von lic.iur. Hanspeter Thür, Rechtsanwalt, Eidgenössischer Datenschutzbeauftragter 1. Datenschutzaudit als neues Instrument des Datenschutzes



Ähnliche Dokumente
Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

«Zertifizierter» Datenschutz

Mobile Intranet in Unternehmen

Kirchlicher Datenschutz

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Copyright 1997 Kammer der Wirtschaftstreuhänder All rights reserved

GPA-Mitteilung Bau 5/2002

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Versetzungsgefahr als ultimative Chance. ein vortrag für versetzungsgefährdete

Meine Daten. Mein Recht

Deutliche Mehrheit der Bevölkerung für aktive Sterbehilfe

Bürger legen Wert auf selbstbestimmtes Leben

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

Volksbank BraWo Führungsgrundsätze

Verband der TÜV e. V. STUDIE ZUM IMAGE DER MPU

Grußwort Bundesministerium für Arbeit und Soziales. Produktpiraterie

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Es gibt nur eine Bilanz die zählt: Ihre Zufriedenheit.

Privatinsolvenz anmelden oder vielleicht sogar vermeiden. Tipps und Hinweise für die Anmeldung der Privatinsolvenz

Wechselbereitschaft von. Bevölkerungsrepräsentative Umfrage vom 07. Januar PUTZ & PARTNER Unternehmensberatung AG

Regelwerk der "Electronical Infrastructure for Political Work"

Einwilligungserklärung

Kreativ visualisieren

Datenschutz und Schule

Befristung Inkrafttreten des TzBfG BeschFG Abs. 1; TzBfG 14 Abs. 2 Satz 1 und 2

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Tag des Datenschutzes

Neue Angebote für Druckereien beim. Datenschutz. In Kooperation mit:

Verordnung über die Datenschutzzertifizierungen

Staatssekretär Dr. Günther Horzetzky

Nutzung dieser Internetseite

Wie funktioniert ein Mieterhöhungsverlangen?

Situa?onsbeschreibung aus Sicht einer Gemeinde

Datenschutz im Alters- und Pflegeheim

DELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom

Die Betriebssicherheitsverordnung (BetrSichV) TRBS 1111 TRBS 2121 TRBS 1203

Diese Broschüre fasst die wichtigsten Informationen zusammen, damit Sie einen Entscheid treffen können.

D i e n s t e D r i t t e r a u f We b s i t e s

Geld Verdienen im Internet leicht gemacht

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

Mehr Geld verdienen! Lesen Sie... Peter von Karst. Ihre Leseprobe. der schlüssel zum leben. So gehen Sie konkret vor!

Elternzeit Was ist das?

Pädagogik. Melanie Schewtschenko. Eingewöhnung und Übergang in die Kinderkrippe. Warum ist die Beteiligung der Eltern so wichtig?

Wechselbereitschaft von. Bevölkerungsrepräsentative Umfrage vom 09. Januar PUTZ & PARTNER Unternehmensberatung AG

Fotoprotokoll / Zusammenfassung. des Seminars Methodik der Gesprächsführung und Coaching. Vertriebs- & Management - Training

Erläuterung zur Anordnung über das kirchliche Meldewesen Kirchenmeldewesenanordnung (KMAO) - Neufassung

Information über Abschlüsse, Prüfung und Versetzung

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Ein Immobilienverkauf gehört in sichere Hände

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

DE 1 DE EUROPÄISCHER VERHALTENSKODEX FÜR MEDIATOREN

6 Schulungsmodul: Probenahme im Betrieb

mehrmals mehrmals mehrmals alle seltener nie mindestens **) in der im Monat im Jahr 1 bis 2 alle 1 bis 2 Woche Jahre Jahre % % % % % % %

Konzentration auf das. Wesentliche.

Aspekte zur Sicherung der Wirtschaftlichkeit von. Sportboothäfen im Zeichen des demografischen Wandels

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Weiterbildungen 2014/15

Alle gehören dazu. Vorwort

allensbacher berichte

Befragt wurden Personen zwischen 14 und 75 Jahren von August bis September Einstellung zur Organ- und Gewebespende (Passive Akzeptanz)

Fragebogen ISONORM 9241/110-S

Newsletter Immobilienrecht Nr. 10 September 2012

50 Fragen, um Dir das Rauchen abzugewöhnen 1/6

BUNDESGERICHTSHOF BESCHLUSS. vom. 17. Oktober in der Patentnichtigkeitssache

Ihre Informationen zum neuen Energieausweis.

Der Schutz von Patientendaten

Der Arbeitsrechtler. GHR Arbeitsrechtsteam. Vertrauen ist gut Kontrolle besser?

Das NEUE Leistungspaket der Sozialversicherung. Mehr Zahngesundheit für Kinder und Jugendliche bis zum 18. Lebensjahr. Fragen und Antworten

1 MIO ÖSTERREICHISCHE SKIFAHRER SCHÜTZEN SICH BEREITS MIT HELM - UM MEHR ALS IM VORJAHR

DAS PARETO PRINZIP DER SCHLÜSSEL ZUM ERFOLG

Der nachhaltigere Anbieter sollte den Auftrag kriegen Interview mit Klaus-Peter Tiedtke, Direktor des Beschaffungsamtes des Bundes

Internet- und -Überwachung in Unternehmen und Organisationen

Gesprächsführung für Sicherheitsbeauftragte Gesetzliche Unfallversicherung

h e l m u t h u b e r

Datenschutz-Politik der MS Direct AG

Gutes Leben was ist das?

Antrag'auf'Hilfeleistungen'aus'dem'Fonds'Sexueller'' Missbrauch'im'familiären'Bereich' '' A)'Zweck'des'Fonds'Sexueller'Missbrauch'

Professionelle Seminare im Bereich MS-Office

Herzlich willkommen. zur Information Arbeitssicherheit / Gesundheitsschutz / für Kirchgemeinden

Entrepreneur. Der Aufbruch in eine neue Unternehmenskultur

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

So funktioniert Ihr Selbstmanagement noch besser

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Werte und Grundsätze des Berufskodexes für interkulturell Dolmetschende. Ethische Überlegungen: Was ist richtig? Wie soll ich mich verhalten?

Befragung zum Migrationshintergrund

Vertrauen in Banken. Bevölkerungsrepräsentative Umfrage. PUTZ & PARTNER Unternehmensberatung AG. Partner der Befragung

Um Ihre Ziele durchzusetzen! Um Beziehungen zu knüpfen und zu pflegen! Um in Begegnungen mit anderen Ihre Selbstachtung zu wahren!

Stammtisch Recklinghausen. Datenschutz gestern heute - morgen. Mark Spangenberg mark.spangenberg@googl .com

Häufig gestellte Fragen zum Thema Migration

Komitee für Zukunftstechnologien. Teilnahmeerklärung

Transkript:

Rechtliche Grundlagen und Grenzen für die Einführung von Datenschutzauditverfahren und Qualitätslabels - unter besonderer Berücksichtigung des E-Commerce von lic.iur. Hanspeter Thür, Rechtsanwalt, Eidgenössischer Datenschutzbeauftragter 1. Datenschutzaudit als neues Instrument des Datenschutzes Das Datenschutzaudit ist ein neues Instrument des Datenschutzes: Es wird seit einiger Zeit auf internationaler Ebene breit diskutiert und fand im letzten Jahr in Deutschland in einer Grundsatznorm und insbesondere im Bundesland Schleswig -Holstein mit einer ausführlichen gesetzlichen Regelung einen rechtlichen Niederschlag. Ich werde mich im Rahmen dieses Referats mit der Frage beschäftigen, - inwieweit dieses Verfahren auch für die Schweiz Sinn machen würde, - ob es auf der Basis des geltenden Gesetzes eingeführt werden könnte und - ob allenfalls de lege ferenda gesetzliche Bestimmungen sinnvollerweise ins Datenschutzgesetz eingeführt werden sollten. Immerhin wird ja derzeit das Datenschutzgesetz revidiert. Bekanntlich ist das Vernehmlassungsverfahren im letzten Dezember abgeschlossen worden. Dabei ist zu erwähnen, dass mit Bezug auf das Datenschutzaudit keine Regelung vorgesehen ist. Falls sich die Aufnahme einer solchen Bestimmung als sinnvoll erweisen sollte, wäre es der richtige Zeitpunkt, um einen entsprechenden Vorschlag noch in die Diskussion einzubringen. Mit dem Datenschutzaudit soll der Datenverarbeiter veranlasst werden, freiwillig ein Datenschutzmanagementsystem zu errichten, das zu einer kontinuierlichen Verbesserung des Datenschutzes beiträgt. Die Motivation, sich diesem Verfahren zu unterziehen, soll der Unternehmer daraus beziehen, dass er die Möglichkeit erhält, mit seinen Datenschutzanstrengungen zu werben. Dafür besteht zunehmend ein Bedürfnis. Denn es kann festgestellt werden, dass bei der Verarbeitung personenbezogener Daten bei Anwendern und Nutzern das Datenschutzbewusstsein gestiegen ist. Ausdruck dieses Bewusstseins ist die zunehmende Diskussion um Datenschutzaudits. Datenschutz is t für alle Formen des elektronischen Handels und der elektronischen Verwaltung ein entscheidender Akzeptanzfaktor geworden. Verschiedene Umfragen zeigen, dass die Bevölkerung gerade im Zusammenhang mit Multimedia-Anwendungen auf den Schutz der Privatsphäre sehr sensibel reagiert. Einer im Auftrag der Europäischen Kommission erstellten repräsentativen Umfrage zufolge erklärten nur 15% der Befragten, sie würden die neuen Kommunikationstechnologien auch dann nutzen, wenn sie persönliche Datenspuren hinterlassen. Zwei Drittel der EU-Bürger sind über Datenspuren in Telekommunikationsnetzen besorgt. Sogar über 70% der Befragten fühlen sich durch die Möglichkeit der Weitergabe oder den Verkauf von Daten an Dritte besorgt. Das Internet-shopping steht vor der gleichen Problematik. Eine Studie von Arthur & Andersen über Internet Privacy und E-Commerce

2 (März 2002) in der Schweiz zeigte auf, dass die untersuchten Websites (100) weder national noch internationalen Datenschutzstandards Beachtung schenken. Daraus kann man den Schluss ziehen, dass in der Informationsgesellschaft des 21. Jahrhunderts jene einen schweren Stand haben werden, welche mit den anvertrauten Informationen nicht sorgsam umgehen. Eine aus Angst vor Missbrauch von persönlichen Daten skeptische oder gar ablehnende Haltung gegenüber den neuen Informations- und Kommunikationstechniken hat jedoch mit Sicherheit erhebliche wirtschaftliche Konsequenzen. Das spürt im Augenblick insbesondere der e-commerce, der nicht richtig vom Fleck kommt. Ein wirksamer Datenschutz zählt deshalb zu den wesentlichen Akzeptanzvoraussetzungen der Informationsgesellschaft und wird deshalb zunehmend zu einem wichtigen Wettbewerbsvorteil. 2. Ziele des Datenschutzaudit Das Datenschutzaudit orientiert sich weitgehend an den Erfahrungen des Umweltschutzaudit, das sich in den letzten Jahren europaweit und auch in der Schweiz breit durchgesetzt hat und eine hohe Akzeptanz geniesst. Es verfolgt drei Ziele: - Stärkung der Selbstverantwortung und Stimulierung des Wettbewerbs Das Datenschutzaudit ist ein Instrument zur Förderung der Selbstverantwortung des Datenverarbeiters für den Datenschutz. Zu diesem Zweck wird ein freiwilliges Datenschutzmanagementsystem eingerichtet. Auf diese Weise soll ein hohes Datenschutzniveau sicher gestellt werden. Das Datenschutzaudit soll die datenbearbeitenden Stellen belohnen, die bei der Konzeption ihres Angebots datenschutzrechtliche Belange berücksichtigen und soll einen Anreiz für die andern Markteilnehmer schaffen, dies ebenso zu tun. Ähnlich wir im Umweltschutzrecht, besteht auch im Datenschutzrecht ein erhebliches Vollzugsdefizit. Die Kontroll und Aufsichtsbehörden sind angesichts der weltweiten Vernetzung überfordert. Das Datenschutzaudit kann zu einer Entlastung beitragen. Mit der von ihm geschaffenen Selbstkontrolle verringert das Datenschutzaudit Vollzugsdefizite. - Kontinuierliche Verbesserung des Datenschutzes und der Datensicherung Das materielle Hauptziel des Datenschutzaudits ist die kontinuierliche Verbesserung des Datenschutzes und der Datensicherung. Ohne Audits bestehen für die Datenverarbeiter keine Anreize, eigene Anstrengungen zur Verbesserung des Datenschutzes und der Datensicherung zu ergreifen. Das Datenschschutzaudit ermöglicht, solche Anstrengungen zu dokumentieren, zu prüfen und zu prämieren und schafft dadurch einen Marktanreiz, sie zu ergreifen. - Datenschutzaudit als Lernsystem Eine kontinuierliche Verbesserung kann das Datenschutzaudit nur erreichen, wenn es als Lernsystem verstanden wird. Dieser Lernprozess wird dadurch strukturiert, dass der Datenverarbeiter in einer umfassenden Betriebsprüfung eine Bestandesaufnahme personenbe-

3 zogener Daten erstellt und die hierfür relevanten Anforderungen des Datenschutzrechts zusammenträgt. Schon allein die dadurch erfolgte Vermehrung und Verbreitung des Wissens um die organisatorischen, technischen und gesetzlichen Rahmenbedingungen, in denen sich die Datenverarbeitung vollzieht, stellt einen positiv zu wertenden Erfolg dar. 3. Die Anforderungen an ein Datenschutzaudit Bei einem Gütesiegelverfahren gilt als Grundvoraussetzung, dass die gesetzlichen Anforderungen für den Schutz der Privatsphäre mittels einer Normierung technisch umgesetzt werden. Für die Wirksamkeit eines Gütesiegels müssen aus Sicht des EDSB folgende Anforderungen und Prüfungskriterien erfüllt werden: Verlässlicher Prozess bei der Vergabe des Gütesiegels Die Vergabe des Gütesiegels darf nur über einen transparenten Vergabeprozess mit nachvollziehbaren Prüfungskriterien erfolgen. Deshalb muss sicher gestellt werden, dass das Verfahren zur Erteilung des Gütesiegels sowie die Prüfungsvoraussetzungen klar definiert und in einer verbindlichen Norm festgelegt werden. Der somit klar definierte Zertifizierungsvorgang hat anschliessend zur Vergabe des Gütesiegels zu führen durch eine dafür geeignete Institution im Rahmen eines Auditverfahrens. Einhaltung und Umsetzung der gesetzlichen Bearbeitungsgrundsätze Vor der Vergabe des Gütesiegels ist die Einhaltung der gesetzlichen Anforderungen für die Bearbeitung von Personendaten über den Zertifizierungsvorgang zu überprüfen. Deshalb müssen insbesondere folgende Anforderungen geprüft werden: - Transparente Information an den Benutzer/Kunden (z.b. Privacy Policy). - Erfüllung der gesetzlichen Anforderungen bei der Datenbearbeitung (z.b. Kriterien zur Speicherung, Löschung und Weitergabe von Personendaten). - Gewährung von Auskunfts- und Berichtigungsrecht sowie Klagerechte bei Streitfällen oder Persönlichkeitsverletzungen - Gewährung eines Wahlrechts an die Benutzer/Kunden für die Verwendung seiner Daten. - Gewährung der Datensicherheit durch technisch-organisatorische Massnahmen. Verbindlicher Kontrollprozess mit Sanktionen und Massnahmen bei Nichteinhaltung der Regeln Mittels eines verbindlichen und verlässlichen Prozesses muss nach der Vergabe des Gütesiegels die Nachkontrolle, z.b. auf jährlicher Basis, gewährleistet werden. Bei Nichteinhaltung der Anforderungen und Regeln sind schliesslich Sanktionen und Massnahmen vorzusehen, wie z.b. der Entzug des Gütesiegels.

4 Berücksichtigung der europäischen Anforderungen in Sachen Datenschutz Die europäischen gesetzlichen Anforderungen an die Bearbeitung von Personendaten müssen bei der Prüfung einbezogen werden, damit auch die internationale Verlässlichkeit des Siegels erwirkt werden kann. 4. Die Notwendigkeit einer rechtliche Regelung Die Kontrolle des Datenschutzmanagementsystems könnte in einer unternehmenseigenen Datenschutzprüfung erfolgen. Diese würde keiner Regulierung von aussen bedürfen, sondern könnte nach internen Regeln erfolgen. Auch wenn ein solches Verfahren in datenschutzrechtlicher Hinsicht durchaus positive Effekte erzielen könnte, hat es drei gewichtige Nachteile: - Es fehlt ein Garant der Glaubwürdigkeit - Es fehlt die Kommunikationsmöglichkeit (Gütesiegel) - Es fehlt die Vergleichbarkeit mit andern unternehmenseigenen Datenschutzprüfungen Diese drei Defizite können ausgeglichen werden, wenn die Unternehmen ein Audit nach allgemein gültigen Standards durchführen, dessen Ergebnis extern zertifizieren lassen. Das Unternehmen erhält damit die Möglichkeit mit diesem Zertifikat (Gütesiegel) zu werben. Eine solche Initiative könnte jederzeit allein auf freiwilliger Basis von den interessierten Kreisen ergriffen werden. Es braucht hiefür grundsätzlich keine rechtliche Regulierung. Es stellt sich höchstens die Frage, ob eine Regelung nötig ist, um Missbräuche zu verhindern und die Glaubwürdigkeit des Gütesiegels zu erhöhen. Eine solche Lösung ist im Umweltschutzgesetz gewählt worden. Dieses enthält bezüglich Auditverfahren lediglich folgende Bestimmung: Der Bundesrat kann Vorschriften erlassen über die Einführung: a) eines freiwilligen Systems für ein Umweltzeichen (Ökolabel); b) eines freiwilligen Systems zur Bewertung und Verbesserung des betrieblichen Umweltschutzes (Umwelt-Management und Audit). Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen. Von dieser Kompetenz hat der Bundesrat jedoch bis heute keinen Gebrauch gemacht, da nach Angaben des BUWAL die auf privater Initiative durchgeführten Umweltaudits bisher zufriedenstellend abgewickelt wurden und deshalb der Bundesrat nicht ordnend eingreifen musste. Das bedeutet, dass heute Umweltschutzaudits grundsätzlich auch ohne gesetzliche Ra hmenbestimmungen problemlos durchgeführt werden können.

5 Das Datenschutzaudit könnte nach dem gleichen Modell durchgeführt werden. Das heisst, es braucht im Prinzip im Datenschutzgesetz keine Bestimmungen über die Durchführung von Datenschutzaudits. Die Frage stellt sich höchstens, ob im Rahmen der laufenden Revision eine mit dem Umweltrecht vergleichbare Kompetenznorm für den Bundesrat zum Erlass von Vorschriften geschaffen werden sollte, um eingreifen zu können, falls mit den Auditverfahren und der Vergabe von Gütesiegel Missbrauch getrieben wird. Denn nichts wäre schlimmer für das Vertrauen in solche Verfahren, wie wenn sich schwarze Schafe ihrer bedienen könnten. Gütesiegel müssen nicht nur den Verbrauchern, sondern auch den Unternehmen, die sich solchen Verfahren unterziehen, Gewähr bieten, dass das vergebene Prädikat auch wirklich zur Einhaltung bestimmter Datenschutzstandards gewährleistet. Ein unkoordiniertes Anbieten von Gütesiegeln ohne verbindliche Kriterien und Verfahren würde dieses Instrument letztlich diskreditieren. 5. Die Notwendigkeit von Standards bzw. Normen als Messgrösse Auch wenn grundsätzlich eine gesetzliche Regelung für die Einführung von Auditverfahren nicht nötig ist, braucht es aber in jedem Fall klar definierte Normen und Standard als Messgrösse für die Bewertung der zu beurteilenden Datenschutzanstrengungen eines Unternehmens. Im Umweltbereich orientiert man sich an den ISO-Normen der 14.000er Reihe. Unternehmen können sich nach diesen weltweit gültigen Normen zertifizieren lassen. Diese Normen sind speziell für die Einführung und Prüfung von Umweltmanagementsystemen konzipiert worden. In der Schweiz werden die Umweltschutzaudits nur nach dieser ISO-Norm durchgeführt. Es gibt lediglich eine gesetzliche Bestimmung, wie eine unabhängige Zertifizierungsinstanz bestimmt wird. Das ist in der Akkreditierungsverordnung geregelt. Für das Datenschutzaudit gibt es noch keine speziellen Techniknormen. Eine Möglichkeit bestünde darin, die ISO-Normen der 9.000er Reihe anzuwenden. Diese wurde 1987 für die Errichtung und Prüfung von Qualitätsmanagementsystemen erlassen. Zielsetzung der Normen ist es, die Erfüllung festgelegter Forderungen an einen Lieferanten oder Auftragnehmer nach aussen hin, insbesondere gegenüber dem Auftraggeber darzulegen. Das Qualitätsmanagementsystem nach ISO 9001 umfasst 20 Qualitätselemente. Für ein Datenschutzaudit wäre es nicht ausgeschlossen, auf das Qualitätsmanagement ein Datenschutzmanagementsystem draufzusatteln und dieses in gleicher Weise zu prüfen wie ein Qualitätsmanagementsystem. Beim Umweltschutzaudit hat die ISO selber auf den Rückgriff auf die ISO-Norm 9.000 verzichtet, weil sie sie als unzureichend erachtete. Deshalb wurde für die Umweltmanagementsysteme 1996 eigens die Normenreihe ISO 14.000 beschlossen. Auch für dass Datenschutzaudit wären die Normen der ISO 9.000er Reihe inhaltlich nicht ausreichend. Damit fehlt auf internationaler Ebene brauchbare Normen, für die Bewertung der Datenschutzanstrengungen eines Unternehmens im Rahmen eines Auditverfahrens.

6 6. Die Lösungsansätze in Deutschland Das Fehlen technischer Normen auf internationaler Ebene führte in Deutschland dazu, dass der Weg über eine rechtlichen Rahmensetzung gesucht wird. Letztes Jahr wurde deshalb das Datenschutzgesetz mit einer Grundsatzbestimmung über das Datenschutzaudit ergänzt ( 9a DSG). Diese Bestimmung sieht vor, dass die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter durch ein Ausführungsgesetz geregelt werden. Dieses Gesetz liegt allerdings noch nicht vor. Letztes Jahr hat in Deutschland ausserdem eine Projektgruppe bestehend aus Mitgliedern der Fachhochschule Frankfurt am Main und der Deutschen Postgewerkschaft unter dem Label quid (für Qualität im betrieblichen Datenschutz) nach einer zweijährigen Forschungsarbeit ein Qualifizierungsinstrument entwickelt, welches es erlaubt die Anstrengungen eines Unternehmens im Bereich Datenschutz und Datensicherheit zu bewerten. Mit diesem Projekt wurde eine Grundlage geschaffen, wie man mit marktwirtschaftlichen Instrumenten Massstäbe im betrieblichen Datenschutz setzen kann. Damit ist in Deutschland trotz fehlender ISO-Norm ein konkretes und praxistaugliches Qualifizierungsinstrument entwickelt worden, welches die nötigen Grundlagen für ein Auditierungsverfahren im Bereiche des Datenschutzes schafft. Inzwischen ist als Resultat dieser Forschungsarbeit eine quid-gmbh gegründet worden. Dieses Unternehmen soll als Start-up aus dem Forschungsprojekt heraus erproben, ob die Vermarktung eines Datenschutzgütesiegels tragfähig ist. Gleichzeitig wird auf wissenschaftlicher Ebene das Projekt weiter entwickelt, indem anhand von 100 Feldversuchen in den nächsten drei Jahren die Praxistauglichkeit des Verfahrens gestestet wird. Ob angesichts dieser bedeutsamen Vorarbeit der deutsche Gesetzgeber sich noch veranlasst sieht, gesetzliche Rahmenbedingungen zu erlassen, wie dies in 9a DSG verlangt wird, ist im Augenblick offen. 7. Mögliche Umsetzungen von Auditverfahren in der Schweiz In der Schweiz gibt es im Augenblick, wie auf europäischer Ebene, noch keine etablierten Auditverfahren, welche Datenschutz - Qualitätslabel vergeben. Ich bin der Auffassung, dass man sich in der Schweiz auf die Vorarbeiten aus Deutschland abstützten könnte. Nach einer ersten Sichtung der Ergebnisse der 200seitigen Forschungsarbeit der deutschen Projektgruppe könnte das erarbeitete Auditverfahren auch in der Schweiz zu Vergabe eines Gütesiegels angewendet werden. Seit Anfang letzten Jahres sind auch in der Schweiz Versuche zur Etablierung eines Gütesiegels im Bereich des e-commerce unternommen worden. (vgl. Referate Belser und Fässle). 8. Die Rolle des EDSB bei der Durchführung von Datenschutzaudits und der Vergabe von Gütesiegeln Aufgabe des EDSB ist es nach geltendem Gesetz darüber zu wachen, dass das Datenschutzgesetz eingehalten wird. Er berät unter anderem Private und übt im Privatbereich auch Aufsichtsfunktionen aus. Dabei klärt er von sich aus den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen

7 zu verletzen. Das bedeutet, dass auf der Basis des heutigen Gesetzes der EDSB befugt wäre, zu überprüfen, ob Auditverfahren und die Vergabe von Gütesiegel den Grundsätzen des geltenden Gesetzes entsprechen. Er könnte mit einer Empfehlung eingreifen, wenn solche Verfahren datenschutzrechtlich mangelhaft wären und könnte die Angelegenheit der Datenschutzkommission unterbreiten, wenn die Empfehlungen nicht befolgt würden. Nicht möglich wäre auf der Basis des geltenden Gesetzes, dass der EDSB als Zertifizierungsinstanz wirken würde. Das ist aus meiner Sicht aber auch nicht erwünscht, da diese Aufgabe der privaten Initiative überlassen bleiben sollte. Der EDSB soll sich auf seine Aufsichtsfunktion beschränken. Ein solches zweistufiges Prüfverfahren würde im übrigen die Glaubwürdigkeit des Auditverfahrens mit Sicherheit erhöhen. 9. Zusammenfassung/Schlussfolgerung - Die Etablierung von Auditverfahren in der Schweiz wäre aus datenschutzrechtlicher Hinsicht höchst erwünscht. - Diese können ohne weiteres auf der Basis des derzeitigen Gesetzes eingeführt werden. - Eine gesetzliche Ermächtigung für den Erlass von Rahmenbestimmungen durch den Bundesrat wäre de lege ferenda sinnvoll, um eingreifen zu können, wenn Missbräuche ruchbar würden. - Die internationalen und nationalen Bemühungen zur Konkretisierung von Auditverfahren im Bereiche des Datenschutzes und der Vergabe von Gütesiegeln sind zu begrüssen. Sie sind geeignet, das latente Vollzugsdefizit im Datenschutz über marktwirtschaftliche Instrumente zu verkleinern.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback