I. Einführung |
| Am 7. September 2007 wurde der Referentenentwurf eines Bundesdatenschutzauditgesetzes vorgelegt. Zuvor hatte der Gesetzgeber bei der Novelle des Bundesdatenschutzgesetzes im Jahr 2001 in dem neu eingefügten § 9a BDSG die prinzipielle Möglichkeit eines Datenschutzaudit vorgesehen. Mit dem Vorhaben eines Bundesdatenschutzauditgesetzes ist ein Schritt in Richtung einheitlichem Gütesiegel für den Schutz personenbezogener Daten gemacht. So begrüßenswert der im September 2007 vorgelegte Entwurf ist, so wenig kann er inhaltlich überzeugen. Er scheint vielmehr mit heißer Nadel gestrickt. | JurPC Web-Dok. 148/2008, Abs. 1 |
II. Ziele eines Datenschutzaudit |
| Im Vorfeld der Vorstellung des Referentenentwurfs wurde die Erwartung geäußert, dass ein Datenschutzaudit nach dem zu schaffenden Bundesdatenschutzauditgesetz insbesondere für diejenigen Unternehmen, die sich freiwillig einem solchen unterziehen, einen Wettbewerbsvorteil infolge der Möglichkeit mit dem Zertifikat nach bestandenem Audit um die Gunst von Kunden zu werben. Nicht zuletzt die Diskussionen in der jüngeren Vergangenheit um die Vorratsdatenspeicherung und die hierzu ergangenen Entscheidungen des Bundesverfassungsgerichts haben zu einer Sensibilisierung breiter Bevölkerungsschichten geführt. | Abs. 2 |
| Es galt aber auch Sorgen aus Wirtschaftskreisen zu begegnen. Hier war befürchtet worden, die Unternehmen sollten zur Auditierung verpflichtet werden. Insoweit sah man erhebliche Kosten auf die Unternehmen zukommen. Mit der Freiwilligkeit des Audits wird nun aber denjenigen Unternehmen, die die Investition aufbringen wollen eine neue Werbemöglichkeit eröffnet. Nicht bezweifelt werden kann daher, dass die Durchführung eines Audits für das auditierte Unternehmen einen Mehrwert haben muss, der es aus der Masse hervorhebt. Daher kann das Audit sich nicht darauf beschränken, die Einhaltung gesetzlicher Bestimmungen zu bescheinigen, sondern muss darüber hinausgehen. | Abs. 3 |
| Ob aber der nun vorliegende Referentenentwurf vom 7. September 2007 zur Schaffung dieses Mehrwerts geeignet ist, wurde bereits mehrfach kritisch hinterfragt. Die Antwort auf diese Frage fällt eindeutig aus: mit dem nun vorliegenden Entwurf werden die im Vorfeld ins Auge gefassten Ziele nicht erreicht werden können. Zu viele Unklarheiten gilt es noch zu beseitigen. | Abs. 4 |
III. Nachbesserungsbedarf |
| Der Referentenentwurf kann in seiner jetzigen Form nur ein erster Schritt zur Schaffung eines Bundesdatenschutzauditgesetzes sein. Er ist sowohl im Hinblick auf die Konzeption eines Audits, die verwendeten Begriffe und die Normierung des Prüfverfahrens noch sehr unvollkommen. | Abs. 5 |
1. Konzeptionelle Mängel |
| Wesentlicher Kritikpunkt an der Konzeption des Gesetzesentwurfs ist das Fehlen von Kriterien für die Erteilung des Zertifikats. So wird dem Gesetzesanwender nicht erläutert, welche Voraussetzungen zu erfüllen sind, damit eine Zertifizierung erfolgreich verläuft. Die Unklarheit beginnt leider bereits damit, dass sich aus dem Gesetzesentwurf nicht ergibt, welche Stellen überhaupt für eine Zertifizierung in Betracht kommen. Dies wäre aber ein wesentlicher Punkt für die an einer Zertifizierung interessierten Verkehrskreise, denn die Unternehmung einer Anstrengung durch ein Unternehmen, welches das Zertifikat begehrt, ist nur dann sinnvoll, wenn das betreffende Unternehmen überhaupt zertifiziert werden kann. | Abs. 6 |
| Des Weiteren wird aus dem Gesetzentwurf nicht ersichtlich, welche inhaltlichen Anforderungen an die Zertifizierung zu stellen sind. Dies bedeutet, dass weder diejenigen, die sich um ein Zertifikat bemühen, noch diejenigen, die die Voraussetzungen einer erfolgreichen Zertifizierung prüfen sollen, aus dem Gesetz herleiten können, welche Kriterien zu erfüllen sind. Insoweit ist die Erteilung eines Zertifikats zur Bescheinigung, dass datenschutzrechtliche Bestimmungen beachtet und einschlägige gesetzliche Vorschriften nicht verletzt werden, weder sinnvoll noch zielführend, sondern muss vielmehr als Selbstverständlichkeit vorausgesetzt werden. | Abs. 7 |
| Dies macht es erforderlich, einen Katalog von Kriterien aufzuzeigen, der über die gesetzlichen Mindestanforderungen hinausgeht und zur Zertifizierung gleichsam überobligatorisch erfüllt werden muss. Hier hätte einerseits auf bereits bestehende Standards zurückgegriffen werden können wie zum Beispiel die ISO 27001 und den Katalog IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnologie (http://www.bsi.de/gshb/index.htm). Denn von der Abhängigkeit des Datenschutzes von der Datensicherheit ist der Gesetzgeber nicht zuletzt auch selbst ausgegangen, hat er doch in § 9 S. 1 Nr. 7 BDSG eine Verfügbarkeitskontrolle festgeschrieben. Hiernach haben öffentliche und nichtöffentliche Stellen die Pflicht zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung und Verlust geschützt sind. Deutlicher kann nicht herausgestellt werden, dass die Sicherheit informationstechnischer Systeme und Komponenten unter das Anforderungsprofil gerade auch eines Datenschutzaudit fallen muss. | Abs. 8 |
2. Begriffliche Unschärfen |
| In mehrfacher Hinsicht unglücklich ist auch die wiederholte Verwendung unscharfer Begriffe. Dies ist zum Beispiel bereits hinsichtlich dessen, was Gegenstand der Prüfung im Rahmen des Datenschutzaudit sein soll der Fall. Nach dem Entwurf soll das Datenschutzkonzept eines Unternehmens im Rahmen des Datenschutzaudit einer Prüfung unterzogen werden. Besteht in Fachkreisen noch Einigkeit darüber, dass unter "Datenschutzkonzept" ein Maßnahmenplan zu verstehen ist, in dem das betreffende Unternehmen alle Handlungen und Anweisungen ausweist, die zur Gewährleistung der Einhaltung datenschutzrechtlicher Anforderungen gefordert werden. Was aber alles zu dem Datenschutzkonzept zu rechnen ist und welche Mindestanforderungen zu stellen sind, ist auch und gerade in Fachkreisen unklar oder sogar umstritten. Gleiches ließe sich beispielsweise für die nachfragenden Verkehrskreise anführen. So ist nach dem Referentenentwurf nicht klar, ob der Betreiber eines Webportals als Anbieter von Datenverarbeitungssystemen und/oder technischer Einrichtungen zu betrachten ist. Darüber hinaus hat die Deutsche Vereinigung für Datenschutz in ihrer Stellungnahme zum Referentenentwurf zu Recht auf die Unstimmigkeiten in Bezug auf die Formulierungen zur sog. "unveränderten Version" im Bereich der zu prüfenden Software sowie die unklaren Bestimmungen zur Rolle der Aufsichtsbehörden hingewiesen. | Abs. 9 |
| Wünschenswert wäre, der Gesetzgeber übernähme auch beim Bundesdatenschutzauditgesetz die Technik, dem eigentlichen Gesetzestext eine Definition der verwendeten Begriffe voranzustellen. Schon unter den Gesichtspunkten der Zugänglichkeit des Rechts für die betroffenen Verkehrskreise ist eine solche Vorgehensweise sinnvoll. Die wichtige Frage für den Normadressaten ist nämlich diejenige, ob er überhaupt durch das Gesetz betroffen ist. Hier ist insbesondere die Frage zu nennen, ob sich das eigene Unternehmen für ein Audit eignet. Wie bereits ausgeführt, bleibt nicht nur diese Frage wenigstens in Teilen offen. | Abs. 10 |
3. Unklares Prüfverfahren |
| Schließlich wird zu Recht auch die Regelung zum Prüfverfahren kritisiert. So scheint der Referentenentwurf bereits das Vorhandensein von Gutachtern als gegeben vorauszusetzen. Zur fachlichen Qualifikation, die der Prüfende mitbringen muss, schweigt sich der Referentenentwurf jedoch aus. Dies macht ein Audit jedoch unattraktiv. Für die Unternehmen, die eine Zertifizierung anstreben muss aus dem Gesetz nicht nur hervorgehen, ob sie selbst für ein Audit geeignet sind und welche Kriterien weiterhin zu erfüllen sind, sondern gerade auch, wer eine Prüfung und Bewertung durchführen darf. Dies ist nicht zuletzt auch eine dringend benötigte vertrauensbildende Maßnahme, denn nur wenn die Befähigung des Prüfenden selbst außer Zweifel gestellt werden kann, kann ein Vertrauen in die Zertifizierung und damit echter Mehrwert für ein zertifiziertes Unternehmen entstehen. | Abs. 11 |
| Des Weiteren geht aus dem Referentenentwurf nicht hervor, in welcher Weise das Zertifikat ausgestellt wird. Üblicherweise wird ein Zertifikat von einer unabhängigen Stelle nach bestandenem Audit erteilt und läuft nach einer bestimmten Dauer ab. Der Referentenentwurf vom 7. September 2007 lässt den Eindruck entstehen, man wolle auf dieses sonst bei Zertifizierungen übliche zweistufige Verfahren im Bereich des Datenschutzes verzichten. Dies ist jedoch nicht einzusehen. Auch und gerade in einem derart sensiblen Bereich sollte nicht nur ein ausführlicher Prüfbericht erstellt werden, sondern dieser Prüfbericht von einer weiteren unabhängigen Stelle vor Erteilung des Zertifikats auf seine Schlüssigkeit hin überprüft werden. Es sollte daher auch hier klargestellt werden, dass ein zweistufiges Prüfverfahren zur Zertifizierung erfolgt und entsprechende deutliche Regelungen in das Gesetz aufgenommen werden. Es ist nämlich weder sinnvoll noch zielführend, einer auf das Audit vorbereitenden Stelle auch die Möglichkeit zu belassen, das Audit selbst durchzuführen und damit das Ergebnis der eigenen Anstrengung zu bewerten. | Abs. 12 |
| Darüber hinaus liegt auf der Hand, dass ein einheitliches Prüfverfahren für alle zu auditierenden Stellen, wie es bislang vorgesehen scheint, nicht sinnvoll sein kann. Sowohl in Bezug auf Art und Umfang der Verarbeitung relevanter Daten besteht — dies liegt in der Natur der Sache — ein ganz erheblicher Unterschied zwischen einem kleinen Handwerksbetrieb und einem Großkonzern. Überschaubare Strukturen und wenige beteiligte Personen einerseits und ein Informationsaustausch zwischen verschiedenen Abteilungen und Standorten andererseits lassen die Notwendigkeit differenzierter Prüfkataloge deutlich zu Tage treten. Diesbezüglich bietet sich ein modularer Aufbau des Prüfkataloges nicht nur an, sondern drängt sich geradezu auf. Dieser kann dann insbesondere die Schnittstellen, an denen Daten zwischen mehreren Beteiligten in einem Unternehmen übergeben werden, in den Blick nehmen. Solches lässt sich aber dem Referentenentwurf nicht entnehmen. | Abs. 13 |
IV. Fazit |
| Der Referentenentwurf zum Bundesdatenschutzauditgesetz ist sicherlich ein erster Schritt in die richtige Richtung. Grundsätzlich ist die Durchführung eines Datenschutzaudit geeignet, das Vertrauen der Betroffenen in den vertrauensvollen Umgang mit personenbezogenen Daten in zertifizierten Unternehmen zu stärken. Dies wird aber nur dann gelingen, wenn der hier vorgelegte Entwurf weitere Nachbesserungen erfährt, die die vorhandenen Unklarheiten beseitigen und das Ziel der Schaffung eines echten Mehrwerts für sich freiwillig einem Audit unterziehende Unternehmen wieder in den Fokus nehmen. Hierzu wäre der deutsche Gesetzgeber nicht nur aufgrund der einschlägigen Datenschutzrichtlinie, sondern auch aufgrund der E-Commerce-Richtlinie gehalten. | Abs. 14 |
| Damit das
Bundesdatenschutzauditgesetz breite Akzeptanz findet und damit das
Datenschutzaudit ein Erfolg werden kann, ist bereits bei der Vorbereitung des Gesetzes
eine Zusammenarbeit zwischen den Fachleuten der beteiligten Disziplinen wie
Informatikern und Rechtswissenschaftlern sowie Fachleuten für Datensicherheit
und Datenschutz nicht nur wünschenswert, sondern unumgänglich. Nur
interdisziplinäre Teams sind auch in der Lage, ein Datenschutzaudit in der
Praxis sinnvoll durchzuführen. Der interdisziplinäre Austausch kann sowohl in
der Gesetzesvorbereitung die Erarbeitung sinnvoller und verständlicher Vorgaben
für das Audit und andererseits die Sicherstellung der Erreichbarkeit eines
Mehrwerts für auditierte Unternehmen gewährleisten. Insoweit setzt sich das
Team Datenschutzaudit bereits heute aus Fachleuten der genannten Disziplinen
zusammen.
| JurPC Web-Dok. 148/2008, Abs. 15 |
| *
Herr Rechtsanwalt Jürgen Kuck, LL.M. ist Partner der Kanzlei Hoffmann, Liebs, Fritsch & Partner in Düsseldorf sowie Geschäftsführer der LOGOS GmbH, Düsseldorf, Herr Rechtsanwalt Michael Weller ist Geschäftsführer der Europäischen EDV-Akademie des Rechts gGmbH in Merzig. Beide arbeiten gemeinsam im Team Datenschutzaudit www.tdsa.de mit Experten der Firmen dubois it-consulting, Mainz und Manfred Lohmaier Managementberatung GmbH, München, zu Fragen von IT-Sicherheit und Datenschutz. |
| [ online seit: 23.09.2008 ] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
|
| Zitiervorschlag: Kuck, Jürgen, Stellungnahme des Team Datenschutzaudit zum Entwurf eines Bundesdatenschutzauditgesetzes (Referentenentwurf vom 7. September 2007 des Bundesministers des Innern) - JurPC-Web-Dok. 0148/2008 |
