Erfahrung nutzen: Neutrale Prüfung für bürgerfreundlichen Datenschutz

Informationstechnik mit digitaler Datenverarbeitung und Datenübermittlung entwickelt sich grenzüberschreitend und erfasst mittlerweile nahezu alle Lebensbereiche der Menschen. Deswegen ist eine intensive politisch-rechtliche Fokussierung auf die Anforderungen des Datenschutzes über die geltenden nationalstaatlichen Staats- und Rechtsstrukturen erforderlich.
Datenschutz Cybersecurity IT
©weerapat1003 via fotolia

VdTÜV-Plädoyer für einen zeitgemäßen und technologiefreundlichen Datenschutz in Deutschland und Europa

Oberstes Ziel muss es sein, Markt- und Bürgervertrauen durch entsprechende Datenschutztransparenz bei Produkten, Dienstleistungen, Unternehmen und relevanten Prozessen insbesondere der Informations- und Kommunikationstechnik zu bilden. Ein zeitgemäßes Datenschutzrecht hat jedoch nicht nur die Datenschutzfunktion im Auge, sondern vermittelt zugleich auch einen Gestaltungsanspruch des Betroffenen: Jedes Individuum soll selbstbestimmt entscheiden können, wie viel personenbezogene Daten und Informationen er anderen gegenüber preisgibt. „Datenschutz ist Grundrechtsschutz und die Wahrung der informationellen Selbstbestimmung eine Funktionsbedingung einer menschenwürdigen Informationsgesellschaft.“ Die durch den VdTÜV e. V. vertretenen TÜV-Unternehmen könnnen mit ihrer Kompetenz sowie ihren Dienstleistungen im Bereich Datenschutz und Informationssicherheit diese Zielsetzungen maßgeblich fördern.

Einheitliche Normierung für vergleichbare und transparente Datenschutzprüfungen

Die Vergabe von freiwilligen Prüfzeichen durch unabhängige Dritte sowie entsprechende Zertifizierungsverfahren im Bereich des Datenschutzes stellt eine klassische freiwirtschaftliche Dienstleistung im Wettbewerb dar. Gemäß den gesetzlichen Vorgaben wird die Unabhängigkeit, Neutralität und Fachkompetenz der privaten Prüforganisationen durch das nationale Akkredierungsverfahren sichergestellt. Diese Aufgabe obliegt in Deutschland der Deutschen Akkreditierungsstelle GmbH (DAkkS). Für den Bereich des Datenschutzes fehlen dort aber bislang noch einheitliche Akkreditierungsverfahren. Auf diese muss dringlich hingearbeitet werden.

Aufgrund positiver Erfahrungen wird auch in anderen hochsensiblen Sicherheitsbereichen, so beispielsweise in den Sektoren der Anlagen- und Fahrzeugsicherheit sowie im Rahmen der gesetzlich verankerten GS-Prüfung, auf die Leistungsfähigkeit privatwirtschaftlich getragener und organisierter Modelle vertraut, d. h. auf die Dienstleistungen akkreditierter unabhängiger Prüf- und Zertifizierungsinstitutionen. An diesem bewährten dezentralen, marktorientierten und wettbewerbsoffenen Systemansatz sollte auch im Fall eines zukünftig bundesweit einheitlich verliehenen Datenschutzsiegels festgehalten werden.

Für die Gewährleistung der Transparenz und Vergleichbarkeit von Prüfaussagen ist es jedoch unerlässlich, einheitliche Kriterien und eine gemeinsame Interpretation der relevanten datenschutzrechtlichen Sachverhalte herbeizuführen. Einheitliche Normen und Verfahren können einen integrierten technischen Datenschutz fördern und gewährleisten. In erster Linie muss dabei der Abgleich internationaler Initiativen der relevanten Datenschutzgremien zur Schaffung von internationalen Datenschutzstandards Priorität haben. Zudem können durch die Förderung des offenen Dialogs und Gedankenaustauschs der deutschen und europäischen Datenschutz-Community Optimierungspotenziale beim Datenschutz erkannt und ausgeschöpft werden. Identifizierte Lösungsansätze müssen dann wieder für die europäische und internationale Diskussion unter Einbindung entsprechender Unternehmen fruchtbar gemacht werden. Letztendlich wird dies dazu führen, dass im Marktgeschehen und bei den Verbrauchern eine stärkere Akzeptanz für die Einhaltung datenschutzrechtlicher Vorgaben und die freiwillige Nachfrage für entsprechende unabhängige Überprüfungen erzeugt wird.

Einheitlicher Datenschutz in Europa

Diese Diskussionen über gemeinsame Lösungsansätze zeigen, dass der Datenschutz in der Europäischen Union auf eine einheitliche Rechtsgrundlage gestellt werden muss, um den Verbrauchern die nötige Sicherheit zu geben und praktische Lösungen für Unternehmen zu bieten. Die von der EU-Kommission angestrebte Novellierung der EU-Datenschutzrichtlinie soll dazu einen entscheidenden Beitrag leisten. Außer Frage steht, dass die fast 17 Jahre alte EU-Richtlinie 95/46 gerade im Hinblick auf die rasante technologische Entwicklung im Internet (Cloud Computing, soziale Netzwerke, Smart- Phones etc.) und damit einhergehende verstärkte Globalisierung nicht mehr zeitgemäß ist.

Zudem ließ sie den Mitgliedsstaaten breiten Raum für die Umsetzung in nationales Recht. Von einem einheitlichen Binnenmarkt im Bereich Datenschutz kann so heute nicht die Rede sein. Ein im EU-Raum tätiges IT-Unternehmen muss mittlerweile 27, ab Mitte 2013 28 unterschiedliche nationale Regelungen beachten, wenn es seine Dienstleistungen anbieten möchte. Die neuen Regelungen, die nach Abschluss des EU-Gesetzgebungsverfahrens spätestens 2016 greifen könnten, sehen unter anderem vor, dass alle datenschutzrechtlichen Regelungen in jedem EU-Land gelten. Das Aufweichen durch nationale Gesetze ist unzulässig. Jedes Unternehmen, unabhängig vom weltweiten Sitz, das personenbezogene Daten speichert oder verarbeitet, muss die EU-Datenschutzregeln respektieren. Hinzu kommen entsprechende Informationspflichten bei Datenpannen der Unternehmen und Zustimmungspflichtenm von Nutzern. Zudem sollen die datenschutzrechtlichen Grundprinzipien künftig einheitlich nicht nur für den privaten Bereich, sondern auch für staatliche Stellen, zum Beispiel Polizei- und Strafverfolgungsbehörden, gelten.

Neben der Umsetzung und der sicher noch notwendigen Kompromissfindung zu einzelnen Aspekten der überarbeiteten Richtlinie, bleibt die Harmonisierung des europäischen Datenschutzes eine andauernde Aufgabe. So prüft die EU-Kommission die Möglichkeit zur Einführung von EU-Zertifizierungsregelungen (z. B. Europäisches Datenschutzsiegel) für Verfahren,Technologien, Produkte und Dienste. Die Datenschutzgruppe nach Art. 29 der EG-Datenschutzrichtlinie, ein eigens für die EU-Kommission eingerichtetes Beratergremium für Harmonisierungsfragen im Datenschutzrecht der Europäischen Union, hat unlängst im Hinblick auf die Schlüsselrolle solcher Zertifizierungsprogramme im Binnenmarkt und das damit einhergehende Gebot zur Aufrechterhaltung hoher Qualität der Verfahren darauf hingewiesen, dass ein normativer, unionsweiter Rahmen für die Erbringung der Zertifizierungsleistungen unerlässlich ist. Durch einheitliche Prozeduren soll der aus den anderen Bereichen bekannten Lockerung der Verfahren vorgebeugt werden. Letztendlich sollen sich alle nationalen Datenschutzaktivitäten an Entwicklungen auf der EU-Ebene fortlaufend messen lassen können. Der Datenschutz muss europaweit gestärkt werden. Zudem muss auch gewährleistet sein, dass alle in Europa aktiven Unternehmen sich an gleiche Standards zu halten haben. Der Rechtsschutz und die Erkennbarkeit von bürgerfreundlichen, datensparsamen und technisch sicheren Produkten oder Services, wie durch das von der EUKommission geförderte Projekt European Privacy Seal (EuroPriSe), muss verbessert bzw. verstärkt werden.

Datenschutzfreundlichkeit versus Datenschutzkonformität

Unabhängige, im Bereich Datenschutz tätige Prüfunternehmen, wie einzelne Tochtergesellschaften der drei großen TÜV-Unternehmen, genießen grundsätzlich das Vertrauen ihrer Kunden in Industrie, Dienstleistungen und Politik. IT-Produkte und IT-basierte Services sind auf Konformität zu den einschlägig geltenden Anforderungen an Datenschutz und Datensicherheit, wie im Falle der Vergabe des EuroPriSe-Siegels, zu prüfen. Der Service reicht von der Beratung über Schulungen und Audits bis hin zur kompletten Übernahme aller Pflichten eines Datenschutzbeauftragten. Die Einhaltung der Anforderungen der Datenschutzgesetzgebung ist bei IT-Programmen, IT-Systemen, Internet-Handelsplattformen etc. nur durch sehr aufwendige Prüfungen bzw. Audits sowie unter bestimmten datenschutzrelevanten Einzelaspekten festzustellen. Gegenseitiges Vertrauen ist daher essenziell für eine erfolgreiche Prüfung der Unternehmensprozesse auf Datenschutzkonformität, da dafür eine Offenlegung aller unternehmensinterner datenschutzrelevanter Prozesse erforderlich ist. Diese Datenschutzanalyse anhand einschlägiger Datenschutzgesetze umfasst die eingehende Bewertung der Zulässigkeit der Datenverarbeitung und der Angemessenheit der getroffenen technisch-organisatorischen Maßnahmen. Hierfür sind weitere, über die allgemein zugänglichen Informationen hinausgehende Angaben erforderlich.

Eine Bescheinigung der Datenschutzfreundlichkeit eines Unternehmens ist hingegen ohne die Mitwirkung des Anbieters möglich. Dabei können sogar vergleichende Tests zu Dienstleistungen und Produkten, ähnlich der Praxis von Stiftung Warentest, durchgeführt werden. Allerdings haben diese Tests nur einen bescheidenden Mehrwert für den Verbraucher, da letztlich nur eine Aussage über die Einhaltung der gesetzlich vorgeschriebenen Transparenz- und Informationspflichten des jeweiligen Unternehmens getroffen werden kann.

Aufklärung- und Informationsangebote im Bereich Datenschutz

Die Verleihung von Gütesiegeln sowie die Zertifizierung und Audit-Verfahren führen nicht automatisch zu einem wirkungsvolleren und besseren Datenschutz, wie die erheblichen Unterschiede in den beiden zuvor gezeigten Datenschutzanalysen zeigen. Alle staatlichen Entscheidungsträger in Bund und Land müssen endlich Unternehmen und betroffene Nutzer für die Belange des Datenschutzes nachhaltig sensibilisieren und ihnen praktische Handlungsempfehlungen geben, um sich sicherer in der komplexen IT-Welt bewegen zu können.
Hierbei geht es vor allem darum, den Selbstdatenschutz durch Aufklärung deutlich zu verbessern.

Datenschutz und Datensicherheit stellt auch eine Bildungs-und Erziehungsaufgabe dar, die im Kindesalter beginnt und auch nach der Schulzeit nicht aufhört. Gerade angesichts der Möglichkeiten von Facebook, Google+ oder diversen Apps für iPhone- und Android-Mobiltelefone muss dem Nutzer auch seine Verantwortung gegenüber anderen Menschen in Datenschutzfragen nähergebracht werden. In vielen kleinen und mittelständischen Unternehmen bleibt Datenschutz aus Kapazitätsgründen ein klassisches „Orchideenthema“, das nur ungern angepackt wird.

Eine klare Strategie des Staates zur Gewährleistung von Informationen und Aufklärung der Nutzer hinsichtlich Risiken der IT-Sicherheit ist bisher zumindest für die Öffentlichkeit nicht erkennbar. Als unverzichtbarer Teil gehört dazu auch die Koordinierung und Initiierung von bundes- bzw. EU-weiten Forschungsprojekten im Bereich Datenschutz, um zukunftsorientierte Lösungsansätze für die technologischen Herausforderungen sowie tragfähige Ansätze und konkrete Vorschläge für eine Modernisierung des deutschen und europäischen Datenschutzrechts zu entwickeln.

Ansprechpartner

Leiter des Geschäftsbereichs Fahrzeug und Mobilität
T +49 30 760095-350