Stellungnahme zum Entwurf eines Bundesdatenschutzauditgesetzes

NIFIS, die Nationale Initiative für Informations- und Internet-Sicherheit begrüßt ausdrücklich die Initiative, durch ein Bundesdatenschutzauditgesetz die Vorgaben des Bundesdatenschutzgesetzes zum Datenschutzaudit so zu konkretisieren, dass dieses Audit für die Wirtschaft tatsächlich nutzbar wird und für die Betroffenen (Bürger/Anwender) die Einhaltung der Vorschriften des Datenschutzrechts transparent macht. Allerdings sind wir mit der konkreten Ausgestaltung des Referentenentwurfs nicht vollständig einverstanden. Hierzu geben wir folgende Stellungnahme ab, mit der wir insbesondere Anregungen zur Verbesserung des vorliegenden Entwurfs geben wollen:

§ 1 Abs. 3
Wir halten es für unglücklich, dass in dieser Vorschrift ausdrücklich die Begutachtung der Sicherheit informationstechnischer Systeme und Komponenten vom Datenschutzaudit ausgenommen wird. Das Audit kann nur dann in angemessener und vollständiger Form durchgeführt werden, wenn auch die informationstechnischen Systeme und Komponenten einbezogen werden. Dafür spricht auch, dass in §§ 3 und 4 von zertifizierten technischen Einrichtungen gesprochen wird und in § 9 BDSG ausdrücklich technische Maßnahmen zur Datensicherheit gefordert werden.
Das Gesetz sollte sicherstellen, dass ein Zertifikat nur erteilt werden kann, wenn in dem überprüften Bereich alle Komponenten, die zur Verarbeitung personenbezogener Daten eingesetzt werden, auditiert wurden.
Diese Einschränkung ist offenbar formuliert worden, um einen gewissen Abstand zu Zertifikaten auf Basis des IT-Grundschutz des BSI zu wahren.
Um eine deutliche Abgrenzung zu anderen Sicherheitszertifikaten (z.B. dem ISO 27001-Zertifikat auf der Basis von IT-Grundschutz’, ISO/IEC 27001-Zertifikat, u.a.m.) zu erreichen, wäre es jedoch wichtig, zu formulieren, dass im Rahmen eines Datenschutzaudit nicht ausschließlich die Sicherheit informationstechnischer Systeme und Komponenten, sondern die Übereinstimmung mit den Vorgaben des Datenschutzrechts, einschließlich der dort geregelten Anforderungen an die IT-Sicherheit, überprüft wird.
Es muss klar formuliert und sichergestellt sein, dass ein IT- und/oder Informationssicherheitszertifikat (z.B. ISO 27001-Zertifikat auf der Basis von IT-Grundschutz’, ISO/IEC 27001-Zertifikat, Common Criteria, o.ä.) nicht Voraussetzung für das Datenschutzaudit ist. Datenschutzaudit und zugehöriges Zertifikat müssen jederzeit ohne irgendein vorgeschaltetes Sicherheitszertifikat durchgeführt bzw. vergeben werden können.
Es sollte im Gesetz selbst definiert werden, was zertifizierte technische Einrichtungen sind.

Gegenstand
Zum Gegenstand des Audits sind wir der Auffassung, dass wie folgt unterschieden werden muss:

1. Produkte
2. deren Einbindung in die Prozesse
3. Prüfung des gesamten Unternehmens oder Prüfung von Unternehmensbereichen

Begriffe
Im Entwurf werden beispielsweise die Begriffe "Zertifikat" und "Datenschutzsiegel" nebeneinander verwendet. Die Beziehung bzw. Abgrenzung dieser Begriffe ist nicht klar. Im Gesetz sollte jeweils ein Begriff verwendet werden, der ausdrücklich im Gesetz zu definieren und anschließend einheitlich durchgängig zu verwenden ist. Dies gilt vor allem für folgende Begriffe:

• Zertifikat, "Datenschutzsiegel", Siegel
• zertifizierte technische Einrichtungen
• Auditor, Prüfer,
• Zertifizierte Version, Veränderung

Sinn der Regelung
In unserer Diskussion ist die Frage aufgeworfen worden, inwieweit ein Datenschutzaudit Sinn hat, das lediglich die Einhaltung der gesetzlichen Vorschriften kontrolliert. Schließlich ist dies bereits Aufgabe des betrieblichen Datenschutzbeauftragten. Damit würde das Audit sich auf die Frage reduzieren, ob der betriebliche Datenschutzbeauftragte seine Arbeit ordentlich gemacht hat. Richtig ist allerdings, dass eine derartige Prüfung dem betrieblichen Datenschutzbeauftragten, der nur zur Kontrolle, nicht aber zur Umsetzung von Maßnahmen berufen ist, zusätzliche Argumente gegenüber der jeweiligen Geschäftsleitung zur Begründung von Investitionen in den Datenschutz an die Hand geben könnte.
Eine Alternative bestünde darin, ähnlich beispielsweise der Akkreditierung nach dem Signaturgesetz, bei einem Audit höhere als die gesetzlich geregelten und ohnehin für alle geltenden Anforderungen zu stellen.
Damit würde auch die wettbewerbsrechtlich relevante Frage gelöst, ob die Werbung mit der Einhaltung des Gesetzes nicht als Werbung mit Selbstverständlichkeiten anzusehen ist. Die ausdrückliche Regelung, dass mit einem derartigen Zertifikat, das nur die Einhaltung des Gesetzes bestätigt, geworben werden kann, wäre eine Ausnahme vom ansonsten geltenden Verbot der Werbung mit Selbstverständlichkeiten. Ein derartiger Systembruch im Wettbewerbsrecht sollte vermieden werden. 

§ 2 - Sachverständige
Bereits die Verwendung des Begriffs "Sachverständiger" halten wir für unglücklich. Mit diesem Begriff wird möglicherweise der "bestellte und vereidigte Sachverständige" verbunden. Wir weisen ausdrücklich daraufhin, dass es sich dabei um eine rein deutsche Besonderheit handelt und EU-weit andere Regeln zur Bestellung von Sachverständigen gelten.
Im Rahmen des Audits sollte eher der Begriff "Auditor" verwendet werden. Die Bestellung der Auditoren kann sich dann an der europaweit geltenden Norm ISO 17024 orientieren.
Das vorgesehene Verfahren zur Bestellung von Auditoren halten wir für ungeeignet, da keine Qualifikationsanforderungen (ähnlich zum BDSG) genannt werden. Insbesondere die Bestellung durch die Datenschutzbehörden jeweils für das Gebiet eines Bundeslandes führt zu überflüssiger Bürokratie und nicht nachvollziehbaren Kosten für die Auditoren. Die Kosten würden letztlich auf die Unternehmen durchschlagen und das Audit verteuern. Diesem Aufwand und den Kosten stünde kein erkennbarer Nutzen gegenüber. Er würde dem Audit schaden.
Es müssen im Gesetz selbst zudem die Anforderungen an die Qualifikation der Auditoren definiert werden.
Es geht bei dem Audit überwiegend um die Durchführung bundesgesetzlicher Regelungen.
Landesgesetzliche Regelungen zum Datenschutz gelten nur für den öffentlichen Bereich. Für den öffentlichen Bereich ist dieses Audit nicht vorgesehen. Für die Durchführung von bundesweit einheitlichen Audits genügt eine einmalige Zertifizierung der Auditoren. Eine Prüfung in jedem Bundesland durch die jeweiligen Datenschutzbehörden wird ausdrücklich abgelehnt.
Jedes Unternehmen sollte zudem frei sein, einen Auditor aus dem gesamten Bundesgebiet zu wählen. Insbesondere für überregional tätige Unternehmen sollte es möglich sein, einen Auditor für das gesamte Unternehmen zu bestellen.

§ 3 Abs. 1 - Zertifikat
Neben dem eigentlichen Prüfbericht muss der Auditor einen Kurzbericht erstellen, der den Prüfumfang und eine Begründung für die Erteilung des Zertifikats umfasst. Der Kurzbericht ist im Datenschutzauditregister (§ 4) frei einsehbar zu hinterlegen, damit sich jedermann darüber informieren kann. Zusätzlich kann vorgesehen werden, dass der Bericht auch Hinweise zu über die gesetzlichen Vorgaben hinausgehenden datenschutzrechtlichen Anstrengungen oder Maßnahmen enthalten darf.
Aus unserer Sicht sollte eine klare Trennung zwischen der Auditierung von Prozessen/Datenschutzkonzepten einerseits und Produkten/technischen Einrichtungen andererseits erfolgen. Der Schwerpunkt des Gesetzes sollte bei der Auditierung von Prozessen und Datenschutzkonzepten liegen. Nur wenn ein gesamtes Datenschutzkonzept beziehungsweise ein bestimmter Bereich eines Unternehmens auditiert wird, kann das Audit ein realistisches und für die Betroffenen nachvollziehbares Bild vom Umgang mit personenbezogenen Daten liefern.
Insbesondere bei der Prüfung von Produkten besteht das Problem, dass diese nicht abstrakt auf ihre Übereinstimmung mit den Vorgaben des Datenschutzrechts überprüft werden können. Vielmehr erfordert eine derartige Prüfung stets die Kenntnis der konkreten Implementierung und der technischen Umgebung. Daher muss sichergestellt werden, dass Produkte nur für den Hersteller und eventuell für den Vertrieb zertifiziert werden können. Außerdem muss im Zertifikat ausdrücklich darauf hingewiesen werden, dass bei Produkten nur deren grundsätzliche Eignung zur Einhaltung der datenschutzrechtlichen Vorschriften geprüft werden kann.
Bei einer Auditierung von Produkten oder technischen Einrichtungen sollte ausdrücklich ein Warnhinweis für Verbraucher in das jeweilige Zertifikat aufgenommen werden, wonach dieses Zertifikat nur die grundsätzliche Eignung zur Einhaltung der datenschutzrechtlichen Vorschriften bescheinigt und in jedem Fall ergänzend die konkrete Implementierung in einem Unternehmen einer eigenen datenschutzrechtlichen Überprüfung unterzogen werden muss.

§ 3 Abs. 2 – Anzeigepflicht
Die Regelung zu Anzeigepflichten bei Veränderung an der "zertifizierten Version" erscheint nicht praktikabel. Zunächst ist nirgendwo definiert, was eine "zertifizierten Version" und was "Veränderungen" genau sind. Damit geht große Rechtsunsicherheit einher. Es kann auch nicht sein, dass bei jeder Veränderung die Befugnis zur Führung des Zertifikats entfällt.
Systematisch wäre es sinnvoll, die Veränderung grundsätzlich dem ursprünglichen Auditor mitzuteilen und diesen entscheiden zu lassen, ob die Veränderung im Hinblick auf die geprüften datenschutzrechtlichen Vorgaben unerheblich ist oder ob datenschutzrechtliche Veränderung vorgenommen wurden. In diesem Fall müsste der Auditor eine Bescheinigung ausstellen, die der Registerstelle vorzulegen ist, ob das Siegel aber weitergeführt werden darf oder nicht. Grundsätzlich sollte diese Prüfung durch den ursprünglichen Auditor erfolgen, weil dieser die Rahmenbedingungen bereits kennt. Allerdings muss es möglich sein, auch einen anderen Auditor mit dieser Ergänzung zu beauftragen.
Es bleibt bei jeder Veränderung des Prüfgegenstandes letztlich die Frage, wie man zwischen einem gewissem Vertrauen gegenüber dem auditierten Unternehmen bezüglich seiner sorgfältigen und ordentlichen Abschätzung der Relevanz der "Veränderung" im Sinne des Zertifikates einerseits und einem gewissen Misstrauen im Hinblick eine möglicherweise gewünschte Vermeidung des durch Reevaluierung durch den Auditor zu erwartenden Aufwand andererseits sinnvoll abwägt. In der Praxis ist die Frage, wann Veränderungen in der IT zu einer erneuten Auditierung führen müssen, häufig von großer Bedeutung. Es ist denkbar, dass der Auditor im Prüfbericht bereits festlegt, welche Bestandteile nicht verändert werden dürfen, welche also Veränderungen zwingend eine Nachprüfung erforderlich machen. Außerhalb dieser Bereiche könnte das auditierte Unternehmen dann flexibel Veränderungen nach aktuellem Bedarf vornehmen. Gerade die dynamische Entwicklung der Informationstechnologie macht eine gewisse Flexibilität für die Unternehmen unabdingbar.
Das Gesetz enthält keine Regelungen dazu, welche Befugnisse die registrierende Stelle haben soll. Im Hinblick auf die Erfahrungen mit den Auditierungen in anderen Bereichen und Ländern (z.B. Datenschutzaudit in Schleswig-Holstein, ISO-27001 auf der Basis von IT-Grundschutz, ISO/IEC 27001, ISO 14001, etc.) ist es zur Gewährleistung eines einheitlichen Niveaus notwendig, dass die Zertifikate durch eine unabhängige Zertifizierungsstelle auf Basis der Beurteilung des Auditors erteilt werden. Die Zertifizierungsstelle prüft dabei eigenständig die Erkenntnisse des Auditors und kann seiner Empfehlung folgen oder auch davon abweichen oder weitere Prüfungen anordnen.
Dabei ist sicherzustellen, dass die prüfende Stelle selbst keine eigenen Auditierungen durchführt und damit nicht in Konkurrenz zu den von ihr zu prüfenden Auditoren gerät, sondern unabhängig bleibt.

§ 3 Abs. 4
Die Formulierung "bestandskräftig" weist auf ein rechtsförmliches Verfahren zur "Zertifizierung". Im Gesetz ist ein derartiges Verfahren nicht definiert. Insbesondere ist nicht dargestellt, ob es gegen die Ablehnung eines Zertifikats ein Rechtsmittel gibt und wann gegebenenfalls die Ablehnung bestandskräftig wird.
Nicht praktikabel ist aus unserer Sicht die Vorgabe, dass nach Ablehnung einer Zertifizierung ein erneuter Antrag erst nach Änderungen des Datenschutzkonzepts oder der technischen Einrichtungen möglich ist. Die Regelung ist viel zu leicht zu umgehen. Durchführbar wäre ein solches Verfahren nur dann, wenn die Auditoren verpflichtet wären, der Zertifizierungsstelle auch Mitteilungen über Auditierungen zu machen, die negativ verlaufen sind. Diese sollten allerdings nicht in einem öffentlichen Register verzeichnet werden.

§ 4
Die Regelung greift zu kurz, wenn dort nur Datenschutzkonzepte und zertifizierte technische Einrichtungen genannt sind. Es sollte möglich sein, auch die Übereinstimmung eines Unternehmens insgesamt mit den datenschutzrechtlichen Vorgaben zu zertifizieren und im Register zu vermerken. Es sollten nur Registereinträge gelöscht werden, bei denen Veränderungen vorgenommen wurden, die die Aufrechterhaltung des Siegels nicht erlauben. Wenn jede Änderung zwingend zur Neuzertifizierung führt, ist dies nicht praktikabel und nicht wirtschaftlich.

§ 8
Es sollten nicht derart weit reichende Entscheidungen in spätere Rechtsverordnungen verlagert werden. Insbesondere Form und Verfahren der Auditierung, inhaltliche Ausgestaltung des Zertifikates und Form und Inhalt des Registers sollten in den Grundzügen im Gesetz selbst geregelt sein. Nur dies entspricht dem auch vom Bundesverfassungsrecht immer wieder betonten Grundsatz, wesentliche Bestimmungen im Gesetz selbst zu regeln.

Berufsgeheimnisse
Anders als im Bundesdatenschutzgesetz wird auf die Besonderheiten von Geheimnisträgern keine Rücksicht genommen. Auch bei der Auditierung sollten Regelungen für den Schutz von Berufsgeheimnissen vorgesehen werden. Als Vorbild kann hier die Regelung im aktuellen Bundesdatenschutzgesetz gesehen werden. Zusätzlich sind die Auditoren in § 203 Abs. 2a StGB aufzunehmen.
Auch die besonderen Anforderungen von Betriebsräten sind nicht berücksichtigt.
Nur der Vollständigkeit halber verweisen wir auch auf soziale Einrichtungen, wie Telefonseelsorge etc.

Befugnisse des Auditors
Das Gesetz sollte klar regeln, welche Befugnisse der Auditor besitzt. Insbesondere sollte geregelt werden, dass er das unbeschränkte Recht zum Betreten von Einrichtungen, zum Zugang zu Informationssystemen und zur Einsichtnahme in Unterlagen besitzt.
Außerdem sollten für die Auditoren Verschwiegenheitspflichten und Aussageverweigerungsrechte im Gesetz ausdrücklich vorgesehen werden.

Dr. Thomas Lapp
Stellvertr. Vorsitzender NIFIS e.V.

 

---