Foto: Silvia Bauer
Die Stiftung Datenschutz war schon seit Jahren geplant. Jetzt endlich hat der Bundestag den entsprechenden Antrag der Regierungsfraktionen gebilligt. Sie soll möglichst zügig verbindliche Konzepte für Datenschutzaudits und ein deutschlandweit anerkanntes Datenschutzgütesiegel entwickeln. In der Praxis wird es aber wohl noch mindestens ein Jahr dauern, bis sich die ersten Unternehmen zertifizieren lassen können.
Unternehmen sollten allerdings schon jetzt die Stiftung als eine Chance begreifen und aktiv darauf hinarbeiten, sich offiziell zertifizieren zu lassen, sagt Silvia Bauer. Sie ist Rechtsanwältin und Partnerin bei der Luther Rechtsanwaltsgesellschaft und berät Unternehmen im Datenschutzrecht sowie im Umgang mit Technologie und Telekommunikation.
Dank des neuen „Daten-TÜVs" könne das Vertrauen in ihre Produkte und Dienstleistungen wachsen. Daraus resultiere ein klarer Wettbewerbsvorteil, den sich die Unternehmen sichern sollten.
Reichlich Kritik am neuen Konzept
Kritik an dem Konzept gibt es momentan allerdings auch reichlich: Die einen bemängeln die finanzielle Ausstattung. Andere machen der Regierung den Vorwurf, die Stiftung sei nur ein Feigenblatt für eine ansonsten mangelnde Datenschutzpolitik. Spannend sei auf jeden Fall die Frage, ob diese Kritik ernst genommen und bei der Umsetzung des Konzepts berücksichtigt werden wird, sagt Bauer.
CIO.de: Was qualifiziert Sie für das Thema?
Silvia Bauer: Datenschutz- und IT-Recht sind meine Schwerpunktthemen bei Luther. Ich bin daneben externe und interne Datenschutzbeauftragte und beschäftige mich seit knapp zwölf Jahren mit allen Themen rund um den Datenschutz, ob es Datenschutz-Audits sind oder der internationale Datentransfer.
Früher hieß es: Datenschutz ist teuer und bringt nichts
CIO.de: Früher war Datenschutz in der Nische, jetzt interessiert das alle, stimmt das?
Bauer: Ja, und ich begrüße diese Entwicklung. Nicht nur für uns Anwälte ist es gut, wenn das Thema in aller Munde ist und Unternehmen dafür sensibilisiert werden. Es hieß früher ja immer, Datenschutz sei teuer und bringe nichts. Unternehmen, vor allem Mittelständler, fragten: Was habe ich am Ende des Tages davon? Inzwischen wird Datenschutz immer häufiger als ein Marketinginstrument begriffen. Je besser ich aufgestellt bin, je weniger Skandale ich in diesem Bereich habe, desto besser ist es für meine Reputation.
CIO.de: Es ist ja erstaunlich, was alles für Daten auf den Markt kommen. Da muss man doch die Bürger besser schützen. Jetzt soll die Stiftung Datenschutz kommen, wie ist der Stand?
Bauer: Der Bundestag hat einen entsprechenden Antrag verabschiedet, ab Oktober 2012 soll die Stiftung Fahrt aufnehmen. Sie lag lange brach, weil man sich nicht einigen konnte, was die Stiftung genau machen und wie sie sie ausgestattet werden soll. Um diese Themen wird immer noch gestritten.
Endlich neutrale Audits
Wir erwarten, dass die Stiftung den Unternehmen endlich neutrale Audits bietet, die es den Firmen ermöglicht, damit auch zu werben. Ein Auditor geht in ein Unternehmen, prüft nach einem offiziell anerkannten Standard wie dieses datenschutzrechtlich aufgestellt ist und gibt eine offizielle Einschätzung des jeweiligen Datenschutz-Standards ab.
Das brauchen wir dringend. Bisher konnten Firmen ihre Bemühungen in Sachen Datenschutz nicht richtig nachweisen, so dass sie diesen Wettbewerbsvorteil im Moment nicht nutzen können. Es gibt natürlich auch hier bereits Selbstverpflichtungen und Kodizes, aber eben kein neutrales Audit.
CIO.de: Sie konnten sich bisher irgendwelche anderen Siegel kaufen, dieser Markt würde dann nicht mehr erfolgreich sein.
Foto: M. Schuppich/Fotolia.de
Bauer: Nein, wohl nicht, denn die Stiftung wird selbst entsprechende Gütesiegel entwickeln. Auf dem Markt gibt es bisher vor allem das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. Dieses wird für die Datenschutzkonformität von IT-Produkten verliehen und basiert nur auf dem Landesdatenschutzgesetz des Landes Schleswig-Holstein. In Europa kann man damit nur schwer werben.
Hier gibt es ergänzend noch das EuroPriSe-Siegel, das auf europäischer Ebene die Datenschutzkonformität von IT-Produkten bestätigt. Das hat sich aber nicht richtig durchgesetzt und dient durch die Beschränkung auf IT-Produkte letztlich nicht der Bestätigung der Einhaltung von Datenschutzstandards im gesamten Unternehmen. Die Standardzertifikate vom TÜV und von anderen privaten Anbietern sind nicht neutral. Dafür brauchen wir eine Behörde.
CIO.de: Ist das nicht doch eine Feigenblatt-Geschichte, für die zu wenig Geld zur Verfügung gestellt wird?
Bauer: Ich bin hier hin- und her gerissen. Es geht um zehn Millionen, das hört sich zunächst viel an. Doch wenn die Stiftung keine externen Auditors anstellen soll, ist das vielleicht doch etwas zu knapp bemessen. Auf der einen Seite muss eine neue Behörde errichtet werden, daneben müsste dort entsprechend gut ausgebildetes und teures Personal angestellt werden. Aber man muss abwarten, in welchem Umfang die Stiftung tatsächlich eigenständig agieren wird oder externe Auditors mit einbezieht.
Unternehmen sollten jetzt schon mit Audits anfangen
CIO.de: Was sagen Sie den Unternehmen, was sollen diese heute schon machen?
Bauer: Empfehlenswert ist, entweder interne Audits durch den eigenen Datenschutzbeauftragten beziehungsweise den Compliance-Officer durchführen zu lassen oder einen externen Experten damit zu beauftragen. Untersucht wird der Datenschutzstandard im Unternehmen, es werden Verbesserungsvorschläge gemacht, um ein gewisses Datenschutzniveau zu erreichen.
Nach einem solchen Audit und der anschließenden Umsetzung können sich Unternehmen relativ entspannt zurück lehnen, da sie damit gut vorbereitet sind für die künftigen neutralen Audits oder Siegel. Sie können diese dann schnell durchführen lassen. Das ist eine Chance für die Firmen, vor allem wenn sie die guten Ergebnisse nach außen tragen und als Wettbewerbsvorteil nutzen. Datenschutz muss natürlich intern auch gelebt werden, sonst fällt es einem vor die Füße.
CIO.de: Das ist alles freiwillig?
Bauer: Ja, aber man muss das Thema auch pragmatisch betrachten. Es ist nicht für alle Unternehmen gleich interessant. Unternehmen, die keine sensiblen Daten, wie bspw. Patientendaten, verarbeiten, sondern „nur" Mitarbeiter-Daten, die nicht im Adresshandel tätig sind, die kein Onlinemarketing machen oder keinen Web Shop betreiben, können den Wettbewerbsvorteil nicht richtig nutzen. Es geht mehr Unternehmen an, die wirklich das Vertrauen der Verbraucher und im Bereich des Datenschutzes Reputation benötigen. Wenn Facebook so ein Siegel hätte, wäre das für alle beruhigend.
CIO.de: Wie schätzen Sie den Stand bei den Unternehmen ein?
Bauer: Insbesondere der Mittelstand scheut sich noch, Datenschutz zu leben. Eine Ausnahme besteht, wenn dort sensible Daten als Kerngeschäft verarbeitet werden oder das Unternehmen in kritischen Bereichen, wie dem Adresshandel, tätig ist. Ansonsten heißt es häufig, so schlimm kann es nicht sein, wir werden uns da schon irgendwie durch lavieren. Bei großen internationalen Konzernen ist es anders, diese unterliegen häufig ganz anderen Compliance-Anforderungen als der Mittelstand. Diese Unternehmen sind alle viel sensibler und haben in der Regel ihren eigenen Vollzeit-Datenschutzbeauftragten, der den Datenschutz vorantreibt.
Die Datenschutzgrundverordnung der EU ist wesentlich laxer
CIO.de: Könnte das nicht bald für alle verpflichtend werden?
Foto: Facebook
Bauer: Grundsätzlich ist die Umsetzung von datenschutzrechtlichen Anforderungen verpflichtend; es wird jedoch nicht umfassend nachgehalten, ob die Unternehmen diese tatsächlich umsetzen. Ansonsten müssen wir schauen, wie sich der Datenschutz entwickeln wird. Im Moment wird über die Europäische Datenschutzgrundverordnung diskutiert, die im Vergleich zu den deutschen Gesetzen teilweise weniger strenge Datenschutzregelungen vorsieht. Man hört etwa, dass nach den bislang vorgesehenen Regelungen nur noch 0,3 Prozent der deutschen Unternehmen einen Datenschutzbeauftragten beschäftigen müssten.
Allerdings sollen höhere Sanktionen für Verstöße vorgesehen werden und Unternehmen mehr in die Pflicht genommen werden, ihre Datenverarbeitungsvorgänge zu kontrollieren. In der Tendenz wird aber nicht davon auszugehen sein, dass der Datenschutz „härter" geregelt wird; dazu kommt, dass viel Lobbyarbeit auf europäischer Ebene betrieben wird, die verhindern wird, dass die Regelungen Unternehmen zu sehr verpflichten.
CIO.de: Wie fällt Ihr Fazit aus?
Bauer: Der Ansatz, dass wir neutrale Audits bekommen, ist gut. Das wird den Datenschutzstandard in den Unternehmen verbessern. Datenschutz ist leider immer noch ein Stiefkind, auch wenn wir künftig immer häufiger mit dem Thema zu tun haben werden. Dazu kommt, dass Datenschutz gelebt werden muss. Nicht jeder Sachbearbeiter, der mit Daten umgeht, ist so sensibilisiert, wie es sein sollte.
Ich mache viele Workshops; wenn ich dort die Teilnehmer auf bestimmte Dinge hinweise, ist das Aha-Erlebnis meist sehr groß. Unternehmen sollten viel aktiver ihre Mitarbeiter mit ins Boot nehmen und eine eigene Datenschutzorganisation aufbauen. Vielfach passieren Verstöße gegen den Datenschutz einfach nur aus Unkenntnis. Aktiv gelebter Datenschutz wäre schön. Die Stiftung kann dazu einen wichtigen Beitrag leisten, da sie durch die Audits die Sensibilisierung vorantreiben wird.
Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation CIO.