Datenschutzaudit-Gesetz: Ein Siegel als Wettbewerbsvorteil?
Bereits Ende November 2008 soll der Entwurf für ein Datenschutzaudit-Gesetz stehen. Darauf haben sich der Bundesinnenminister, der Bundesdatenschutzbeauftragte, die Datenschutzbeauftragen der Länder und weitere Regierungspolitiker Anfang September auf dem „Datenschutzgipfel“ geeinigt. Anlass waren die in letzter Zeit bekannt gewordenen Datenpannen beim Handel mit personenbezogenen Informationen. Dieses Gesetz soll die Voraussetzungen regeln, unter denen ein Datenschutz-Siegel an datenverarbeitende Unternehmen vergeben werden darf.
In einem Ergebnisvermerk der Besprechung heißt es dazu:
„Ziel des staatlich angebotenen Datenschutzaudits ist es, marktorientierte Anreize zu setzen, durch Verbesserungen bei Datenschutz und Datensicherheit werbewirksame und wirtschaftliche Vorteile bei Verbrauchern und gegenüber Wettbeweren zu erzielen.“
Datenschutz soll sich lohnen
Solche Verfahren und Prüfsiegel sind bereits in § 9a BDSG vorgesehen. Dort heißt es:
„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.“
Bisher gibt es kein derartiges Gesetz auf Bundesebene. Auf Landesebene existieren bisher nur in Schleswig-Holstein und Bremen solche Regelungen. Mit dem aktuellen Vorstoß für eine bundesweit einheitliche Regelung soll sich Datenschutz für Betriebe auch in barer Münze auszahlen – nämlich dann, wenn Verbraucher solche Unternehmen bevorzugen, die ein derartiges Siegel führen. Das gibt es jedoch nur für einen überdurchschnittlichen Einsatz für den Datenschutz; aus dem Vermerk:
„Die Vergabe eines Datenschutzauditsiegels bereits bei Einhaltung der geltenden Gesetze, die ich ohnehin von den Unternehmen erwarte, hat verschiedene Nachteile. Ein solches Siegel wäre nicht zuletzt missverständlich und hätte für Unternehmen keinen Mehrwert.“
Stattdessen muss ein Unternehmen darüber hinausgehende Richtlinien erfüllen, die den Datenschutz verbessern und ein hohes Maß an Datensicherheit gewährleisten. Auf dem Gipfel hat man sich darauf verständigt, dass diese Richtlinien von einem Expertenausschuss erarbeitet werden.
Aufbau eines bundesweit einheitlichen Kontrollsystems
Um langfristig ein hohes Datenschutzniveau zu schaffen, soll das geplante Gesetz nicht ein einmaliges Prüf-, sondern ein kontinuierliches Kontrollverfahren festschreiben. Solche Kontrollen obliegen dann staatlich überwachten privaten Kontrollstellen der Bundesländer; diese müssen aber zuvor von einer zentralen Bundesstelle zugelassen werden. Außerdem ist vorgesehen, dass die betrieblichen Datenschutzbeauftragten in das Prüfverfahren einbezogen werden. Die Teilnahme bzw. deren Umfang an diesem Kontrollsystem soll für jedes Unternehmen stets freiwillig sein.
Auf dem Datenschutzgipfel haben sich die Teilnehmer auch darauf verständigt, eine Informationspflicht bei Datenschutzpannen einzuführen. Im Rahmen des geplanten Datenschutz-Gesetzes wird dabei laut Ergebnisvermerk diskutiert, ob man hier Unternehmen anders behandeln soll, die ein Datenschutzsiegel besitzen.
Die Ergebnisse des Datenschutz-Gipfels auf der Seite des BMI.
