erste in einem Gesetz vorgesehene Datenschutz-Zertifizierungsmöglichkeit.
Als Grundlage für eine Zertifizierung gibt es eine «Landesverordnung über ein Datenschutzaudit (Datenschutzauditverordnung – DSAVO)4. Diese Landesverordnung stellt eine «Sunset-Legislation» dar: das Gesetz habe eine beschränkte Gültigkeit – nämlich vom 1. Januar 2009 bis am 31. Dezember 2013.
Die Zahlen mögen ernüchternd wirken. Die Transparenz ist bezüglich der Audits und Zertifizierungen äusserst positiv: alle Kurzgutachten – wie die Berichte genannt werden – sind auf dem Netz veröffentlicht. In den Kurzgutachten ist transparent dargelegt, was geprüft wurde, wer die Prüfer waren und deren Beurteilung.
Im Bundesdatenschutzgesetz (BDSG) wurde 2001 in § 9a eine Datenschutz-Zertifizierung aufgenommen: «Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch ein besonderes Gesetz geregelt.» Danach geschah nichts mehr, bis am 7. September 2007 ein Entwurf für ein Bundesdatenschutzauditgesetz in die Vernehmlassung gegeben wurde. Grundsätzlich wurde begrüsst, dass eine Zertifizierung möglich sein sollte, die Stellungnahmen zum Entwurf waren eher verhalten; teilweise wurde der Entwurf gar als «ungeeignet» beurteilt (Deutsche Vereinigung für Datenschutz e. V.). Es macht den Eindruck, dass das Bundesdatenschutzauditgesetz eingeschlafen ist und man – sinnvollerweise – auf die europäische Datenschutzgrundverordnung wartet.
Zusammengefasst:
In Deutschland wird die Datenschutz-Zertifizierung vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein betrieben. Auch EuroPriSe (s. Kapitel 6) sowie weitere Projekte bezüglich Datenschutz und Datensicherheit werden von Schleswig-Holstein aus initiiert. Es ist davon auszugehen, dass mittelfristig der Fokus auf einer europäischen Zertifizierung liegt.
3.
Fürstentum Liechtenstein ^
Ähnlich der schweizerischen Datenschutzgesetzgebung steht auch im Datenschutzgesetz FL in Art. 14a7 zu Zertifizierung etwas – im Unterschied zur Schweiz können nicht nur Systeme, Verfahren und ihre Organisation, sondern zusätzlich auch Produkte zertifiziert werden.
Im Fürstentum Liechtenstein wird die Datenschutzstelle den Zertifizierungsprozess begleiten. Zertifizierte Unternehmen werden auf der Homepage der Datenschutzstelle aufgeführt und können von der Pflicht zur Anmeldung einer Datensammlung befreit werden.
Der Kriterienkatalog ist unterteilt in Grundsätze der Datenbearbeitung, Anforderungen an die Datensicherheit, Zulässigkeit der Datenbearbeitung, Pflichten des Inhabers einer Datensammlung, Rechte der betroffenen Personen und Anforderungen an das Datenschutzmanagementsystem. Der Kriterienkatalog ist nicht so ausführlich wie bei EuroPriSe, aber auch nicht so knapp gehalten wie die Schweizerische Richtlinie. Zwar wird auch hier in der Einleitung auf die verschiedenen ISO-Normen verwiesen, dennoch ist es nicht notwendig diese Normen zu kaufen, da die Kriterien genügend klar formuliert sind. Die Kriterien sind lesefreundlich abgefasst und ermöglichen interessierten Unternehmen eine Abschätzung der auf sie zukommenden Anforderungen. Interessant wird sein, wie viele Unternehmen sich zertifizieren lassen werden.
4.
Österreich ^
Das österreichische Datenschutzgesetz kennt keine Datenschutz-Zertifizierung8. 2008 wurde vom Bundeskanzleramt im Begleitschreiben zur DSG-Novelle um Stellungnahme gebeten, «ob die Einführung eines ‹österreichischen Datenschutz-Gütesiegels› für sinnvoll und zweckmässig erachtet» werde9. Die verschiedenen Stellungnahmen ergaben keine eindeutige Mehrheit für die Aufnahme derartiger Bestimmungen; man war eher der Meinung abzuwarten, wie sich das Europäische Gütesiegel entwickle beziehungsweise welche Bestrebungen auf EU-Ebene vonstatten gehen würden.
5.
Schweiz ^
Per 1. Januar 2008, dem in Kraft treten der Teilrevision des Datenschutzgesetzes, wurde in Art. 11 DSG10 ein Zertifizierungsverfahren aufgenommen. In der Botschaft zur Teilrevision wurde die Selbstverantwortung der Datenbearbeiter ins Zentrum gerückt. Eine Zertifizierung sollte Selbstregulierungsmechanismus fördern11. Die Erwartung war ebenfalls, dass die Zertifizierung eine kontinuierliche Verbesserung von Datenschutz und Datensicherheit erzielt und Defizite beim Vollzug der einschlägigen Gesetzgebung abgebaut werden könnten12.
Zusammen mit der Teilrevision Datenschutzgesetz trat auch die Datenschutz-Zertifizierungs-Verordnung14 in Kraft, erlassen vom Bundesrat. In dieser Verordnung werden vor allem die Anforderungen an Zertifizierungsstellen, das Verfahren der Zertifizierung und mögliche Sanktionen definiert. Zum Gegenstand der Zertifizierung werden nur marginalste Anforderungen gestellt und dem EDÖB die Richtlinienkompetenz übergeben sowie auf die ISO-Normen 9001 und 27001 verwiesen.
Diese, vom EDÖB erlassene Richtlinie15 trat erst 8 Monate später, nämlich am 1. September 2008, in Kraft. Die Richtlinie ist in 6 Artikel gegliedert, wobei wiederholt auf die ISO 27001 verwiesen wird. In deren Ziffer 4 sind die Mindestanforderungen formuliert. Die Richtlinie ist sehr dünn ausgefallen, als Hilfe wurde denn zusätzlich ein «Anhang zu den Richtlinien über die Mindestanforderungen an das DSMS» verfasst und diese wiederum durch «Erläuterungen zu den ‹Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem (DSMS)›» ergänzt. Insbesondere der Anhang zu den Richtlinien ist für eine Zertifizierung hilfreich; darin werden die Anforderungen von Ziff. 5 der Richtlinie bezüglich «Ziele und Massnahmen» genauer erklärt.
Die Erläuterungen haben vor allem die Aufgabe, die DSMS-Richtlinie in den Kontext der Rechtsordnung zu stellen und auch Parallelen zu ISO-Normen aufzuzeigen. Ehrlicherweise wurde auch festgehalten, welche Schwierigkeiten bei der Verfassung der Richtlinie bestanden habe: Akzent Datenschutz anstelle von Datensicherheit16. Trotz dieser Erläuterungen muss mindestens der Zertifizierer sehr gute Kenntnisse der ISO 27001 haben, um das zu zertifizierende Unternehmen informieren zu können. Denn ohne minimale Kenntnisse der ISO 27001 sind die Anforderungen aus den Dokumenten des EDÖB nicht genügend ersichtlich. Dies ist suboptimal und hätte sicherlich auch anders geregelt werden können (s. auch Fürstentum Liechtenstein und Deutschland).
Zertifizierte Unternehmen und zertifizierte Bundesorgane müssen ihre gestützt auf Art. 11a DSG meldepflichtigen Datensammlungen nicht mehr anmelden (Art. 11a Abs. 5 lit. f DSG), dies als Konsequenz der Förderung von Zertifizierungen und in der Annahme, dass eine Zertifizierung die Gesetzeskonformität nachweise17. Per 4. Dezember 2012 – der aktuellsten Information auf der Homepage des EDÖB – waren 9 Unternehmen nach dem DSMS zertifiziert und einer Meldung der Datensammlung entbunden (demgegenüber hatten per 16. Oktober 2013 723 Unternehmen einen betrieblichen Datenschutzbeauftragten gemeldet; diese Unternehmen sind ebenfalls von der Meldung meldepflichtiger Datensammlungen entbunden).
Bereits 2002, aufgrund einer privaten Initiative, wurde das Datenschutzgütesiegel GoodPriv@cy erarbeitet und von der SQS zertifiziert. Im Vergleich zu den 9 nach DSMS zertifizierten Unternehmen sind per 4. November 2013 60 Unternehmen, davon 4 in Österreich und 2 im Fürstentum Liechtenstein nach GoodPriv@cy zertifiziert. Von diesen 60 Unternehmen haben 7 auch die Zertifizierung nach DSMS.
Die Anforderungen nach GoodPriv@cy sind in einem Regulativ formuliert. Darin werden Anforderungen an das Datenschutzmanagementsystem (Kapitel 2), datenschutzrechtliche Anforderungen (Kapitel 3) und Anforderungen an die Informationssicherheit (Kapitel 4) formuliert. Auch hier sind die Anlehnungen an die ISO 9001 und ISO 27001 erkennbar. Indem aber alle Forderungen ausformuliert sind, ist es nicht notwendig, auch noch die ISO 27001 zu erwerben. Einige Anforderungen sind wohl etwas sehr an die ISO 9001 angelehnt und sind nicht notwendig, um die gesetzlichen Anforderungen des Datenschutzes erfüllen zu können (z.B. Notfallvorsorge).
6.
Ausblick: Entwicklungen auf europäischer Ebene ^
- «1. Die Mitgliedstaaten und die Kommission fördern insbesondere auf europäischer Ebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und –zeichen, anhand deren betroffene Personen rasch das von für die Verarbeitung Verantwortlichen oder von Auftragsverarbeitern gewährleistete Datenschutzniveau in Erfahrung bringen können. Die datenschutzspezifischen Zertifizierungsverfahren dienen der ordnungsgemäßen Anwendung dieser Verordnung und tragen den Besonderheiten der einzelnen Sektoren und Verarbeitungsprozesse Rechnung.
- 2. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die in Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren einschließlich der Bedingungen für die Erteilung und den Entzug der Zertifizierung sowie der Anforderungen für die Anerkennung der Zertifizierung in der Union und in Drittländern festzulegen.
- 3. Die Kommission kann technische Standards für Zertifizierungsverfahren sowie Datenschutzsiegel und -zeichen und Verfahren zur Förderung und Anerkennung von Zertifizierungsverfahren und Datenschutzsiegeln und -zeichen festlegen. Die entsprechenden Durchführungsrechtsakte werden in Übereinstimmung mit dem in Artikel 87 Absatz 2 genannten Prüfverfahren angenommen.»
Dieser Vorschlag wurde im Rahmen der Beratungen noch verändert und am 21. Oktober 2013 wurde im Innenausschuss des europäischen Parlaments der Verordnungstext angenommen. Dieser muss noch zwischen Europäischem Parlament, Rat und Europäischer Kommission verhandelt werden. Auch in der angepassten Form ist eine Datenschutz-Zertifizierung nach wie vor vorgesehen19. Wichtig ist, dass es dabei ein europäisches Datenschutz-Siegel «European Data Protection Seal» geben soll. Für eine Zertifizierung soll kein Zwang bestehen, sondern jedes Unternehmen kann selbständig entscheiden, ob es will oder nicht. Auch nicht europäische Unternehmen sollten die Möglichkeit haben, dieses Gütesiegel zu erlangen. Dadurch soll das europäische Datenschutzniveau verbreitet werden, gleichzeitig sollte dadurch auch nicht-europäischen Unternehmen erleichterten Datenaustausch ermöglicht werden20.
Bereits 2007 wurde vom Unabhängigen Landeszentrum für Datenschutz Schleswig Holstein (ULD) die Initiative für «EuroPriSe21» gestartet, um datenschutzkonforme IT-Produkte und IT-Dienstleistungen, auf der Grundlage des europäischen Rechts zertifizieren zu können. Aktuell sind 10 Zertifikate gültig. Wobei einige Produkte mehrere Re-Zertifizierungen gemacht haben (u.a. ixquick oder epacs Ver. 03), andere Produkte haben die Zertifizierung auslaufen lassen (z.B. ICAM Legal Aid Solution)22.
Die Transparenz bezüglich der zertifizierten Produkte ist – analog den Audits und Gütesiegel des ULD – vorbildlich: Bei allen Zertifikaten ist ersichtlich, wer die Zertifizierung vorgenommen hat, gibt es eine Kurzzusammenfassung zum Produkt inklusive «best» und «attention». Der gesamte Audit-Bericht kann ebenfalls heruntergeladen werden. In diesem sind sehr viele Informationen über das Produkt ersichtlich.
7.
Gemeinsamkeiten und Unterschiede ^
Allen Datenschutz-Zertifizierungen gemeinsam ist, dass die Zertifizierung eine zeitlich beschränkte Gültigkeit besitzt. Ebenfalls ist in allen Ländern, die eine Datenschutz-Zertifizierung kennen, gemeinsam, dass man einen Beitrag zur Verbesserung von Datenschutz und Datensicherheit erhofft. Bei der Erarbeitung der Kriterien sind – ausser bei privaten Initiativen (z.B. GoodPriv@cy, TÜV) – die Behörden ebenfalls grundsätzlich federführend. Ein Zwang für eine Zertifizierung ist nicht vorgesehen.
Unterschiede bestehen im Detaillierungsgrad des Anforderungskatalogs sowie allfälliger Erleichterungen für zertifizierte Unternehmen. Auch ist die Transparenz sehr unterschiedlich: in der Schweiz hat der EDÖB einzig ein Anrecht auf eine Kopie des Berichts und Zertifizierungsdokumente (Art. 8 Abs. 1 VDSZ), im Fürstentum Liechtenstein muss die Datenschutzstelle die Unterlagen prüfen und kann allenfalls eine Zertifizierung sistieren oder entziehen. In Deutschland erfolgt die Zertifizierung durch das ULD.
8.
Fazit ^
Initiativen für Datenschutz-Zertifizierungen gibt es seit längerem. Keine davon ist bis heute wirklich erfolgreich. Am erfolgreichsten ist das private Datenschutz-Gütesiegel GoodPriv@cy, welches nach über 10 Jahren auf 60 aktuelle Zertifikate kommt. Bis heute ist eine Datenschutz-Zertifizierung kein Wettbewerbsvorteil: ein Kunde hat lieber ein günstigeres Produkt als ein Produkt mit einer Datenschutz-Zertifizierung. Es stellt sich die Frage, ob eine Datenschutz-Zertifizierung tatsächlich zu einer Verbesserung von Datenschutz und Datensicherheit führt. Es ist vor allem deswegen kritisch zu hinterfragen, da einerseits die Überprüfungen angekündigt werden, andererseits auch der Prüfungsgegenstand im Detail vorbesprochen wird. Im Weiteren lassen sich vor allem diejenigen Unternehmen zertifizieren, die für Datenschutz bereits ein hohes Bewusstsein haben.
Aufgrund der vielen verschiedenen möglichen Zertifizierungen ist zu begrüssen, wenn eine Datenschutz-Zertifizierung sich durchsetzen würde. Es stellt sich jedoch die Frage, ob man als Konsument nicht erwarten darf, dass sich ein Unternehmen datenschutzkonform verhält. Wäre es nicht sinnvoller, wenn Datenschutz-Behörden mehr Kapazitäten für Datenschutz-Inspektionen erhalten würden, die mit Augenmass vorgenommen werden müssten? Eine Inspektion hätte zudem den Vorteil, dass alle Unternehmen erfasst würden, und man davon ausgehen kann, dass diese effizienter und dadurch auch kostengünstiger durchgeführt werden könnten.
Ursula Uttinger, lic. iur. / ecex. MBA HSG, Präsidentin Datenschutz-Forum Schweiz, Zürich; www.ursula-uttinger.ch
- 1 Hans-Dieter Seghezzi: Integriertes Qualitätsmanagement, 2. Auflage, München, Wien 2003, S. 9 ff.
- 2 Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Informationen (Landesdatenschutzgesetz – LDSG) vom 9. Februar 2000.
- 3 https://www.datenschutzzentrum.de/guetesiegel/ (besucht am 24. Oktober 2013).
- 4 GVOBl. 2008, S. 562 / GVOBl. 2009, S. 742.
- 5 https://www.datenschutzzentrum.de/guetesiegel/register.htm (besucht am 24. Oktober 2013).
- 6 https://www.datenschutzzentrum.de/audit/register.htm (besucht am 24. Oktober 2013).
-
7
Art. 14a Zertifizierungsverfahren
1) Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder -programmen sowie private Personen oder Behörden, die Personendaten bearbeiten, ihre Produkte, Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.
2) Die Regierung erlässt mit Verordnung Vorschriften über die Akkreditierung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Sie berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen.
- 8 Bundesgesetz über den Schutz personenbezogener Daten, Datenschutzgesetz 2000.
- 9 182/ME XXIII. GP – Ministerialentwurf – Begleitschreiben vom 4. März 2008 vom Bundeskanzleramt, S. 4.
-
10
SR 235.1: Art. 11 Zertifizierungsverfahren
1 Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder -programmen sowie private Personen oder Bundesorgane, die Personendaten bearbeiten, ihre Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.
2 Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen.
- 11 BBl 2003, S. 2108 und S. 2112.
- 12 BBl 2003, S. 2136.
- 13 http://www.edoeb.admin.ch/datenschutz/00756/00757/index.html?lang=de (besucht am 3. November 2013).
- 14 SR 235.13.
- 15 Richtlinie über die Mindestanforderungen an ein Datenschutzmanagementsystem vom 16. Juli 2008.
- 16 Erläuterungen zu den «Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem (DSMS)» S. 3.
- 17 BBl 2003, S. 2138.
- 18 Com2012/0011 Vorschlag für Verordnung des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung).
- 19 Inofficial consolidated version after libe commitee vote, provided by the rapporteuer, 22 October 2013 – Jan Albrecht.
- 20 Inofficial consolidated version after libe commitee vote, provided by the rapporteuer, 22 October 2013 – Jan Albrecht, N77 ff.
- 21 www.european-privacy-seal.eu (besucht am 4. November 2013).
- 22 https://www.european-privacy-seal.eu/awarded-seals/Register_de.html (besucht am 4. November 2013).
- 23 https://www.european-privacy-seal.eu/index.html/register-experts/index.html#usa (besucht am 4. November 2013).