Peter Schaar hat in der letzten Woche ein Diskussionspapier zu der geplanten „Stiftung Datenschutz“ vorgelegt. Hierin wird skizziert, wie die Stiftung ausgestaltet sein und welche Aufgaben sie wahrnehmen soll.
Erste Ansätze – das gescheiterte Datenschutzauditgesetz
Ein unabhängiges Prüfgremium einzuführen, das Unternehmen auf ihren Umgang mit personenbezogenen Daten prüft, ist keine neue Idee. Bereits 2007 legte das Bundesinnenministerium einen Referentenentwurf für ein Bundesdatenschutzauditgesetz vor. Dieses Gesetz sollte es Anbietern von Hard- und Software sowie Datenverarbeitern ermöglichen, ihre technischen Einrichtungen auf freiwilliger Basis datenschutzrechtlich prüfen, bewerten und zertifizieren zu lassen. Organisatorische und technische Maßnahmen zum Datenschutz und zur Datensicherheit sollten hierbei aber nicht geprüft werden. Dass das Gesetz letztendlich nicht verabschiedet wurde, lag vor allem daran, dass das Verfahren als zu bürokratisch und kostenträchtig angesehen wurde.
Nun soll also die „Stiftung Datenschutz“ die Aufgabe wahrnehmen, Unternehmen datenschutzrechtlich zu prüfen und zu bewerten. Im Vordergrund soll dabei stehen, dem Verbraucher durch eine Art Prüfsiegel zu zeigen, bei welchen Unternehmen mit seinen personenbezogenen Daten sicher umgegangen wird. Die Gründung der Stiftung ist bereits im Koalitionsvertrag der CDU/CSU und FDP festgelegt. In den letzten zwei Jahren gab es in den Medien immer wieder Berichte über die Planung der Stiftung. Es wurden verschiedene Eckpunktepapiere vorgelegt, die sich zwar mit den grundsätzlichen Aufgaben der Stiftung auseinandersetzten, aber keine klare Aussage über den Zeitpunkt der Gründung oder die Zusammensetzung trafen.
Doch nun stehe „die Stiftung ganz oben auf der Tagesordnung”, so das federführende Bundesinnenministerium. Momentan werde die Stiftungssatzung ausgearbeitet und danach müsse das Kabinett einen Beschluss fassen und die Stiftungsaufsicht das Projekt staatlich anerkennen. Dies soll noch in diesem Jahr passieren. Zehn Millionen Euro sind im Haushalt für die Stiftung eingeplant.
Das Diskussionspapier, vorgelegt vom Bundesbeauftragten für den Datenschutz Peter Schaar, lässt die Pläne der schwarz-gelben Koalition zudem auch inhaltlich konkreter werden.
Finanzielle und personelle Unabhängigkeit der Stiftung
Nach den Plänen der Koalition soll die Stiftung Datenschutz in Anlehnung an das Vorbild der Stiftung Warentest entstehen. Diese wurde 1964 gegründet und bietet Verbrauchern eine objektive Unterstützung durch Tests von Waren und Dienstleistungen. Zudem soll die Bildung der Verbraucher im Bereich des Datenschutzes gestärkt und der Selbstdatenschutz durch Aufklärung verbessert werden.
Als Organisationsform wird eine gemeinnützige Stiftung bürgerlichen Rechts vorgeschlagen. Das Diskussionspapier fordert eine finanzielle und personelle Unabhängigkeit, zudem soll eine enge Zusammenarbeit mit den Datenschutzbehörden erfolgen.
Die Unabhängigkeit soll dadurch gewährleistet werden, dass der Vorstand der Stiftung nur mit Personen besetzt wird, bei denen Konflikte mit eigenen Unternehmensinteressen ausgeschlossen sind. Der Beirat soll dem Papier nach
„pluralistisch besetzt werden, damit er der Stiftung einen großen Erfahrungsschatz und ein hohes Maß an Beratungskompetenz zur Verfügung stellen kann.“
Während ein Drittel der Beiratsmitglieder von der Stifterin benannt werden soll, könnten
„die übrigen Vertreter paritätisch aus den Bereichen Datenschutz, Wirtschaft und Verbraucherschutz gewählt werden.“
Finanzielle Unabhängigkeit soll durch angemessene Stiftungsmittel aus dem Bundeshaushalt gewährleistet sein. Dies schließe Zuwendungen durch private Dritte und Unternehmen jedoch nicht aus, wobei die Unabhängigkeit der Stiftungsarbeit nicht gefährdet werden darf, so das Papier. Zwar können durch die Aufträge für Zertifizierungen und die Vergabe von Gütesiegeln zusätzlich Gelder erwirtschaftet werden. Diese sollen aber ausschließlich zusätzliche Projekte, beispielsweise im Bereich von Bildungsangeboten, finanzieren. Die Stiftungsarbeit selbst soll nur durch Stiftungsmittel sichergestellt werden.
Die Zusammenarbeit zwischen der Stiftung und den Aufsichtsbehörden bedarf einer gut durchdachten Organisation und Konzeption. Es sei absehbar, so das Diskussionspapier, dass sich
„Unternehmen gegenüber den Aufsichtsbehörden auf Zertifizierungen der Stiftung und auf (positive) Testvergleiche berufen werden.“
Die Zertifizierungen der Stiftung werden zwar für die Aufsichtsbehörden keine Bindungswirkung entfalten, aber
“ohne Koordinierung ihrer Tätigkeiten laufen sie Gefahr, in der Öffentlichkeit gegeneinander ausgespielt und dadurch unglaubwürdig zu werden”.
Zudem sei den Datenschutzbehörden
“in der Stiftungssatzung das Recht zuzubilligen, eine festgelegte Mitgliederzahl als Vertreter der Datenschutzinteressen in den Beirat zu entsenden.”
Die Aufgabe der Stiftung: Die Prüfung auf datenschutzrechtliche Zulässigkeit
Die Stiftung wird Datenschutzaudits und Prüfverfahren durchführen und dann eine Art „Internet-Prüfsiegel“ vergeben, welches für den Verbraucher einen „Wegweiser“ darstellen soll; welche Unternehmen gehen mit meinen Daten sorgsam um und bei welchen sollte ich eher Vorsicht walten lassen?
Fraglich ist, wie die Stiftung bei ihrer Prüfung vorgehen wird. Denn bei einem Datenschutzaudit im herkömmlichen Sinne ist ein erheblicher Einblick in das Unternehmen, seine Struktur und Abläufe notwendig.
Ein Datenschutzaudit soll die Einhaltung der gesetzlichen Anforderungen sicherstellen und sowohl die internen Verfahren und Abläufe als auch weitere Punkte, beispielsweise die Datenweitergabe an Dritte, auf ihre datenschutzrechtliche Zulässigkeit überprüfen. Weiterhin geht es um die förmliche Prüfung und Bewertung von Produkten wie Hardware, Software, bestimmte Verfahren der Informationstechnologie, von Systemen und Abläufen zur elektronischen Erhebung und Verwendung von Daten. Geprüft wird hierbei das Datenschutzkonzept, die Datenschutzorganisation und die Datenschutzkontrolle eines Unternehmens darauf, ob die datenschutzrechtlichen Bestimmungen eingehalten werden.
Zunächst kann aber geprüft werden, was eigentlich für den Verbraucher offensichtlich sein sollte, in der Praxis aber häufig nicht ist: Der Webauftritt des Unternehmens und die dort vorhandenen Informationen über Umgang und Weitergabe von personenbezogenen Daten. Der Webauftritt beinhaltet meist die Datenschutzerklärung, Kontaktformulare, bei denen Verbraucher ihre persönlichen Daten eingeben können und ähnliches.
Der Verbraucher steht hier nämlich beim Thema Datenschutz oft vor einer Vielzahl von Problemen; Datenschutzerklärungen finden sich oft gar nicht oder versteckt auf den Webseiten von Unternehmen, meist sind diese schwer verständlich geschrieben und dem Verbraucher wird nicht selten suggeriert, dass er seine Daten eingeben muss, um eine bestimmte Dienstleistung zu erhalten oder z.B. an einem Gewinnspiel teilnehmen zu können. Die Datenschutzerklärungen sind außerdem oft fehlerhaft und weisen Lücken auf.
Insbesondere die Verwendung von Web-Analysetools wie Google Analytics wird häufig nicht oder in lückenhafter Art und Weise in den Datenschutzerklärungen erwähnt. Zudem ist die Verwendung der Version von Google Analytics, die nicht-anonymisierte IP-Adressen speichert, nach Ansicht des Düsseldorfer Kreises und einiger Datenschutzbehörden, nicht zulässig, da die IP-Adresse als personenbezogenes Datum angesehen wird. Auch dies wäre also ein Thema für die Stiftung.
Damit ist es dem Verbraucher oft ohne fachliches und juristisches Wissen kaum möglich, im Alltag zu erkennen, wofür seine Daten erhoben werden und was im nachhinein noch mit ihnen passieren wird. Aber gerade das ist es, was als eines der obersten Gebote des Datenschutzes gilt: der Zweckbindungsgrundsatz. Grundsätzlich dürfen Daten nur für den Zweck verarbeitet werden, für den sie auch erhoben wurden. Zu verhindern, dass dies in vielen Fällen nicht passiert, dass also Daten, die beispielsweise zur Erfüllung eines Vertragsverhältnisses erhoben wurden, später (ohne Einwilligung des Verbrauchers) für Werbezwecke verwendet werden, könnte eine weitere Aufgabe der Datenschutzstiftung sein.
Warum jedes Unternehmen das Thema Datenschutz ernst nehmen sollte
Das Thema Datenschutz sollte von Unternehmen durchaus ernst genommen werden. Denn es gilt nicht nur, dass man bei Vestößen sehr schnell die Aufsichtsbehörde im Haus hat – auch die Sanktionen im BDSG bei Datenschutzverstößen können ein Unternehmen durchaus empfindlich treffen; §§ 43, 44 BDSG setzen nicht nur Geldbußen bis 300.000 EUR fest, sondern drohen in schwerwiegenden Fällen auch Freiheits- und Geldstrafe an.
Dass aber nicht nur Sanktionen drohen, sondern auch das Image eines ganzen Konzerns leiden kann, zeigen die Datenschutzskandale der letzten Jahre. Auch die Medien stürzen sich vermehrt auf diejenigen Firmen, die sich nicht an die gesetzlichen Vorschriften halten.
Nicht nur Lidl und die Telekom, bei denen es um das Thema Mitarbeiterüberwachung ging, sind in diesem Zusammenhang heftig kritisiert worden. Auch die Verbraucher wurden Opfer von Datenschutzskandalen. Ein Datenleck bei Schlecker hat im August 2010 zum Beispiel dazu geführt, dass die personenbezogenen Daten von 150.000 Online-Kunden frei verfügbar im Internet standen. Abrufbar waren Name, Adresse, Mailadresse, Geschlecht, und das jeweilige Kunden-Profil. Solche Pannen kann natürlich auch eine Stiftung Datenschutz weder vorhersehen noch verhindern. Aber je mehr Unternehmen sich einer Prüfung unterziehen und zertifiziert werden, desto stärker werden diejenigen in Zugzwang geraten, die den Datenschutz weiter eher stiefmütterlich behandeln.
Dass dem Verbraucher eine Datenschutzstiftung helfen und ihn durch eine unabhängige Prüfung bei der Wahl eines Unternehmens, das datenschutzkonform handelt, zu unterstützen, steht außer Frage. Ob die Stiftung dieser Aufgabe gerecht werden wird, wird sich zeigen.