Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

9         Audit und Gütesiegel

9.1         Bundesauditgesetz  – gute Absicht, schlecht gemacht

Die Bundesregierung hat das lang erwartete Bundesauditgesetz in Angriff genommen. Im Dezember 2008 wurde ein vom Bundesinnenministerium erarbeiteter Vorschlag vom Kabinett angenommen. Bis zu praktikablen Regelungen ist es noch ein weiter Weg.

Der Entwurf für das Datenschutzauditgesetz wurde vom Bundeskabinett gemein­sam mit Änderungsvorschlägen zum BDSG beschlossen (Tz. 2.3 und Tz. 5.1.2). So begrüßenswert es ist, dass nunmehr Bewegung in die Gesetzgebung kommt, so kritikwürdig ist leider der Entwurf. Das ULD hat sehr ausführlich zum Vorent­wurf und zum Beschlussentwurf Stellung bezogen, ohne dass dies von der Bundes­regierung in den Kernpunkten berücksichtigt wurde. Dies verwundert, zumal das ULD in Deutschland die einzige Stelle ist, die mit Datenschutz-Gütesiegeln und Auditverfahren in mehr als sieben Jahren umfangreiche und zudem gute Erfahrun­gen gemacht hat. Trotz mehrfacher Angebote war das ULD nur in geringem Maße in die Gesetzesdiskussion eingebunden.

Unsere Hauptkritikpunkte sind:

• Nach dem Entwurf sollen private Kontrollstellen die Zertifizierung allein vornehmen. Eine Qualitätssicherung wie bei Verfahren in Schleswig-Holstein durch eine unabhängige Stelle ist nicht vorgesehen. Dies birgt die Gefahr, dass die privaten Kontrollstellen im Zuge generellen finanziellen Drucks Gefällig­keitsgutachten erstellen.
• Es ist keine obligatorische Grundprüfung vorgesehen. Zur Verwendung des Zertifikats genügt vielmehr eine entsprechende Anzeige. Die Kontrolle erfolgt später, eventuell erst mit Verzögerung. Beim schleswig-holsteinischen Verfah­ren erfolgt die Prüfung vor der Auditverleihung. Nur so kann bei den relevanten Zielgruppen das Vertrauen in das Zertifikat entstehen und bewahrt werden.
• Im Entwurf ist die Prüfung der Kontrollstellen nur rudimentär geregelt. Die Rücknahme von Zertifizierungen ist schwierig und aufwendig. Beim Verfahren in Schleswig-Holstein erfolgt schon anlässlich der konkreten Auditierungs­verfahren eine qualifizierte Rückmeldung an Gutachter und an die zu auditie­rende Stelle. Werden Unregelmäßigkeiten bekannt, so können schnell und gestuft die notwendigen Schritte eingeleitet werden.
• Der Entwurf sieht in einem aufwendigen Prozess unter Einbeziehung von dem Datenschutz gegenüber kritisch eingestellten Interessenvertretern die Erarbei­tung von Auditkriterien vor. Deren Einhaltung wird nirgends nachvollziehbar dokumentiert und kann daher auch nicht geprüft werden. Die Auditierungen in Schleswig-Holstein werden über Kurzgutachten veröffentlicht und sind dadurch für Beteiligte und Interessierte transparent und hinterfragbar.

www.datenschutzzentrum.de/bdsauditg/20081029-stellungnahme-dsag-e.html

Firmen, die das Gütesiegelverfahren in Schleswig-Holstein durchlaufen haben oder dieses näher kennen, haben einhellig zum Ausdruck gebracht, dass vonseiten der Wirtschaft ein Wunsch nach einem starken und aussagekräftigen Siegel besteht. Der Entwurf der Bundesregierung hingegen würde nicht nur einen großen bürokratischen Aufwand mit sich bringen, sondern enthalte nur eine geringe Aussage über die Einhaltung der Datenschutzstandards. Solange diesbezüglich keine wesentliche Nachbesserung des geplanten Audits „mit kleiner Münze“ erfolgt, behält im Interesse der Wirtschaft und eines wirksamen präventiven Datenschutzes das Datenschutz-Gütesiegel „Certified in Schleswig-Holstein“ seine Daseinsberechtigung.

Begrüßenswert ist diese Situation nicht. Die Etablierung mehrerer staatlicher Siegel mit ähnlicher Ausrichtung birgt die Gefahr, dass die Unternehmen von Zertifizierungen generell abgehalten werden, und diskreditiert das Instrument des Datenschutz-Audits. Wir geben daher die Hoffnung nicht auf, dass sich aufseiten des Bundes Vernunft breitmacht und gemeinsam ein praktikabler Weg zu einem wirksamen Bundesaudit gefunden wird. Der Bedarf ist da.

 

9.2         Datenschutz-Audits

Auditverfahren sind nichts anderes als Projekte. Werden Projekte gut geführt, verfügen sie über ausreichende Ressourcen, sind alle Entscheider und Interessierten eingebunden und gibt es den Willen, das Projekt zu einem vorzeigbaren Ende zu bringen, dann sind sie auch erfolgreich.

Einige Auditverfahren sind im letzten Berichtszeitraum in Ressourcenengpässe gelaufen. Das ULD setzt in solchen Fällen das eigentliche Auditverfahren aus und geht in die Beratung und Prüfung über. Dies betrifft die Audits in der Kreisverwaltung Segeberg und an der Christian-Albrechts-Universität zu Kiel. Im Folgenden wird beschrieben, welche Entwicklungen es im Datenschutzauditbereich gab.

9.2.1      Neue Hinweise zur Durchführung eines Datenschutz-Behördenaudits

In die neuen Hinweise zur Durchführung eines Datenschutz-Behördenaudits sind die Erfahrungen der letzten Jahre eingeflossen. Neu ist das Voraudit, das die Daten verarbeitende Stelle in die Lage versetzt, vor der eigentlichen Begutachtungsphase gemeinsam mit dem ULD die in der Organisation erkann­ten Schwachstellen zu beseitigen.
Die Hinweise geben interessierten Stellen Informationen über die einzelnen Verfahrensschritte eines Audits. Bei der Überarbeitung wurden besonders die durch das ULD in der Praxis gesammelten Erfahrungen berücksichtigt. Folgende Neuerungen sind von Bedeutung:

• Abgrenzung des Auditgegenstandes

Im Rahmen einer Bestandsaufnahme wird der Auditgegenstand von der Daten verarbeitenden Stelle abgegrenzt. Dabei sind folgende Aspekte zu beachten:

• die aufbau- und ablauforganisatorischen Gegebenheiten der Fachabteilungen,
• die eingesetzten IT-Komponenten und -Fachverfahren,
• die Datenverarbeitungs- und Kommunikationswege (Netzplan),
• die Einhaltung der materiellen Zulässigkeitsvoraussetzungen der Datenverar­beitung,
• die festgelegten technischen und organisatorischen Maßnahmen sowie
• die Gewährleistung der Einhaltung der datenschutzrechtlichen und sicherheits­technischen Vorgaben durch das Datenschutzmanagementsystem.

Bei Verfahren, die sich erst in der Planung oder Entwicklung befinden, können diese Aspekte im Rahmen eines sogenannten Konzeptaudits festgelegt werden. Das Konzeptaudit beinhaltet ausschließlich Dokumentationsunterlagen, die den Verfahrensgegenstand in den oben genannten Phasen beschreiben.

• Voraudit

In Vorbereitung auf das Datenschutz-Behördenaudit kann die Daten verarbeitende Stelle vom ULD ein Voraudit durchführen lassen. Dabei wird überprüft, ob die Voraussetzungen für das Datenschutz-Behördenaudit von der Daten verarbei­tenden Stelle geschaffen wurden. Im Voraudit festgestellte Mängel können gemeinsam mit dem ULD behoben werden. Folgende Schritte werden durch­geführt:

• Abgrenzung des Auditgegenstandes,
• Festlegung der Datenschutzziele,
• Sammlung der zum Auditgegenstand gehörenden Dokumentation,
• Bestandsaufnahme der technischen und organisatorischen Abläufe,
• Erstellung eines Ergebnisberichts mit Projektplan,
• Mängelbeseitigung,
• Einrichtung eines Datenschutzmanagementsystems,
• Erstellung des Datenschutzkonzepts,
• Aufbereitung der für das Datenschutz-Behördenaudit erforderlichen Dokumen­tation sowie
• abschließende Überprüfung der Erfüllung aller im Voraudit festgelegten und durchzuführenden Aufgaben.

Voraudit und Auditierung werden im ULD organisatorisch und personell getrennt behandelt, um die Unabhängigkeit des ULD-Auditors während der Audi­tierung zu gewährleisten.

• Begutachtung

Die vorgelegte Dokumentation für den Auditgegenstand bildet die Grundlage für die Begutachtung vor Ort in der Daten verarbeitenden Stelle durch das ULD. Folgender Ablauf beinhaltet die Begutachtung:

• Überprüfung der Abgrenzung des Auditgegenstandes,
• Analyse der Dokumentation (Datenschutzkonzept),
• Begutachtung der Wirkungsweise des Datenschutzmanagementsystems und der Erreichung der festgelegten Datenschutzziele,
• Hervorhebung von anerkennenswerten und datenschutzfreundlichen Datenver­arbeitungsprozessen,
• stichprobenartige Überprüfung der Umsetzung der im Datenschutzkonzept festgelegten Sicherheitsmaßnahmen,
• Überprüfung der Einhaltung datenschutzrechtlicher und bereichsspezifischer Vorschriften in Bezug auf den Auditgegenstand,
• Erstellung eines Gutachtens,
• Verleihung des Datenschutzauditzeichens.

Die Hinweise zur Durchführung eines Datenschutz-Behördenaudits sind im Amtsblatt 2008, S. 1164, Gl.-Nr. 2041.7 sowie im Internet veröffentlicht:

www.datenschutzzentrum.de/material/recht/audit.htm

 

9.2.2      Zahlstellen und InVeKoS-Agrar-Förderprogramm (ZIAF )

Auf Wunsch des Landwirtschaftsministeriums wurde nach der letztjährigen Auditierung der Sicherheitskonzeption des ZIAF-Verfahrens die tatsächliche Umsetzung dieser Konzepte nach dem nationalen Sicherheitsstandard IT‑Grundschutz des Bundesamtes für die Sicherheit in der Informationstech­nik (BSI) überprüft.

Das „I“ in ZIAF steht für die Abkürzung InVeKoS (Integriertes Verwaltungs- und Kontrollsystem). Mit dem ZIAF-Verfahren zur Agrarförderung werden in Schleswig-Holstein vom Landwirtschaftsministerium (MLUR) finanzielle Förder­maßnahmen verwaltet. Dies geschieht in einer weitverzweigten Infrastruktur auf ca. 350 Arbeitsplätzen in acht verschiedenen Organisationseinheiten an elf Stand­orten unter Einbeziehung des Dienstleisters Dataport. Dabei werden in unter­schiedlichen Förderprogrammen erhebliche Beträge (2006–2007: ca. 2.160 Millio­nen Euro) ausgezahlt. Die EU hat aus diesem Grund sicherheitstechnische Vorgaben gemacht, um Ausfällen der Informationstechnik und Manipulationen vorzubeugen. Bei der Umsetzung dieser Vorgaben greifen die Bundesländer auf den Sicherheitsstandard IT-Grundschutz zurück.

Im Vorjahr waren im MLUR und bei Dataport umfangreiche Sicherheitskon­zepte erstellt worden, die sich auf das Management der Informationssicher­heit, aber auch die materielle Daten­sicherheit beziehen (30. TB, Tz. 9.1.3). Die Umsetzung dieser Konzepte wer­den in einem Auditierungsverfahren gemäß ISO 27001 auf Basis von IT‑Grundschutz vom ULD überprüft. Bei dieser Prüfung sind spezifische Vorgaben des BSI zu beachten: Managementaspekte der IT-Sicherheit sind zwingend, einzelne der ca. 5.000 Sicherheitsmaßnahmen nach einem Stich­probenprinzip zu überprüfen. Die Prüfung erstreckt sich sowohl auf das MLUR und die beteiligten Organisationseinheiten als auch auf Dataport und hat besonders die Schnittstellen zwischen den Organisationseinheiten zu beleuchten. Gegenwärtig wird der Auditbericht vom BSI überprüft.

Da die Vorgaben der Datenschutzverordnung (DSVO) mit dem Standard IT‑Grundschutz konform gehen, kann mit der Konformität zu IT-Grundschutz auch die Einhaltung der DSVO nachgewiesen werden.

Um unsere Kompetenzen im Hinblick auf IT-Grundschutz auszubauen, haben sich zwei weitere Mitarbeiter des ULD zu ISO27001-Auditoren qualifizieren und vom BSI akkreditieren lassen. Zusammen mit dem BSI und Datenschutzkollegen aus anderen Bundesländern und dem Bund wird an der engen Verzahnung von IT‑Sicherheitsmanagement und Datenschutzmanagement im Rahmen des IT-Grund­schutzes gearbeitet.

 

9.2.3      Ministerium für Bildung und Frauen

Das Ministerium für Bildung und Frauen (MBF) hat sich mit dem Audit seiner IT-Verfahren bei dünner personeller und zeitlicher Ressourcendecke eine große Aufgabe vorgenommen. Die Arbeiten gehen jedoch stetig voran, und die Ergebnisse werden – vor allem bei der Dokumentationssystematik und bei einem neuen (elektronischen) Weg der Berechtigungsdokumenta­tion – voraussichtlich Vorzeigecharakter erlangen.

Die technische und organisatorische Bestandsaufnahme ergab, dass schon viel Dokumentation vorhanden war und Regelungen getroffen wurden. Diese lagen jedoch zum Teil – sowohl elektronisch als auch in Papierform – verstreut vor. Verantwortlichkeiten waren nicht immer eindeutig festgelegt. In einem ersten Schritt musste daher das Ministerium eine Dokumentationssystematik festlegen und Verantwortlichkeiten definieren.

Hierzu waren Arbeitsprozesse zu analysieren und zu bewerten sowie Verantwort­lichkeiten zu vereinbaren und zu dokumentieren. Es erwies sich als nicht einfach, die zentral vom Finanzministerium zur Verfügung gestellten IT-Komponenten in die eigene Dokumentation zu integrieren. Anschließend musste die übergreifende IT- und Sicherheitskonzeption erstellt werden. Das MBF wählte aufgrund der besseren Übersichtlichkeit und Wartbarkeit der Dokumente einen modularen Aufbau.

Hinsichtlich der Berechtigungsvergabe entwickelte sich eine lebhafte Diskussion. Bei der Vergabe und Dokumentation der Berechtigungen wurde folgender Ablauf festgelegt:

• Ein Verantwortlicher, z. B. der Leiter eines Referates, erteilt für seine Mitar­beiter Aufträge an die IT, indem er festlegt, welche Berechtigungen ein Mitar­beiter z. B. in der zentralen Datenablage oder in einem Fachverfahren erhalten soll. Dieser Auftrag kann beispielsweise mittels eines Standardlaufzettels oder in einer standardisierten E-Mail erteilt werden.
• Die Administration setzt den Auftrag im IT-System um und gibt eine Rück­meldung an den Auftraggeber, d. h. den Referatsleiter, der das ordnungsgemäße Umsetzen seines Auftrags kontrollieren kann.
• Die durchgeführten Arbeiten – Auftrag, Durchführung und gegebenenfalls Kontrolle – werden elektronisch oder auf Papier so dokumentiert, dass eine Prüfinstanz jederzeit feststellen kann, welche Änderungen wann von welcher Person durchgeführt und von wem beauftragt worden sind und welche Berech­tigungen ein einzelnes Benutzerkonto nun effektiv besitzt.

Für das Ministerium war von Anfang an klar, dass sich eine Dokumentation von Hand für diesen Prozess mit den verfügbaren Personalressourcen nicht zufrieden­stellend gewährleisten lässt. Zurzeit wird gerade geprüft, inwieweit ein Ticket­system zur Berechtigungsdokumentation eingesetzt werden kann. Diese Lösung hätte den Vorteil, dass

• Berechtigungsvergaben und -änderungen in einem Datenbanksystem erfasst würden,
• daher erkennbar wäre, wer wann welchen Auftrag gegeben hat,
• zu Prüfungszwecken für jedes Benutzerkonto automatisiert eine Berechtigungs­abfrage erstellt werden könnte und
• eine zusätzliche Dokumentation der Berechtigungen per Hand entfiele.

 

9.2.4      Kreis Plön

Nachdem der Kreis Plön sein Kreisnetz durch das ULD hat auditieren lassen, werden nun die Basissysteme für den Betrieb der in der Kreisverwaltung eingesetzten Fachverfahren einem Audit unter Berücksichtigung des Grund­schutzstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unterzogen.

Die Kreisverwaltung Plön ist in der kommunalen Verwaltung Schleswig-Holstein weiter Vorreiter in ihrer IT-Sicherheitspolitik (30. TB, Tz. 9.1.6). Als erste Kommunalverwaltung stellt sie sich mit Unterstützung des ULD einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz. Dieses Zertifikat bietet dem Kreis die Möglichkeit, seine Bemühungen im Bereich der IT-Sicherheit transparent zu machen, was sowohl seinen Kunden, also den nachgeordneten Kommunen, wie den anderen Kreisverwaltungen als Vorbild und den Bürgerinnen und Bürgern als Betroffenen dient.

Bei der Zertifizierung wird neben dem IT-Sicherheitsmanagement die konkrete Umsetzung von IT-Sicherheitsmaßnahmen auf der Basis von IT-Grundschutz geprüft. Die Zusammenarbeit mit dem ULD als Prüfinstitution ist bereits weit fortgeschritten. Der sogenannte Basissicherheitscheck ist abgeschlossen, und die Mitarbeiter der IT-Abteilung des Kreises Plön setzen nun die nach dem Grund­schutzstandard noch zu bearbeitenden Sicherheitsmaßnahmen um.

Das zur Koordinierung und Überprüfung der Sicherheitsaspekte benötigte IT‑Sicherheitsmanagement besteht beim Kreis Plön schon seit längerer Zeit. Insofern hat der Leiter der IT-Abteilung frühzeitig die Weichen für die IT-Sicher­heitsstrategie richtig gestellt. Hervorzuheben ist, dass das hohe technische Niveau des Rechenzentrums der Kreisverwaltung und der bereitgestellten Dienste auch den nachgeordneten Kommunen zugutekommt. Die IT-Abteilung der Kreisverwaltung Plön nimmt einen Spitzenplatz ein, was Know-how und Professionalität betrifft. Bei der Umsetzung des IT-Grundschutzstandards muss die Kreisverwaltung Plön nach einer festgelegten Methode vorgehen (siehe nebenstehende Grafik).

Eine IT-Strukturanalyse wurde vollständig durchgeführt. Anschließend wurden der IT-Verbund über die Infrastruktur, die IT-Systeme, Netze und Anwendungen erfasst, der Schutzbedarf festgelegt, die Sicherheitsmaßnahmen bestimmt und umgesetzt sowie eine ergänzende Sicherheitsanalyse durchgeführt. Nach erfolgrei­chem Abschluss des Verfahrens vergibt das BSI das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz und das ULD im Rahmen eines Behördenaudits ein Zertifikat für den datenschutzgerechten Einsatz der Datenverarbeitung an den Landrat des Kreises Plön und seine IT-Abteilung.

 

9.2.5      Auditverfahren Unfallkasse Nord

Die Unfallkasse Schleswig-Holstein und die Landesunfallkasse Hamburg fusio­nierten Anfang 2008 zur Unfallkasse Nord. Bei der neuen Unfallkasse Nord wurde eine untere Landesbehörde errichtet, der die Zuständigkeit des staatlichen Arbeits­schutzes zugewiesen wurde. Aus diesen Fusionen ergeben sich zahlreiche Daten­schutzfragen. Das ULD wurde mit der Auditierung der Datenverarbeitung der Versichertendaten sowie der Personalaktenverwaltung beauftragt. Nach einer kritischen Hinterfragung des Verfahrens zur Einmeldung von Unfällen und der Einbindung der Betroffenen wird hierzu an einer Lösung gearbeitet. Es besteht gute Aussicht, das Audit im ersten Halbjahr 2009 abzuschließen.

 

9.3         Datenschutz-Gütesiegel

9.3.1      Abgeschlossene Gütesiegelverfahren

Zahlreiche Produkte haben vom ULD wieder ein Datenschutz-Gütesiegel erhalten. Zehn Produkte wurden erstmalig zertifiziert, sechs weitere Produk­te wurden nach Ablauf der ersten Zertifizierung in einem vereinfachten Verfahren rezertifiziert.

Das anhaltende Interesse der Hersteller an Zertifi­zierungen und Rezertifizierungen zeigt, dass das schleswig-holsteinische Gütesiegel den Herstellern einen echten Wettbewerbsvorteil bietet, der sich lohnt. Erste Hersteller haben von einer Doppelzertifizierung zusam­men mit EuroPriSe (Tz. 9.4) Gebrauch gemacht. Auch wenn die Verfahren getrennt durchgeführt werden und unterschiedliche Kriterienkataloge anzuwenden sind, so lassen sich doch merkliche Synergieeffekte nutzen.

Im Einzelnen wurden folgende Produkte neu zertifiziert:

• PROSOZ 14plus (Version 5.0.3): softwareunterstützte Bearbeitung der öffent­lichen Jugendhilfe in den Bereichen Fallmanagement, Leistungsgewährung und Controlling,
• „wunderloop Integrated Targeting Platform“ in der Anwendung als „wunder­loop connect“ und „wunderloop custom“ (Stand: Mai 2008): Verfahren zur gezielten Ansprache von Internetnutzern im Bereich der Online-Werbung auf Basis von deren Nutzerverhalten unter Zwischenschaltung eines Anonymisie­rungsdienstes,
• FOTOFIX EB digital (Version 1.0): digitale Fotokabine mit integrierter bio­metrischer Bildbearbeitung zur Nutzung in Meldebehörden,
• PKV-Pseudodatenpool (Version 1.0): Infrastrukturlösung für den gesicherten Austausch von Abrechnungsdaten zwischen Leistungserbringern und Zahlungs­stellen im Bereich von Krankenversicherungen,
• TOPqw (Version 4.0.8): Verwaltung von Verträgen zwischen den Sozial­ämtern/-behörden der Kreise und kreisfreien Städte und den Einrichtungen der Eingliederungshilfe,
• Avan.c (Version 1.0): Internetdienst zur Ermittlung der Rentabilität von medi­zinischen Einrichtungen,
• digitales Wahlstiftsystem dotVote (Version 1.0): elektronische Abgabe, Spei­cherung, Bewertung und Auszählung von Stimmen bei Wahlen,
• EUROLabOffice – Fernwartungsverfahren (Stand: November 2008): Fernwar­tung der Labordiagnostiksoftware EUROLabOffice Version 1.0.8,
• [SPP]: Dienste zur Aktivierung, Lizenzverwaltung und Verhinderung der Umgehung von Sicherheitstechniken im Rahmen von Windows Vista RTM, Windows Vista SP1 und Windows Server 2008 RTM,
• [Fixed IP]: Ermöglichung der IP-basierten Kommunikation zwischen Mobil­geräten über Mobilfunknetze bzw. Kommunikation von stationären Geräten mit einem Mobilgerät über ein Mobilfunknetz auf IP-Basis.

Im Rezertifizierungsverfahren wurden folgende Produkte in einem vereinfach­ten Verfahren (27. TB, Tz. 9.1.4) erneut überprüft und zertifiziert:

• Verfahren der Akten- und Datenträgervernichtung (Stand: Januar 2008): Ver­fahren zur Vernichtung von Akten und Datenträgern durch die recall Deutsch­land GmbH (ehemals recall Deutschland GmbH & Co. KG) im Auftrag für öffentliche und nicht öffentliche Stellen,
• SQS-Testsuite für SAP HCM (Version 2.0): Beratungsprodukt zur Qualitäts­sicherung (Test) von SAP-HCM-Anwendungssystemen in der Praxis,
• Verfahrensregister (Version 2.2): Unterstützung des betrieblichen Datenschutz­beauftragten bei der Erstellung und Verwaltung eines Verfahrensregisters,
• datenschutzkonformes Verfahren zur Vernichtung von Datenträgern aller Art (Stand: September 2008): Vernichtung von Akten, Datenträgern und Mikro­filmen durch die Firma Reisswolf Akten- und Datenvernichtung GmbH & Co. KG, Hamburg, im Auftrag für Auftraggeber aus dem öffentlichen und nicht öffentlichen Bereich,
• Opti.List Professional (Version 7): Archivierung steuerrechtlich relevanter Drucklisten auf Grundlage der Grundsätze zum Datenzugriff und zur Prüfbar­keit digitaler Unterlagen (GDPdU) sowie der Abgabenordnung,
• Galileo (Version 1.0): klinisches Datenmanagement zur Integration medizi­nischer IT-Systeme im Krankenhaus und zur Unterstützung des Workflows am klinischen Arbeitsplatz.

Die zahlreichen Datenschutzskandale im Jahr 2008 dürften verstärkt Anlass geben, dass Hersteller nach Lösungen suchen, um Vertrauen bei Verbrauchern und anderen Kunden aufzubauen. Die auf Qualität ausgerichtete Ausgestaltung des Gütesiegelverfahrens, bei dem die Gutachten der Sachverständigen von einer unabhängigen staatlichen Stelle auf Plausibilität und Richtigkeit geprüft und dann veröffentlicht werden, wird von allen Beteiligten als wichtig angesehen.

Weitere Informationen für Hersteller befinden sich im Internet unter:

www.datenschutzzentrum.de/guetesiegel/infos_hersteller.htm

 

9.3.2      Sachverständige

Im vergangenen Jahr konnte das ULD weitere Sachverständige und Prüf­stellen für das Gütesiegelverfahren anerkennen.

In den Gütesiegelverfahren erfolgt die Begutachtung der zu zertifizierenden Produkte durch beim ULD anerkannte Datenschutzsachverständige. Wer sich anerkennen lassen möchte, kann dies entweder für den Bereich Recht oder Technik beantragen. Bei entsprechender Qualifikation ist eine Doppelzulassung möglich; möglich ist auch die Anerkennung einer ganzen Prüfstelle. Voraussetzungen für eine Anerkennung sind stets neben der Zuverlässigkeit und Unabhängigkeit der Nachweis der erforderlichen Fachkunde. Diese muss sich auf den Datenschutz­bereich beziehen.

Hinzugekommen als Sachverständige sind 2008:

• Sachverständiger Michael Bock (Recht und Technik),
• Prüfstelle Mission 100 e.V. (Recht und Technik),
• Sachverständiger Oliver Korth (Recht),
• Prüfstelle Datenschutz cert GmbH (Recht und Technik).

Inzwischen sind beim ULD 31 Einzelsachverständige registriert. 14 Sachver­ständige sind für den Bereich Recht und 11 für den Bereich Technik anerkannt, sechs Sachverständige für beide Bereiche. Hinzu kommen neun Prüfstellen, von denen zwei für Recht, drei für Technik und vier für beide Bereiche bei uns eingetragen sind.

Die Sachverständigen sind verpflichtet, im Abstand von jeweils drei Jahren nach dem Datum der Anerkennung Nachweise, vor allem über die Wahrnehmung von Fortbildungen und zum Erfahrungsaustausch, beizubringen. Zahlreiche Sachver­ständige sind bereits seit mehr als drei Jahren anerkannt und haben die entspre­chenden Nachweise vorgelegt.

Im September 2008 fand der jährliche Gutachterworkshop in Kiel statt. Von dieser Möglichkeit des Erfahrungsaustausches machten 13 Sachverständige Gebrauch. Diskutiert wurden wieder aktuelle Erfahrungen mit Neu- und Rezerti­fizierungen, Fragen des Marketings des Gütesiegels wie auch Möglichkeiten der Nationalisierung und Internationalisierung. Ein Schwerpunkt war die Zusammen­arbeit mit dem europäischen Gütesiegel EuroPriSe.

Weitere Informationen für Sachverständige befinden sich im Internet unter:

www.datenschutzzentrum.de/guetesiegel/akkreditierung.htm

 

9.4         EuroPriSe

Das von der Europäischen Union geförderte Projekt des europäischen Daten­schutz-Gütesiegels – European Privacy Seal (EuroPriSe) – wird in den Wirk­betrieb überführt (Tz. 8.13).

9.4.1      Zertifizierungskriterien

Das europäische Datenschutz-Gütesiegel EuroPriSe bescheinigt die Verein­barkeit eines IT-Produkts oder einer IT-basierten Dienstleistung mit den Bestimmungen des EU-Datenschutzrechts. Die im Rahmen einer Zertifizie­rung zu prüfenden Kriterien sind aus den einschlägigen EU-Richtlinien abgeleitet und in einem Anforderungskatalog aufgelistet.

Der EuroPriSe-Kriterienkatalog setzt sich aus vier thematischen Komplexen zusammen: Der erste Komplex befasst sich mit grundlegenden Gesichtspunkten der Funktionsweise des Zertifizierungsgegenstands sowie der Gewährleistung von Datensparsamkeit und Transparenz. Gegenstand des zweiten Komplexes ist die Rechtmäßigkeit der Datenverarbeitung. Hier ist insbesondere zu prüfen, ob für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage vorliegt und ob grundsätzliche Prinzipien wie Erforderlichkeit oder Zweckbindung eingehalten werden. Der dritte Komplex betrifft Fragen der Datensicherheit und listet die von der verantwortlichen Stelle zu treffenden technischen und organisatorischen Maß­nahmen wie beispielsweise Verschlüsselung oder Verwendung von Passwörtern auf. Der vierte Komplex hat Kriterien zum Inhalt, die die subjektiven Rechte der von der Datenverarbeitung betroffenen Personen betreffen (z. B. Recht auf Auskunft).

Bei der Ableitung der Zertifizierungs­kriterien wurde nicht nur auf die Vorschriften der EU-Datenschutzricht­linien zurückgegriffen. Vielmehr wur­den auch weitere, diese konkretisie­rende Quellen wie Rechtsprechung des Europäischen Gerichtshofs (EuGH) und Dokumente der sogenannten Artikel-29-Datenschutzgruppe, die sich aus Ver­tretern der nationalen Datenschutzbehörden sowie des Europäischen Datenschutz­beauftragten zusammensetzt, berücksichtigt. Diese Quellen sind bei der Auslegung der Kriterien im konkreten Einzelfall als Hilfsmittel heranzuziehen.

 

9.4.2      Zertifizierungsverfahren

Voraussetzung für die Auszeichnung eines IT-Produkts oder einer Dienstleis­tung mit dem EuroPriSe-Zertifikat ist das erfolgreiche Durchlaufen eines qualitätsgesicherten Zertifizierungsverfahrens. Die hohe Qualität dieses Verfahrens wird durch ein Vieraugenprinzip sichergestellt, bei dem die von akkreditierten Sachverständigen verfassten Gutachten von einer kompeten­ten und unabhängigen Zertifizierungsstelle überprüft werden.

Das Zertifizierungsverfahren beginnt damit, dass ein interessiertes Unterneh­men sich mit ihm geeignet erscheinen­den, akkreditierten Gutachtern in Ver­bindung setzt und diese mit der Eva­luierung beauftragt. Die Gutachter verfassen zunächst eine exakte schrift­liche Beschreibung des Zertifizierungs­gegenstands, reichen sie bei der Zertifi­zierungsstelle ein und besprechen die noch offenen Fragestellungen. Sodann erfolgt die Evaluierung des Produkts oder der Dienstleistung durch die Gutachter. Im Anschluss hieran erstellen die Gutachter ein umfassendes Langgutachten und reichen dieses bei der Zertifizierungsstelle ein.

Die Zertifizierungsstelle prüft im nächsten Verfahrensabschnitt, ob das Sach­verständigengutachten vollständig und nachvollziehbar ist. Bislang gibt es mit dem ULD eine EuroPriSe-Zertifizierungsstelle. Die Einbeziehung weiterer Daten­schutzaufsichtsbehörden oder anderer kompetenter und unabhängiger Organisa­tionen als Zertifizierungsstellen ist in Vorbereitung. Identifiziert das ULD inhalt­liche Defizite oder Unklarheiten im Gutachten, so informiert es die Gutachter hierüber und fordert sie zur Beantwortung der diesbezüglichen Fragen sowie zur Nachbesserung des Gutachtens auf. Nach Erhalt des Feedbacks seitens der Gutachter prüft das ULD, ob alle offenen Punkte beantwortet worden sind und das Gutachten entsprechend angepasst worden ist. Gegebenenfalls kommuniziert es noch offene Fragen an die Gutachter, welche dann wiederum ihre Antworten beim ULD einreichen.

Sind im Hinblick auf die Gutachten keine Punkte mehr offen und erfüllt das Produkt oder die Dienstleistung alle anwendbaren Zertifizierungskriterien, verleiht die Zertifizierungsstelle das EuroPriSe-Siegel. Dies kann auf Wunsch im Rahmen einer öffentlichen Veranstaltung wie etwa einer Messe erfolgen. Um ein Höchstmaß an Transparenz zu gewährleisten, wird eine komprimierte Fassung des Langgutachtens der interessierten Öffentlichkeit auf der EuroPriSe-Website zur Verfügung gestellt. Werden am Zertifizierungsgegenstand keine wesentlichen Änderungen vorgenommen, ist das EuroPriSe-Zertifikat zwei Jahre lang gültig. Nach Ablauf dieser Zeitspanne oder bei wesentlichen Änderungen kann ein verein­fachtes Rezertifizierungsverfahren durchgeführt werden.

9.4.3      Zulassung von Gutachtern

Als EuroPriSe-Gutachter dürfen nur Sachverständige tätig werden, die das strenge EuroPriSe-Akkreditierungsverfahren erfolgreich durchlaufen haben. Während der EuroPriSe-Pilotphase sind über 60 Experten aus zehn verschie­denen EU-Mitgliedstaaten als EuroPriSe-Gutachter zugelassen worden.

Die Evaluierung der zu zertifizierenden IT-Produkte und -Dienstleistungen wird bei EuroPriSe durch akkreditierte Gutachter vorgenommen. Gutachter können für den Bereich Recht und den Bereich Technik akkreditiert werden. Bei einem entsprechenden Maß an Fachkunde ist eine Doppelzulassung als rechtlicher und technischer EuroPriSe-Gutachter möglich.

Datenschutzexperten, die als EuroPriSe-Gutachter zugelassen werden wollen, müssen im Rahmen des Akkreditierungsverfahrens neben ihrer Fachkunde auch ihre Zuverlässigkeit und Unabhängigkeit nachweisen. Weitere Voraussetzungen für eine Akkreditierung sind die Teilnahme an einem Ausbildungsworkshop für Gutachter und die erfolgreiche Anfertigung eines Trainingsgutachtens zu einem beim Workshop vorgestellten fiktiven IT-Produkt. Bislang sind im Rahmen von EuroPriSe zwei Ausbildungsworkshops durchgeführt worden, an denen über 100 Datenschutzexperten aus zwölf EU-Mitgliedstaaten teilgenommen haben. Der nächste Workshop wird im Frühjahr 2009 stattfinden.

Insgesamt sind im Jahr 2008 63 EuroPriSe-Gutachter akkreditiert worden. 24 Sachverständige haben eine Zulassung als technischer Gutachter erhalten, 34 eine Zulassung als rechtlicher Gutachter. Fünf Datenschutzexperten sind sowohl als rechtlicher als auch als technischer EuroPriSe-Gutachter akkreditiert worden. Die zugelassenen Gutachter verteilen sich auf die folgenden EU-Mitgliedstaaten: Spanien (24), Deutschland (22), Österreich (6), Schweden (3), Kroatien und Niederlande (jeweils 2) sowie Belgien, Frankreich, Großbritannien und Slowakei (jeweils 1 Gutachter).

Eine Liste aller bislang zugelassenen EuroPriSe-Gutachter ist abrufbar unter:
www.european-privacy-seal.eu/experts/pilot-experts/

 

9.4.4      Abgeschlossene EuroPriSe -Verfahren

Im Juli 2008 wurde das erste europäische Datenschutz-Gütesiegel an den Betreiber der Metasuchmaschine Ixquick überreicht. Insgesamt wurden im vergangenen Jahr sechs IT-Produkte bzw. IT-basierte Dienstleistungen mit einem EuroPriSe-Zertifikat ausgezeichnet.

Nachdem die ersten Gutachter akkreditiert waren, konnte ab März 2008 mit den EuroPriSe-Pilotverfahren begonnen werden. Im Januar und Februar 2008 bewar­ben sich insgesamt 24 Unternehmen um die Teilnahme an den Pilotverfahren. Von den 18 zugelassenen Pilotverfahren wurden bis zum Ende des Jahres sechs Verfahren erfolgreich abgeschlossen.

Im Einzelnen wurden folgende Produkte und Dienstleistungen zertifiziert:

• Ixquick (Stand: 28. Januar 2009): Ixquick ist eine Metasuchmaschine, die Suchanfragen von Nutzern an verschiedene Suchmaschinen weiterleitet, die Ergebnisse kombiniert und dem Nutzer bereitstellt, ohne hierbei IP-Adressen zu speichern. Gegenstand der Zertifizierung war die Wortsuche; ausgenommen von der Zertifizierung sind bislang weitere Funktionalitäten von Ixquick wie etwa die Bildersuche.

www.ixquick.com/

• „wunderloop Integrated Targeting Platform“ (Version 1.13) in der Anwendung als „wunderloop connect“ und „wunderloop custom“: Verfah­ren zur gezielten Ansprache von Internetnutzern im Bereich der Online-Werbung („predictive behavioral targeting“). Die Ansprache der Nutzer erfolgt auf der Grundlage ihres Surfverhaltens, welches mit Umfragedaten einer kleinen Zahl zufällig ausgewählter Nutzer kombiniert und mithilfe mathematischer Algorithmen ausgewertet wird.
• e-pacs Speicherdienst (Version 3.0): Elektronische Archivierung von Rönt­genbildern und anderen medizinischen Daten durch einen externen Dienstleister. Der Dienst besteht im Wesentlichen aus dem lokal beim Kunden einzurichtenden Department-Server und dem externen Deep Storage Server im Verantwortungs­bereich des Dienstleisters.
• BGNetPlus (Stand: 11. November 2008): BGNet Online Banking ist ein Serviceangebot der spanischen Bank Banco Guipuzcoano. Auf der BGNetPlus Online-Plattform werden den Kunden alltägliche Bankdienstleistungen ange­boten. Gegenstand der Zertifizierung war das Online-Portal (Webinterface). Nicht von der Zertifizierung umfasst sind die bankinternen Vorgänge zwecks Ausführung der Aufträge des Kunden.
• DiaDirekt (Stand: 7. November 2008): Digitalisierungsdienst, der Privat- und Geschäftskunden die Möglichkeit bietet, ihre Fotonegative und Dias in ein digitales Format umwandeln zu lassen. Die digitalisierten Bilder werden auf CD-ROM gebrannt und an den Kunden gesendet. Die Originale werden je nach Wunsch des Kunden entweder an diesen zurückgesendet oder physikalisch zerstört.
• Microsoft Software Protection Platform – SPP (Stand: 1. November 2008): SPP ist ein Softwareprodukt, in dem die Dienste Activation, Volume License Management und Security Breach Response für Windows Vista RTM, Windows Vista SP 1 und Windows Server 2008 RTM zusammengefasst sind. Nicht von der Zertifizierung umfasst sind der Echtheitstest im Allgemeinen sowie der Update-Mechanismus.

Die öffentlichen Kurzgutachten zu allen verliehenen EuroPriSe-Gütesiegeln sind in englischer Sprache abrufbar unter:

www.european-privacy-seal.eu/awarded-seals/

 

9.4.5      Laufende EuroPriSe -Verfahren

Die ersten 18 Zertifizierungsverfahren wurden 2008 im Rahmen der EuroPriSe-Pilotphase gestartet. Ein Großteil dieser Verfahren wird im EuroPriSe-Regelbetrieb weitergeführt, einige Verfahren stehen kurz vor dem Abschluss. Zudem ist mit weiteren Zertifizierungsverfahren begonnen worden. Eine Vielzahl von Unternehmen hat ihr Interesse an einer Zerti­fizierung im Regelbetrieb bekundet.

Von den 18 EuroPriSe-Pilotverfahren aus acht verschiedenen Ländern sind 2008 sechs Verfahren erfolgreich abgeschlossen worden (Tz. 9.4.4). Elf Pilotverfahren werden voraussichtlich zum Ende der Pilotphase abgeschlossen oder im Regel­betrieb fortgeführt. Die Zertifizierungsgegenstände entstammen unterschiedlichen Bereichen, etwa dem Gesundheitssektor oder dem Web 2.0.

Neben den Pilotverfahren sind 2008 weitere Verfahren gestartet worden, die im Verlauf der ersten Jahreshälfte 2009 abgeschlossen werden sollen.

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel