Zertifizierungskriterien für das Datenschutzgütesiegel EuroPriSe

Transkript

1 Sebastian Meissner Zertifizierungskriterien für das Datenschutzgütesiegel EuroPriSe Qualitativ hochwertige Zertifizierungskriterien sind eine fundamentale Voraussetzung für den Erfolg und die Reputation eines Gütesiegels. Dies gilt auch und gerade für das zurzeit im Rahmen des Projekts EuroPriSe (European Privacy Seal) konzipierte und erprobte europäische Datenschutzgütesiegel. Der Beitrag beschreibt, wie bei der Entwicklung der EuroPriSe- Kriterien vorgegangen worden ist, und stellt die einschlägigen Zertifizierungskriterien in einem Überblick vor. Einleitung Der Erfolg und die Reputation eines jeden Gütesiegels hängen von verschiedenen Faktoren ab, zu denen neben der Unabhängigkeit und Fachkunde der das Siegel vergebenden Stelle und der Transparenz des Verfahrens auch die Qualität und Nachvollziehbarkeit der inhaltlichen Zertifizierungskriterien gehören. Dies gilt auch für das Europäische Datenschutzgütesiegel, welches gegenwärtig im Rahmen des Projekts EuroPriSe konzeptionell entwickelt und erprobt wird. Ziel des nachfolgenden Beitrags ist es, die Entwicklung der EuroPriSe-Kriterien transparent und nachvollziehbar zu machen und hierdurch die hohe Qualität der entwickelten Zertifizierungskriterien unter Beweis zu stellen. Hierzu werden die materiellrechtlichen Regelungen und sonstigen Quellen benannt, die für die Entwicklung der EuroPriSe-Kriterien maßgeblich gewesen sind. Des Weiteren wird die Methodik, die bei der Erarbeitung der Zertifizierungskriterien angewendet worden ist, beschrieben und mittels zweier Beispiele veranschaulicht. Ass. iur. Sebastian Meissner ist Mitarbeiter des Unabhängigen Landeszentrums für Datenschutz Schleswig- Holstein (ULD) Schließlich werden die im bisherigen Verlauf des Projekts entwickelten und im EuroPriSe-Kriterienkatalog zusammengefassten Zertifizierungskriterien im Überblick vorgestellt. Zu Beginn informiert der Beitrag aber zunächst über Rahmendaten und wesentliche Ziele und Inhalte des Projekts EuroPriSe. 1 Das Projekt EuroPriSe Der Startschuss für das von der Europäischen Union im Rahmen des eten-programms mit 1,2 Mio. geförderte Projekt EuroPriSe European Privacy Seal 1 fiel im Juni Das Projektkonsortium besteht aus neun europäischen Organisationen und Unternehmen, welche unter der Leitung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) bis Ende November 2008 eine Marktevaluierung für ein Europäisches Datenschutz-Gütesiegel vornehmen. Zudem erarbeiten die Projektpartner auch das Konzept für ein solches Datenschutzgütesiegel und erproben dieses im Rahmen von Pilotzertifizierungen. Die Konzeption eines europäischen Datenschutzgütesiegels beinhaltet insbesondere die Festlegung des zu durchlaufenden Verfahrens, die Voraussetzungen für eine Zulassung von Sachverständigen sowie die Entwicklung inhaltlicher Zertifizierungskriterien. Nachfolgend werden einige wesent- 1 Die Website des Projekts ist abrufbar unter liche Elemente des im Rahmen von Euro- PriSe erarbeiteten Konzepts skizziert. 2 Das europäische Datenschutzgütesiegel wird auf Antrag an Hersteller von IT-Produkten (z. B. Hard- und Software) und Anbieter IT-basierter Dienstleistungen (z. B. Auftragsdatenverarbeitung oder webbasierte Dienstleistungen wie Online- Banking) verliehen, wenn diesen der Nachweis gelingt, dass das Produkt bzw. die Dienstleistung mit europäischem Datenschutzrecht in Einklang steht. Der Hersteller eines zertifizierten Produkts kann dieses mit dem europäischen Datenschutzgütesiegel bewerben und sich durch dieses Alleinstellungsmerkmal einen Wettbewerbsvorteil gegenüber seinen Konkurrenten am Markt verschaffen. Kunden wiederum können das EuroPri- Se-Siegel als Entscheidungskriterium bei der Auswahl eines Produkts heranziehen. Eine wesentliche Voraussetzung für die Durchführung der Pilotzertifizierungen war die Anerkennung rechtlicher und technischer IT-Experten als EuroPriSe- Sachverständige für die Pilotphase. Im bisherigen Verlauf des Projekts haben über 40 Gutachter 3 aus zehn EU-Staaten das Zulassungsverfahren, das u. a. die Teil- 2 Weitergehende Informationen finden sich bei Bock, DuD 2007, 410, Bock/Probst in Expanding the Knowledge Economy: Issues, Applications, Case Studies sowie bei Bock/Meissner/Probst, dataprotectionreview.eu, Nº4. 3 Eine Liste der bislang für die Pilotphase zugelassenen EuroPriSe-Experten, die einer Veröffentlichung zugestimmt haben, kann abgerufen werden unter DuD Datenschutz und Datensicherheit

2 nahme an einem Workshop und die Anfertigung eines Trainingsgutachtens beinhaltet, erfolgreich absolviert. Sie haben damit die Berechtigung erworben, nach Beauftragung durch den Hersteller eines Produkts bzw. den Anbieter einer Dienstleistung an einer Pilotzertifizierung mitzuwirken. Hersteller eines Produkts und Anbieter einer Dienstleistung setzen durch die Beauftragung anerkannter EuroPriSe-Sachverständiger ein zweistufiges Verfahren in Gang: Zunächst wird das Produkt bzw. die Dienstleistung von den beauftragten Sachverständigen auf Konformität mit EU-Datenschutzrecht und Erfordernissen der Datensicherheit hin begutachtet. Attestieren die Experten die Einhaltung aller im Einzelfall relevanten EuroPriSe-Kriterien, wird ihr Gutachten zusammen mit dem Antrag auf Erteilung eines Gütesiegels bei einer unabhängigen Zertifizierungsstelle 4 eingereicht. Die jeweilige Zertifizierungsstelle überprüft sodann in einem zweiten, die Qualität der Zertifizierung sichernden Schritt, ob das Gutachten vollständig, schlüssig und nachvollziehbar ist und verleiht in diesem Fall das EuroPriSe-Zertifikat. 5 Auf Wunsch des Herstellers bzw. des Anbieters der Dienstleistung kann die Verleihung des Siegels öffentlich vorgenommen werden. Das erste europäische Datenschutzgütesiegel etwa wurde im Rahmen des Festakts 30 Jahre Datenschutz in Schleswig-Holstein am 14. Juli 2008 an die Meta-Suchmaschine Ixquick verliehen. 6 Das Europäische Datenschutzgütesiegel ist zwei Jahre lang gültig; nach Ablauf dieser Zeitspanne kann ein Re-Zertifizierungsverfahren durchgeführt werden. 4 Zurzeit gibt es mit dem ULD und der Datenschutzaufsichtsbehörde von Madrid (Agencia de Protección de Datos de la Communidad Madrid - AP- DCM) zwei solche Stellen. 5 Kommt die Zertifizierungsstelle zu dem Schluss, dass die Voraussetzungen für die Verleihung eines Gütesiegels nicht vorliegen, wird dies nur an die andere(n) Zertifizierungsstelle(n), jedoch nicht nach außen d.h. öffentlich kommuniziert. 6 Die Pressemitteilung zur Verleihung des 1. European Privacy Seal ist abrufbar unter euro-pean-privacy-seal.eu/press-room/pressreleases/. 2 Entwicklung und Auslegung der Kriterien 2.1 Katalog des ULD Ausgangspunkt der Entwicklung des EuroPriSe-Kriterienkatalogs (EuroPriSe Criteria Catalogue) war der Anforderungskatalog für das Gütesiegelverfahren beim ULD, welches seit 2001 auf der Grundlage des Paragrafen 4 Absatz 2 des Landesdatenschutzgesetzes Schleswig-Holstein (LDSG SH) durchgeführt wird. 7 Der Anforderungskatalog des ULD ist in vier verschiedene Komplexe unterteilt und benennt exemplarisch Datenschutz- und Datensicherheitsanforderungen, die in erster Linie aus dem LDSG SH und der schleswig-holsteinischen Datenschutzverordnung (DSVO) abgeleitet worden sind. Diese grundlegende Strukturierung in vier inhaltliche Komplexe wurde für den EuroPriSe-Katalog übernommen. Die Aufgabenstellung für die Projektpartner bestand nun darin, den Katalog an die Rahmenbedingungen auf Ebene der Europäischen Union und damit insbesondere an das europäische Datenschutzrecht anzupassen. 2.2 Inhaltliche Aussage des EuroPriSe-Gütesiegels Zunächst war die grundlegende Frage zu beantworten, welche materiellrechtlichen Regelungen bei der Entwicklung der EuroPriSe-Kriterien zu berücksichtigen sein würden. Voraussetzung für eine Antwort auf diese Frage war die exakte Festlegung dessen, was das Europäische Datenschutzgütesiegel bescheinigt. Für die EuroPriSe- Projektphase verständigten sich die Projektpartner insoweit auf die folgende Definition: The European Privacy Seal certifies that an IT product or IT-based service facilitates the use of that product or service in a way compliant with European regulations on privacy and data protection, taking into account the legislation in the pilot countries. Das Europäische Datenschutz-Gütesiegel bescheinigt also, dass ein IT-Produkt oder eine IT-basierte Dienstleistung eine Nutzung dieses Produkts oder dieser Dienstleistung erleichtert, die mit den Vorschriften des EU-Datenschutzrechts vereinbar ist. Bei der Beantwortung der Frage, ob 7 Hierzu vgl. etwa Bäumler, DuD 2004, 80. dies der Fall ist, ist zudem die nationale Gesetzgebung (zunächst nur) in den Euro- PriSe-Pilotstaaten zu berücksichtigen. Dieser Definition lässt sich entnehmen, dass das europäische Datenschutzgütesiegel gerade keine Compliance mit nationalem Recht bescheinigt. Dies gilt insbesondere auch für das nationale Recht der Pilotstaaten Deutschland, Großbritannien, Österreich, Schweden, Slowakei und Spanien und ergibt sich insoweit aus der Formulierung, dass die nationale Gesetzgebung in den Pilotstaaten lediglich zu berücksichtigen ist. 8 Sofern Hersteller daran interessiert sind, neben der Vereinbarkeit ihres Produkts mit EU-Datenschutzrecht auch die Einhaltung des nationalen Rechts eines Pilotstaats oder eines anderen EU-Mitgliedsstaats bescheinigt zu bekommen, sind sie auf das gegenwärtig im Entstehen begriffene Angebot an nationalen Gütesiegelmodellen zu verweisen. 9 Im Idealfall werden künftig nationale Gütesiegel in den einzelnen EU-Mitgliedstaaten das europäische Gütesiegel wie in einem Baukastensystem um spezifische Aspekte des jeweiligen nationalen Rechts ergänzen. Darüber hinaus mag es erstaunen, dass das EuroPriSe-Gütesiegel auch keine definitive Compliance mit europäischem Datenschutzrecht bescheinigt, sondern aussagt, dass ein Produkt oder eine Dienstleistung eine mit EU-Datenschutzrecht vereinbare Nutzung erleichtert. Dies resultiert daraus, dass eine datenschutzgerechte Nutzung eines IT-Produkts stets von demjenigen abhängt, der das Produkt verwendet. Auch wenn der Hersteller des Produkts dieses in höchstem Maße datenschutzfreundlich ausgestaltet, besteht nämlich immer die Möglichkeit, dass der Erwerber es nicht im Einklang mit europäischem Datenschutzrecht einsetzt. Etwas anders stellt sich die Situation hinsichtlich IT-basierter Dienstleistungen dar: Diese werden von einem Provider in einer konkreten Art und Weise erbracht, weshalb bei ihnen eine weitergehende Compliance-Untersuchung vorgenommen werden kann. Hierbei ist zudem das 8 Es wird noch an anderer Stelle in diesem Beitrag darauf einzugehen sein, was dies konkret bedeutet. 9 In Frankreich werden zurzeit die gesetzlichen Grundlagen für ein nationales Datenschutzgütesiegel- und auditmodell geschaffen. Es sei auch darauf hingewiesen, dass in der Schweiz am 01. Januar 2008 die neue Datenschutz-Zertifizierungsverordnung in Kraft getreten ist. 526 DuD Datenschutz und Datensicherheit

3 nationale Recht des Staates, in dem die Datenverarbeitung hauptsächlich stattfindet, einer genaueren Prüfung zu unterziehen. 2.3 Relevantes europäisches Datenschutzrecht Aus der Definition dessen, was das Europäische Datenschutzgütesiegel aussagt, folgt, dass die inhaltlichen Zertifizierungskriterien primär aus den Vorschriften des EU-Datenschutzrechts abzuleiten sind. Wichtigste Quelle für die Entwicklung der Kriterien ist damit die allgemeine Datenschutzrichtlinie (DSRL) der Europäischen Union. 10 Diese zielt darauf ab, durch eine Harmonisierung 11 der nationalen Datenschutzvorschriften ein hohes Schutzniveau für personenbezogene Daten in der Europäischen Union sicherzustellen, gleichzeitig aber auch darauf, den freien Verkehr mit personenbezogenen Daten innerhalb der EU zu gewährleisten und hierdurch zum Funktionieren des Europäischen Binnenmarkts beizutragen. Die DSRL stellt generelle Regeln auf, die bei einer automatisierten oder dateibasierten Verarbeitung personenbezogener Daten zu beachten sind. Wie jede EG-Richtlinie stellt die DSRL aber grundsätzlich kein unmittelbar in den EU-Mitgliedstaaten geltendes Recht dar. Vielmehr bedarf auch sie der Umsetzung in das innerstaatliche Recht der Mitgliedstaaten. Mittlerweile ist diese Umsetzung in allen EU- Staaten erfolgt. Eine weitere wichtige Quelle für die Entwicklung der EuroPriSe-Kriterien ist die Datenschutzrichtlinie für elektronische Kommunikation (DSRLeK). 12 Wie schon der Name dieser Richtlinie besagt, enthält sie spezielle Regelungen für den Bereich der elektronischen Kommunikation, wie etwa zur Zulässigkeit der Verarbeitung von Verkehrs- und Standortdaten oder der Zusendung unerbetener Nachrichten (SPAM). Die DSRLeK stellt damit 10 Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 11 Zur kontrovers diskutierten Frage, ob die Richtlinie nur Mindeststandards vorschreibt oder eine verbindliche Obergrenze für nationale Vorschriften festlegt, vgl. Kuner, European Data Protection Law, Rn ff. 12 Richtlinie 2002/58/EG vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. bereichsspezifisches Datenschutzrecht dar: Sie konkretisiert und ergänzt die Bestimmungen der allgemeinen Datenschutzrichtlinie. Auch die DSRLeK ist mittlerweile von allen EU-Mitgliedstaaten in nationales Recht umgesetzt worden. Neben den beiden bereits genannten Datenschutzrichtlinien ist bei der Entwicklung der EuroPriSe-Kriterien auch die Richtlinie 2006/24/EG 13 in Betracht zu ziehen, welche Regelungen zur Vorratsdatenspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste erzeugt oder verarbeitet werden, enthält. Schließlich ist darauf hinzuweisen, dass es auf EU-Ebene vereinzelt noch weitere bereichsspezifische Datenschutzbestimmungen wie etwa Artikel 8 der Signaturrichtlinie 14 gibt. Sind diese Regelungen einschlägig, müssen auch sie im Rahmen eines Zertifizierungsverfahrens beachtet werden. 2.4 Konkretisierung und Auslegung des EU-Rechts Problemstellung Die europäische Datenschutzrichtlinie gibt den Mitgliedstaaten der Europäischen Union zum Einen detailgetreue rechtliche Regelungen vor, bei deren Umsetzung in nationales Recht den Mitgliedstaaten keine bzw. nur minimale eigene Gestaltungsbefugnisse verbleiben. Sie enthält zum anderen aber auch eine Reihe von Vorschriften, die lediglich gewisse Leitlinien vorgeben, hinsichtlich deren Implementierung in nationales Recht den Mitgliedstaaten ein beträchtlicher Spielraum eingeräumt wird. So finden sich etwa in Artikel 17 Absatz 1 DSRL nur generelle Leitlinien dazu, welche technisch-organisatorischen Maßnahmen der für die Verarbeitung Verantwortliche zu treffen hat, um die Sicherheit der Verarbeitung zu gewährleisten. Solche Regelungen sind aber nicht dazu geeignet, aus ihnen konkrete, zertifizierungstaugliche Kriterien abzuleiten. Dieses Problem lässt sich auch unter Zuhilfenahme der am Anfang der Richtlinie aufgelisteten Erwä- 13 Richtlinie 2006/24/EG vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/ EG. 14 Richtlinie 1999/93/EG vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen. gungsgründe 15 nicht zufriedenstellend lösen. Im Rahmen der Entwicklung der EuroPriSe-Kriterien stellte sich deshalb die Frage, wie aus den in der Richtlinie enthaltenen Vorschriften, die lediglich Leitlinien und Zielvorgaben enthalten, hinreichend konkrete Kriterien abgeleitet werden können. Hierzu bieten sich auf EU- Ebene verschiedene Hilfsmittel an, die nachfolgend vorgestellt werden. Rechtsprechung von EuGH und EuG Zunächst einmal lag es nahe, die Rechtsprechung des Europäischen Gerichtshofs (EuGH) und des Europäischen Gerichts erster Instanz (EuG) daraufhin zu untersuchen, ob sich ihr Konkretisierungen der Vorschriften der allgemeinen Datenschutzrichtlinie entnehmen lassen. Eine entsprechende Analyse ergab, dass sich beide Gerichte bislang nur in einigen wenigen Entscheidungen explizit mit Fragestellungen aus dem Bereich des Datenschutzrechts befasst haben. 16 Zu nennen sind hier etwa die beiden EuGH-Urteile Bodil Lindqvist 17 und Österreichischer Rundfunk 18. Einige Aussagen, die in den bislang ergangenen Entscheidungen mit Datenschutzbezug getroffen wurden, konnten für die Entwicklung der EuroPriSe-Kriterien bzw. zur Erstellung von Hinweisen zu deren Auslegung verwendet werden. Als Beispiel seien hier nur die Ausführungen des EuGH zur Auslegung des in Artikel 8 Absatz 1 der Richtlinie verwendeten Begriffs Daten über Gesundheit in der bereits erwähnten Bodil Lindqvist -Entscheidung genannt. 19 Hiernach ist dieser Begriff in dem Sinne weit auszulegen, dass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten körperlichen wie psychischen betreffen Hinsichtlich Artikel 17(1) DSRL ist Erwägungsgrund Nr. 46 einschlägig. 16 Eine Übersicht der bisherigen Rechtsprechung des Europäischen Gerichtshofs und des Europäischen Gerichts erster Instanz kann abgerufen werden unter privacy/law/index_de.htm. 17 Urteil des Europäischen Gerichtshofs vom 06. November 2003 in der Sache C-101/ Urteil des Europäischen Gerichtshofs vom 20. Mai 2003 in den verbundenen Rechtssachen C-465/00, C-138/01 und C-139/ Lindqvist-Urteil (s. o. Fn. 17), Rz Konkret bedeutete dies, dass auch die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, zu den personenbezogenen Daten über die Gesundheit gehört. DuD Datenschutz und Datensicherheit

4 Dennoch reichte die bisherige Rechtsprechung der beiden Gerichte der Europäischen Union für sich genommen nicht dazu aus, um hieraus alle relevanten Zertifizierungskriterien zu entwickeln und ausreichende Auslegungshilfen zu den einzelnen Kriterien zur Verfügung zu stellen. Dokumente der Artikel 29 Datenschutzgruppe Deshalb war zu überlegen, welche weiteren Quellen für eine Konkretisierung und Auslegung der allgemeinen Datenschutzrichtlinie zur Verfügung stehen. Identifiziert wurden insoweit insbesondere die Empfehlungen, Stellungnahmen und sonstigen Dokumente der durch Artikel 29 DSRL eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten (Art. 29 Datenschutzgruppe). 21 Diese Gruppe ist das unabhängige Beratungsgremium der EU in allen Fragen des Datenschutzes. Ihr gehören neben einem Vertreter der EU- Kommission und dem Europäischen Datenschutzbeauftragten auch Vertreter der nationalen Datenschutzaufsichtsbehörden an. Die Art. 29 Datenschutzgruppe hat seit 1997 mehr als 150 Dokumente 22 verabschiedet, die vielfach spezielle datenschutzrechtliche Fragestellungen (z. B. Datenschutz und Suchmaschinen WP 148) oder generelle Problemstellungen (z. B. Personenbezug von Daten WP 136) zum Gegenstand haben. 23 Auch wenn die Stellungnahmen und Empfehlungen der Gruppe nicht rechtsverbindlich sind, sondern nur beratenden Charakter haben, wurden diese Dokumente als weitere Quelle für die Entwicklung und Auslegung der EuroPriSe-Zertifizierungskriterien herangezogen. Dadurch dass in der Art. 29 Datenschutzgruppe der Sachverstand aller nationalen Datenschutzaufsichtsbehörden der EU- Mitgliedstaaten sowie des Europäischen Datenschutzbeauftragten gebündelt wird, 21 Als weitere potentielle Quelle wurde die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) zu Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) ausgemacht. 22 Sämtliche Dokumente sind abrufbar unter 23 In anderen Dokumenten positioniert sich die Gruppe beispielsweise zu laufenden Gesetzgebungsverfahren auf EU-Ebene (z.b. WP 150 zur Reform der Richtlinie 2002/ 58/EG) oder zur Angemessenheit des Datenschutzniveaus in bestimmten sogenannten Drittstaaten. kann man nämlich davon ausgehen, dass bei Befolgung der Stellungnahmen und Empfehlungen der Gruppe ein hohes Datenschutzniveau im Sinne der allgemeinen Datenschutzrichtlinie 24 sichergestellt ist. Berücksichtigung des Rechts der Pilotstaaten Wie bereits erwähnt ist bei einer EuroPri- Se-Zertifizierung auch das nationale Recht der Pilotstaaten zu berücksichtigen. Vor der eigentlichen Entwicklung der Zertifizierungskriterien war also noch zu klären, was diese relativ vage formulierte Aussage konkret bedeutet, da hiervon abhing, ob und inwieweit das nationale Recht Eingang in die Entwicklung und Auslegung der EuroPriSe-Kriterien finden würde. Insoweit wurde Folgendes festgehalten: Es sind nur solche nationalen Rechtsvorschriften in Betracht zu ziehen, die EU- Datenschutzrecht implementieren. 25 Sonstiges bereichsspezifisches Datenschutzrecht der Pilotstaaten wird hingegen nicht berücksichtigt, da dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Nationales Recht der Pilotstaaten findet nur dann Eingang in die Kriterien des EuroPriSe-Katalogs, wenn einschlägige Regelungen des EU-Rechts nur generelle Leitlinien vorgeben und zudem weder der Rechtsprechung der Europäischen Gerichte noch den Dokumenten der Art. 29 Datenschutzgruppe ausreichende Konkretisierungen entnommen werden können. Berücksichtigt wurde das nationale Recht der Pilotstaaten insbesondere bei der Entwicklung der Kriterien zu technischen und organisatorischen Maßnahmen der Datensicherheit. 26 Hinweise auf gravierende Besonderheiten des nationalen Rechts (z. B. das grundsätzliche Schriftformerfordernis der Einwilligung nach deutschem Recht) sind Bestandteil der Auslegungshilfen zu den Kriterien Vgl. Erwägungsgrund 10 der Richtlinie. 25 Primär handelt es sich also um die Vorschriften, die die allgemeine Datenschutzrichtlinie in nationales Recht umsetzen. 26 Nähere Ausführungen hierzu folgen sogleich im Abschnitt Beispiele für die Entwicklung und Auslegung von Kriterien. 27 Ausdrücklich hingewiesen sei an dieser Stelle aber nochmals darauf, dass das Europäische Datenschutzgütesiegel in keinem Fall Compliance mit nationalen Rechtsvorschriften bescheinigt. Beispiele für die Entwicklung und Auslegung von Kriterien Anhand zweier Beispiele soll nun verdeutlicht werden, wie hinsichtlich der Entwicklung und Auslegung der EuroPriSe- Kriterien konkret vorgegangen wurde: Beispiel 1: Trechnisch-organisatorische Maßnahmen Gegenstand des ersten Beispiels ist die Entwicklung von Kriterien zu technischen und organisatorischen Maßnahmen der Datensicherheit auf der Grundlage des bereits erwähnten Artikels 17 Absatz 1 DS- RL. Da diese Regelung nur Leitlinien und Zielvorgaben enthält, konnten aus ihr alleine keine konkreten Zertifizierungskriterien für den EuroPriSe-Katalog abgeleitet werden. Auch die bisherige Rechtsprechung des EuGH und des EuG enthält keine Aussagen zu Artikel 17(1) DSRL, aus denen geeignete Kriterien hätten abgeleitet werden können. Schließlich hat auch die Artikel 29 Datenschutzgruppe noch nicht ausführlich zu den Vorgaben und Anforderungen dieser Bestimmung Stellung genommen. Somit lagen alle Voraussetzungen vor, die für die Ableitung von Kriterien aus nationalen Rechtsvorschriften der Pilotstaaten definiert worden waren. Eine Analyse zeigte, dass hinsichtlich der Art und Weise der Implementierung von Artikel 17(1) DSRL in den EuroPriSe-Pilotstaaten signifikante Unterschiede bestehen. So definiert das nationale Recht einiger Pilotstaaten ähnlich der DSRL lediglich Sicherheitsziele, trifft aber keinerlei Aussagen zu den technischen und organisatorischen Maßnahmen, die zur Erreichung dieser Ziele von dem für die Verarbeitung Verantwortlichen zu treffen sind 28 (Gruppe 1). Eine zweite Gruppe von Pilotstaaten ist bei der Implementierung hierüber hinausgegangen und hat die zu treffenden Maßnahmen in den einschlägigen gesetzlichen Regelungen mehr oder weniger detailliert spezifiziert 29 (Gruppe 2). In den verbleibenden Pilotstaaten gibt es schließlich nationale Rechtsvorschriften, die sowohl mögliche Risiken bei der Verarbeitung personenbezogener Daten identifizieren als auch unterschiedliche Sicherheitslevel für verschiedene Arten der Datenverarbeitung festlegen und für jedes Sicherheitslevel technische und organisatorische Maß- 28 So etwa das schwedische Datenschutzgesetz (Artikel 31). 29 So z.b. das deutsche Bundesdatenschutzgesetz (Paragraf 9 nebst Anlage). 528 DuD Datenschutz und Datensicherheit

5 nahmen auflisten, die von dem für die Verarbeitung Verantwortlichen zu ergreifen sind 30 (Gruppe 3). Mit Hilfe der nationalen Rechtsvorschriften, die Gruppe 2 und 3 zuzuordnen sind, war es nun möglich, hinreichend konkrete Kriterien zu technisch-organisatorischen Maßnahmen zu entwickeln. Zudem kann mangels Alternativen auch bei der Auslegung der EuroPriSe-Kriterien auf diese Regelungen zurückgegriffen werden. Beispiel 2: Sensitive Daten Das zweite Beispiel betrifft die Frage, welche Arten sensitiver Daten bei der Entwicklung der Kriterien zu berücksichtigen sind. Insoweit war zunächst zu beachten, dass Artikel 8 Absatz 1 DSRL einen Katalog bestimmter Arten personenbezogener Daten (sog. sensitive Daten 31 ) enthält, die der Richtliniengeber als besonders schutzwürdig angesehen hat und für deren Verarbeitung er deshalb besonders strenge Voraussetzungen vorgesehen hat. Zu klären war, ob über die in Artikel 8(1) DSRL aufgezählten Datenkategorien hinaus noch weitere, aus dem nationalen Recht der Pilotstaaten entlehnte Arten sensitiver Daten in den EuroPriSe-Katalog aufzunehmen waren. So findet sich etwa im slowakischen Recht ein Katalog sensitiver Daten, der neben den in Artikel 8(1) DSRL genannten Datenkategorien explizit auch die Mitgliedschaft in politischen Parteien oder Bewegungen aufführt. 32 Da der Katalog in Artikel 8(1) DSRL die verschiedenen Arten sensitiver Daten abschließend benennt, waren solche weiteren Kategorien sensitiver Daten bei der Entwicklung der EuroPriSe-Kriterien jedoch nicht zu berücksichtigen. Schließlich sei angemerkt, dass sowohl der EuGH als auch insbesondere die Artikel 29 Datenschutzgruppe bereits Hinweise dazu gegeben haben, wie die in Artikel 8(1) DSRL verwendeten Termini im Einzelfall auszulegen sind So insbesondere die detaillierten Vorschriften des spanischen Rechts (Verordnung 1720/2007). 31 Im Rahmen von EuroPriSe wird terminologisch zwischen besonderen Kategorien personenbezogener Daten (Oberbegriff, der alle in Artikel 8 aufgeführten Arten von Daten umfasst) und sensitiven Daten (Unterbegriff, der nur den Katalog in Artikel 8(1) umfasst) differenziert. 32 Artikel 8 Absatz 1 des slowakischen Datenschutzgesetzes. 33 So hat sich die Art. 29 Gruppe z.b. dazu geäußert, wann es sich bei bestimmten biometrischen Daten um sensitive Daten im Sinne der DSRL handelt (WP 80 Working Document on biometrics). 3 Der EuroPriSe- Kriterienkatalog 3.1 Allgemeines Die Zertifizierungskriterien des europäischen Datenschutzgütesiegels sind im EuroPriSe-Kriterienkatalog aufgelistet. Dieses Dokument ist für jedermann frei zugänglich und kann von der Projekt-Website abgerufen werden. 34 Anerkannten EuroPriSe-Sachverständigen wird eine um prüfungsspezifische Hinweise ergänzte Version dieses Katalogs zur Verfügung gestellt. Ein weiteres Dokument für Sachverständige, der EuroPriSe-Kommentar, enthält Auslegungshilfen und weitere Anmerkungen zu den einzelnen Kriterien. 35 Im EuroPriSe-Katalog werden die entwickelten Kriterien nicht nur benannt, sondern es werden auch inhaltliche Fragen zu jedem einzelnen Kriterium aufgelistet. Diese Fragen sind bei der Entwicklung der Kriterien als für deren Prüfung besonders relevant identifiziert worden und sollen eine Evaluation auf der Grundlage des EuroPriSe-Katalogs erleichtern. Hieraus darf allerdings nicht der Schluss gezogen werden, dass es sich bei dem Katalog um eine reine Prüfungscheckliste handelt, die im Rahmen einer Evaluation von den Sachverständigen schlicht abgehakt werden muss. Vielmehr haben weder die aufgeführten Kriterien noch die zu diesen formulierten Fragen abschließenden Charakter. EuroPriSe-Sachverständige werden durch den Katalog also gerade nicht davon entbunden, eigenständig zu prüfen, ob nicht im Einzelfall noch weitere Kriterien zu berücksichtigen bzw. Fragen zu beantworten sind. Der EuroPriSe-Kriterienkatalog setzt sich aus zwei Bestandteilen zusammen: Auf einen Einleitungsteil mit wesentlichen Definitionen und Hinweisen zur Spezifizierung und Analyse des Zertifizierungsgegenstands folgt der eigentliche Kriterienkatalog. Bevor nachfolgend ein Überblick über die EuroPriSe-Kriterien gegeben wird, ist zunächst noch auf die Relevanz einer exakten Definition des Zertifizierungsgegenstands einzugehen criteria 35 Im Rahmen dieses Beitrags wird auf den EuroPriSe-Kommentar und auf den erweiterten Katalog für Sachverständige nicht näher eingegangen. 3.2 Bestimmung des Zertifizierungsgegenstands Die genaue Festlegung des Zertifizierungsgegenstands gebräuchlicher ist der englische Terminus Target of Evaluation (ToE) ist von elementarer Bedeutung für ein Zertifizierungsverfahren, da selbst vermeintlich kleine Änderungen des Zertifizierungsgegenstands gravierende Auswirkungen auf die durchzuführende Prüfung und das Prüfungsergebnis haben können. 36 Das ToE muss nicht notwendigerweise ein komplettes IT-Produkt sein. Vielmehr kann es sich bei ihm auch um einen oder mehrere Bestandteile eines Produkts handeln. Ebenso ist es möglich, mehrere Produkte zu einem Zertifizierungsgegenstand zusammenzufassen. Entsprechendes gilt für die Zertifizierung IT-basierter Dienstleistungen. Ausführungen zum ToE bilden einen wichtigen Bestandteil eines jeden Sachverständigengutachtens. Zu Beginn des Gutachtens sind der Zertifizierungsgegenstand und sein konkreter Anwendungsbereich so genau wie möglich zu bestimmen. Darüber hinaus wird von den Sachverständigen an dieser Stelle verlangt, die beim Einsatz des ToE entstehenden Datenflüsse abzubilden und eine erste Analyse der anwendbaren Rechtsvorschriften vorzunehmen. 3.3 Die Kriterien im Überblick Der EuroPriSe-Kriterienkatalog als solcher besteht aus vier thematischen Komplexen, auf die sich die einzelnen Kriterien verteilen: Komplex 1: Fundamentale Gesichtspunkte Der erste dieser Komplexe befasst sich mit fundamentalen Gesichtspunkten der Funktionsweise und des technischen Designs des Zertifizierungsgegenstands. In einem ersten Teilkomplex sind elementare Aspekte der mit der Nutzung des ToE verbundenen Datenverarbeitung zu untersuchen. Zu prüfen ist an dieser Stelle insbesondere, welche Datenverarbeitungsschritte erfolgen, zu welchen Zwecken dies jeweils geschieht, ob und wenn ja welche personenbezogenen Daten verarbeitet 36 Deshalb ist etwa bei der Zertifizierung von Software stets festzulegen, welche Version der jeweiligen Applikation Gegenstand des Verfahrens sein soll. DuD Datenschutz und Datensicherheit

6 werden und wer für die Datenverarbeitung verantwortlich ist. Die Besonderheit dieses Teilkomplexes besteht somit darin, dass bei seiner Bearbeitung nicht die Einhaltung konkreter Kriterien zu überprüfen ist. Die Aufgabenstellung für Sachverständige besteht vielmehr darin, einen Überblick über wesentliche Aspekte der bei Verwendung des Zertifizierungsgegenstands erfolgenden Datenverarbeitung zu liefern. Anders sieht dies aber bereits hinsichtlich des zweiten Teilkomplexes aus, anhand dessen das technische Design des ToE evaluiert wird. Relevante Kriterien dieses Teilkomplexes sind Datenvermeidung und sparsamkeit sowie Transparenz. Zu prüfen ist hier also, ob der Zertifizierungsgegenstand technisch so ausgestaltet ist, dass so wenig personenbezogene Daten wie möglich verarbeitet werden, und ob von vorhandenen Möglichkeiten einer Anonymisierung oder Pseudonymisierung Gebrauch gemacht wird. Ebenso ist hier zu untersuchen, ob sowohl für die Benutzer eines Produktes als auch für die von der Datenverarbeitung betroffenen Personen ein genügendes Maß an Transparenz gewährleistet ist. Insoweit sind vorhandene Dokumente wie z. B. ein Benutzerhandbuch, aber auch datenschutzspezifische Informationen, wie sie etwa im Rahmen einer Datenschutzerklärung auf einer Website zur Verfügung gestellt werden, auf ihre Vollständigkeit, Richtigkeit, Verständlichkeit und Aktualität hin zu evaluieren. Komplex 2: Rechtmäßigkeit der Datenverarbeitung Gegenstand des zweiten Komplexes des EuroPriSe-Katalogs ist die Rechtmäßigkeit der Datenverarbeitung. Hier befasst sich der erste Teilkomplex mit der zentralen Frage nach dem Vorhandensein einer Rechtsgrundlage für jegliche, bei der Benutzung des Zertifizierungsgegenstands erfolgende Verarbeitung personenbezogener Daten. Dieser Teilkomplex ist in verschiedene Gruppen von Kriterien unterteilt: Diese befassen sich insbesondere mit der Frage nach der Existenz einer Rechtsgrundlage für eine Verarbeitung normaler personenbezogener Daten sowie für eine Verarbeitung sensitiver Daten. Zudem finden sich hier auch erstmals Kriterien, die aus der Datenschutzrichtlinie für elektronische Kommunikation abgeleitet worden sind und folglich deren Anwendbarkeit 37 voraussetzen: Diese Kriterien betreffen spezielle Voraussetzungen für die Rechtmäßigkeit der Verarbeitung von Verkehrs- und Standortdaten sowie für die Zusendung unerbetener Werbenachrichten. Ein zweiter Teilkomplex hat Kriterien zum Gegenstand, die sich mit der Rechtmäßigkeit spezieller Phasen der Datenverarbeitung befassen. Zu prüfen ist hier beispielsweise, ob die betroffenen Personen bei der Erhebung von Daten ordnungsgemäß informiert werden, ob Daten an Dritte übermittelt werden dürfen oder wann Daten nicht mehr erforderlich und damit zu löschen sind. Im Zentrum eines weiteren Teilkomplexes steht die Frage nach der Vereinbarkeit der Datenverarbeitung mit wichtigen Datenschutzprinzipien wie Zweckbindung, Verhältnismäßigkeit und Qualität sprich Richtigkeit der Daten. Gegenstand des vierten Teilkomplexes sind Kriterien, die die Rechtmäßigkeit spezieller Varianten der Datenverarbeitung wie Auftragsdatenverarbeitung und Übermittlung personenbezogener Daten in Drittländer 38 betreffen. Im letzten Teilkomplex geht es schließlich um die Verpflichtung des für die Verarbeitung Verantwortlichen zur Meldung einer Datenverarbeitung bei der Kontrollstelle 39 und zur Vorabkontrolle von Verarbeitungen, die spezifische Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten können. Komplex 3: Technisch-organisatorische Maßnahmen Der dritte Komplex des Katalogs betrifft die zur Gewährleistung der Datensicherheit von dem für die Verarbeitung Verantwortlichen zu treffenden technisch-organisatorischen Maßnahmen. Im Rahmen einer Evaluation dieses Komplexes ist stets zu beachten, dass nach Artikel 17(1) DSRL 37 Grundsätzlich ist die DSRLeK nur dann anwendbar, wenn die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste in öffentlichen Kommunikationsnetzen erfolgt. Laut Art. 29 Datenschutzgruppe handelt es sich aber jedenfalls bei Artikel 5(3) und 13 der DSRLeK um generelle Vorschriften, die bei jeglicher Verwendung von Cookies bzw. Versendung von SPAM anwendbar sind (vgl. WP 148, S. 12). 38 Dies er Begriff bezeichnet solche Staaten, die weder Mitglied der Europäischen Union sind noch zum Europäischen Wirtschaftsraum (EWR) gehören. 39 Mit diesem von der DSRL verwendeten Begriff ist die zuständige Datenschutzaufsichtsbehörde gemeint. nicht alle theoretisch denkbaren Maßnahmen zu treffen sind, sondern lediglich solche, die hinsichtlich der konkret zu prüfenden Datenverarbeitung geeignet und angemessen sind. In einem ersten Teilkomplex werden Kriterien aufgelistet, die generelle Pflichten zum Gegenstand haben. Hierzu zählt etwa die Pflicht zur Kontrolle des Zutritts zu Datenverarbeitungssystemen oder zur Verhinderung einer unbefugten Nutzung solcher Systeme. Außerdem gehören dazu auch die Pflichten zur Protokollierung der Datenverarbeitung, zur Gewährleistung von Netzwerk- und Transportsicherheit und zur Verhinderung eines zufälligen Verlusts von Daten. Die verbleibenden Kriterien dieses Teilkomplexes betreffen schließlich technische Aspekte der Löschung von Daten, temporäre Dateien und die Dokumentation von Produkten und Dienstleistungen aus der Perspektive eines Kunden. Gegenstand des zweiten Teilkomplexes sind spezielle, technik- und dienstleistungsspezifische Anforderungen. Die insoweit einschlägigen Kriterien betreffen Themen wie Verschlüsselung, Anonymisierung und Pseudonymisierung sowie die Pflicht zur Gewährleistung der Transparenz automatisierter Einzelentscheidungen. Komplex 4: Betroffenenrechte Der vierte und letzte Komplex des Katalogs beinhaltet schließlich Kriterien, die die subjektiven Rechte der von einer Datenverarbeitung betroffenen Personen zum Gegenstand haben. Der erste Teilkomplex betrifft subjektive Rechte, die durch die allgemeine Datenschutzrichtlinie garantiert werden. Hierzu gehört zunächst einmal das Recht auf Information, welches den Pflichten des für die Verarbeitung Verantwortlichen zur Unterrichtung und Benachrichtigung der betroffenen Personen korrespondiert. Die weiteren Kriterien dieses Teilkomplexes befassen sich mit den Rechten auf Auskunft, Berichtigung, Löschung und Sperrung sowie mit dem Recht, einer Datenverarbeitung in bestimmten Fällen zu widersprechen. Die Kriterien des zweiten Teilkomplexes betreffen die subjektiven Rechte, die den Teilnehmern oder Nutzern eines öffentlich zugänglichen elektronischen Kommunikationsdienstes von der Datenschutzrichtlinie für elektronische Kom- 530 DuD Datenschutz und Datensicherheit

7 munikation eingeräumt werden. 40 Zu nennen sind insoweit das Recht, über Sicherheitsrisiken informiert zu werden, das Recht auf Vertraulichkeit der Kommunikation sowie das Recht, über Cookies und andere Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, informiert zu werden. Weitere durch die DSRLeK verbriefte Rechte sind das Recht, Rechnungen ohne Einzelgebührennachweis zu erhalten, das Recht auf Rufnummernunterdrückung und Abstellung einer automatischen Anrufweiterschaltung sowie besondere Rechte im Hinblick auf die Aufnahme in Teil- 40 Diese Kriterien sind nur dann einschlägig, wenn die DSRLeK im Hinblick auf den Zertifizierungsgegenstand anwendbar ist (hierzu Fn. 37). nehmerverzeichnisse elektronischer Kommunikationsdienste (z. B. Telefonbücher). 4 Ausblick Der EuroPriSe-Kriterienkatalog muss seine erste Bewährungsprobe im Rahmen der zurzeit laufenden Pilotzertifizierungen bestehen. Er ist ein Dokument, das kontinuierlich weiterentwickelt und verbessert wird. Eine Weiterentwicklung ist schon deshalb erforderlich, weil die Zertifizierungskriterien aus dem geltenden EU- Datenschutzrecht entwickelt worden sind und zukünftige Änderungen des materiellen Rechts deshalb zwangsläufig auch zu Anpassungen im Kriterienkatalog führen müssen. Gleiches gilt für Veränderungen des state of the art im Bereich der Technik. Da sich das Gesetzgebungsverfahren für eine Reform der Datenschutzrichtlinie für elektronische Kommunikation bereits in einem fortgeschrittenen Stadium befindet 41, ist schon jetzt absehbar, dass es in naher Zukunft zu einer inhaltlichen Weiterentwicklung des EuroPriSe-Katalogs kommen wird. 41 Vgl. den Vorschlag für eine Richtlinie zur Änderung der Richtlinie 2002/22/EG, der Richtlinie 2002/58/EG und der Verordnung (EG) Nr. 2006/2004 (KOM(2007) 698). DuD Datenschutz und Datensicherheit