9 Audit und Gütesiegel
9.1 Bundesauditgesetz – gute Absicht, schlecht gemacht
Die Bundesregierung hat das lang erwartete Bundesauditgesetz in Angriff genommen. Im Dezember 2008 wurde ein vom Bundesinnenministerium erarbeiteter Vorschlag vom Kabinett angenommen. Bis zu praktikablen Regelungen ist es noch ein weiter Weg.
Der Entwurf für das Datenschutzauditgesetz wurde vom Bundeskabinett gemeinsam mit Änderungsvorschlägen zum BDSG beschlossen (Tz. 2.3 und Tz. 5.1.2). So begrüßenswert es ist, dass nunmehr Bewegung in die Gesetzgebung kommt, so kritikwürdig ist leider der Entwurf. Das ULD hat sehr ausführlich zum Vorentwurf und zum Beschlussentwurf Stellung bezogen, ohne dass dies von der Bundesregierung in den Kernpunkten berücksichtigt wurde. Dies verwundert, zumal das ULD in Deutschland die einzige Stelle ist, die mit Datenschutz-Gütesiegeln und Auditverfahren in mehr als sieben Jahren umfangreiche und zudem gute Erfahrungen gemacht hat. Trotz mehrfacher Angebote war das ULD nur in geringem Maße in die Gesetzesdiskussion eingebunden.
Unsere Hauptkritikpunkte sind:
- Nach dem Entwurf sollen private Kontrollstellen die Zertifizierung allein vornehmen. Eine Qualitätssicherung wie bei Verfahren in Schleswig-Holstein durch eine unabhängige Stelle ist nicht vorgesehen. Dies birgt die Gefahr, dass die privaten Kontrollstellen im Zuge generellen finanziellen Drucks Gefälligkeitsgutachten erstellen.
- Es ist keine obligatorische Grundprüfung vorgesehen. Zur Verwendung des Zertifikats genügt vielmehr eine entsprechende Anzeige. Die Kontrolle erfolgt später, eventuell erst mit Verzögerung. Beim schleswig-holsteinischen Verfahren erfolgt die Prüfung vor der Auditverleihung. Nur so kann bei den relevanten Zielgruppen das Vertrauen in das Zertifikat entstehen und bewahrt werden.
- Im Entwurf ist die Prüfung der Kontrollstellen nur rudimentär geregelt. Die Rücknahme von Zertifizierungen ist schwierig und aufwendig. Beim Verfahren in Schleswig-Holstein erfolgt schon anlässlich der konkreten Auditierungsverfahren eine qualifizierte Rückmeldung an Gutachter und an die zu auditierende Stelle. Werden Unregelmäßigkeiten bekannt, so können schnell und gestuft die notwendigen Schritte eingeleitet werden.
- Der Entwurf sieht in einem aufwendigen Prozess unter Einbeziehung von dem Datenschutz gegenüber kritisch eingestellten Interessenvertretern die Erarbeitung von Auditkriterien vor. Deren Einhaltung wird nirgends nachvollziehbar dokumentiert und kann daher auch nicht geprüft werden. Die Auditierungen in Schleswig-Holstein werden über Kurzgutachten veröffentlicht und sind dadurch für Beteiligte und Interessierte transparent und hinterfragbar.
www.datenschutzzentrum.de/bdsauditg/20081029-stellungnahme-dsag-e.html
Firmen, die das Gütesiegelverfahren in Schleswig-Holstein durchlaufen haben oder dieses näher kennen, haben einhellig zum Ausdruck gebracht, dass vonseiten der Wirtschaft ein Wunsch nach einem starken und aussagekräftigen Siegel besteht. Der Entwurf der Bundesregierung hingegen würde nicht nur einen großen bürokratischen Aufwand mit sich bringen, sondern enthalte nur eine geringe Aussage über die Einhaltung der Datenschutzstandards. Solange diesbezüglich keine wesentliche Nachbesserung des geplanten Audits „mit kleiner Münze“ erfolgt, behält im Interesse der Wirtschaft und eines wirksamen präventiven Datenschutzes das Datenschutz-Gütesiegel „Certified in Schleswig-Holstein“ seine Daseinsberechtigung.
Begrüßenswert ist diese Situation nicht. Die Etablierung mehrerer staatlicher Siegel mit ähnlicher Ausrichtung birgt die Gefahr, dass die Unternehmen von Zertifizierungen generell abgehalten werden, und diskreditiert das Instrument des Datenschutz-Audits. Wir geben daher die Hoffnung nicht auf, dass sich aufseiten des Bundes Vernunft breitmacht und gemeinsam ein praktikabler Weg zu einem wirksamen Bundesaudit gefunden wird. Der Bedarf ist da.
Was ist zu tun?
Die Erarbeitung eines Bundesauditgesetzes ist konstruktiv zu unterstützen. Auf offensichtliche Fehlentwicklungen muss jedoch nachdrücklich hingewiesen werden.
9.2 Datenschutz-Audits
Auditverfahren sind nichts anderes als Projekte. Werden Projekte gut geführt, verfügen sie über ausreichende Ressourcen, sind alle Entscheider und Interessierten eingebunden und gibt es den Willen, das Projekt zu einem vorzeigbaren Ende zu bringen, dann sind sie auch erfolgreich.
Einige Auditverfahren sind im letzten Berichtszeitraum in Ressourcenengpässe gelaufen. Das ULD setzt in solchen Fällen das eigentliche Auditverfahren aus und geht in die Beratung und Prüfung über. Dies betrifft die Audits in der Kreisverwaltung Segeberg und an der Christian-Albrechts-Universität zu Kiel. Im Folgenden wird beschrieben, welche Entwicklungen es im Datenschutzauditbereich gab.
9.2.1 Neue Hinweise zur Durchführung eines Datenschutz-Behördenaudits
In die neuen Hinweise zur Durchführung eines Datenschutz-Behördenaudits sind die Erfahrungen der letzten Jahre eingeflossen. Neu ist das Voraudit, das die Daten verarbeitende Stelle in die Lage versetzt, vor der eigentlichen Begutachtungsphase gemeinsam mit dem ULD die in der Organisation erkannten Schwachstellen zu beseitigen.
Die Hinweise geben interessierten Stellen Informationen über die einzelnen Verfahrensschritte eines Audits. Bei der Überarbeitung wurden besonders die durch das ULD in der Praxis gesammelten Erfahrungen berücksichtigt. Folgende Neuerungen sind von Bedeutung:
- Abgrenzung des Auditgegenstandes
Im Rahmen einer Bestandsaufnahme wird der Auditgegenstand von der Daten verarbeitenden Stelle abgegrenzt. Dabei sind folgende Aspekte zu beachten:
- die aufbau- und ablauforganisatorischen Gegebenheiten der Fachabteilungen,
- die eingesetzten IT-Komponenten und -Fachverfahren,
- die Datenverarbeitungs- und Kommunikationswege (Netzplan),
- die Einhaltung der materiellen Zulässigkeitsvoraussetzungen der Datenverarbeitung,
- die festgelegten technischen und organisatorischen Maßnahmen sowie
- die Gewährleistung der Einhaltung der datenschutzrechtlichen und sicherheitstechnischen Vorgaben durch das Datenschutzmanagementsystem.
Bei Verfahren, die sich erst in der Planung oder Entwicklung befinden, können diese Aspekte im Rahmen eines sogenannten Konzeptaudits festgelegt werden. Das Konzeptaudit beinhaltet ausschließlich Dokumentationsunterlagen, die den Verfahrensgegenstand in den oben genannten Phasen beschreiben.
- Voraudit
In Vorbereitung auf das Datenschutz-Behördenaudit kann die Daten verarbeitende Stelle vom ULD ein Voraudit durchführen lassen. Dabei wird überprüft, ob die Voraussetzungen für das Datenschutz-Behördenaudit von der Daten verarbeitenden Stelle geschaffen wurden. Im Voraudit festgestellte Mängel können gemeinsam mit dem ULD behoben werden. Folgende Schritte werden durchgeführt:
- Abgrenzung des Auditgegenstandes,
- Festlegung der Datenschutzziele,
- Sammlung der zum Auditgegenstand gehörenden Dokumentation,
- Bestandsaufnahme der technischen und organisatorischen Abläufe,
- Erstellung eines Ergebnisberichts mit Projektplan,
- Mängelbeseitigung,
- Einrichtung eines Datenschutzmanagementsystems,
- Erstellung des Datenschutzkonzepts,
- Aufbereitung der für das Datenschutz-Behördenaudit erforderlichen Dokumentation sowie
- abschließende Überprüfung der Erfüllung aller im Voraudit festgelegten und durchzuführenden Aufgaben.
Voraudit und Auditierung werden im ULD organisatorisch und personell getrennt behandelt, um die Unabhängigkeit des ULD-Auditors während der Auditierung zu gewährleisten.
- Begutachtung
Die vorgelegte Dokumentation für den Auditgegenstand bildet die Grundlage für die Begutachtung vor Ort in der Daten verarbeitenden Stelle durch das ULD. Folgender Ablauf beinhaltet die Begutachtung:
- Überprüfung der Abgrenzung des Auditgegenstandes,
- Analyse der Dokumentation (Datenschutzkonzept),
- Begutachtung der Wirkungsweise des Datenschutzmanagementsystems und der Erreichung der festgelegten Datenschutzziele,
- Hervorhebung von anerkennenswerten und datenschutzfreundlichen Datenverarbeitungsprozessen,
- stichprobenartige Überprüfung der Umsetzung der im Datenschutzkonzept festgelegten Sicherheitsmaßnahmen,
- Überprüfung der Einhaltung datenschutzrechtlicher und bereichsspezifischer Vorschriften in Bezug auf den Auditgegenstand,
- Erstellung eines Gutachtens,
- Verleihung des Datenschutzauditzeichens.
Die Hinweise zur Durchführung eines Datenschutz-Behördenaudits sind im Amtsblatt 2008, S. 1164, Gl.-Nr. 2041.7 sowie im Internet veröffentlicht:
www.datenschutzzentrum.de/material/recht/audit.htm
9.2.2 Zahlstellen und InVeKoS-Agrar-Förderprogramm (ZIAF )
Auf Wunsch des Landwirtschaftsministeriums wurde nach der letztjährigen Auditierung der Sicherheitskonzeption des ZIAF-Verfahrens die tatsächliche Umsetzung dieser Konzepte nach dem nationalen Sicherheitsstandard IT‑Grundschutz des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) überprüft.
Das „I“ in ZIAF steht für die Abkürzung InVeKoS (Integriertes Verwaltungs- und Kontrollsystem). Mit dem ZIAF-Verfahren zur Agrarförderung werden in Schleswig-Holstein vom Landwirtschaftsministerium (MLUR) finanzielle Fördermaßnahmen verwaltet. Dies geschieht in einer weitverzweigten Infrastruktur auf ca. 350 Arbeitsplätzen in acht verschiedenen Organisationseinheiten an elf Standorten unter Einbeziehung des Dienstleisters Dataport. Dabei werden in unterschiedlichen Förderprogrammen erhebliche Beträge (2006–2007: ca. 2.160 Millionen Euro) ausgezahlt. Die EU hat aus diesem Grund sicherheitstechnische Vorgaben gemacht, um Ausfällen der Informationstechnik und Manipulationen vorzubeugen. Bei der Umsetzung dieser Vorgaben greifen die Bundesländer auf den Sicherheitsstandard IT-Grundschutz zurück.
ISO 27001 auf Basis von IT-Grundschutz: Kombination der detaillierten nationalen Vorgaben des IT-Grundschutzes (materielle Sicherheitsmaßnahmen) mit den Vorgaben der Norm ISO 27001 für das Management von IT-Sicherheit.
Im Vorjahr waren im MLUR und bei Dataport umfangreiche Sicherheitskonzepte erstellt worden, die sich auf das Management der Informationssicherheit, aber auch die materielle Datensicherheit beziehen (30. TB, Tz. 9.1.3). Die Umsetzung dieser Konzepte werden in einem Auditierungsverfahren gemäß ISO 27001 auf Basis von IT‑Grundschutz vom ULD überprüft. Bei dieser Prüfung sind spezifische Vorgaben des BSI zu beachten: Managementaspekte der IT-Sicherheit sind zwingend, einzelne der ca. 5.000 Sicherheitsmaßnahmen nach einem Stichprobenprinzip zu überprüfen. Die Prüfung erstreckt sich sowohl auf das MLUR und die beteiligten Organisationseinheiten als auch auf Dataport und hat besonders die Schnittstellen zwischen den Organisationseinheiten zu beleuchten. Gegenwärtig wird der Auditbericht vom BSI überprüft.
Da die Vorgaben der Datenschutzverordnung (DSVO) mit dem Standard IT‑Grundschutz konform gehen, kann mit der Konformität zu IT-Grundschutz auch die Einhaltung der DSVO nachgewiesen werden.
Um unsere Kompetenzen im Hinblick auf IT-Grundschutz auszubauen, haben sich zwei weitere Mitarbeiter des ULD zu ISO27001-Auditoren qualifizieren und vom BSI akkreditieren lassen. Zusammen mit dem BSI und Datenschutzkollegen aus anderen Bundesländern und dem Bund wird an der engen Verzahnung von IT‑Sicherheitsmanagement und Datenschutzmanagement im Rahmen des IT-Grundschutzes gearbeitet.
Was ist zu tun?
Das erfolgreich aufgebaute IT-Sicherheitsmanagement im MLUR und bei Dataport muss kontinuierlich weiterentwickelt und angepasst werden, um den künftigen Veränderungen gerecht zu werden.
9.2.3 Ministerium für Bildung und Frauen
Das Ministerium für Bildung und Frauen (MBF) hat sich mit dem Audit seiner IT-Verfahren bei dünner personeller und zeitlicher Ressourcendecke eine große Aufgabe vorgenommen. Die Arbeiten gehen jedoch stetig voran, und die Ergebnisse werden – vor allem bei der Dokumentationssystematik und bei einem neuen (elektronischen) Weg der Berechtigungsdokumentation – voraussichtlich Vorzeigecharakter erlangen.
Die technische und organisatorische Bestandsaufnahme ergab, dass schon viel Dokumentation vorhanden war und Regelungen getroffen wurden. Diese lagen jedoch zum Teil – sowohl elektronisch als auch in Papierform – verstreut vor. Verantwortlichkeiten waren nicht immer eindeutig festgelegt. In einem ersten Schritt musste daher das Ministerium eine Dokumentationssystematik festlegen und Verantwortlichkeiten definieren.
Hierzu waren Arbeitsprozesse zu analysieren und zu bewerten sowie Verantwortlichkeiten zu vereinbaren und zu dokumentieren. Es erwies sich als nicht einfach, die zentral vom Finanzministerium zur Verfügung gestellten IT-Komponenten in die eigene Dokumentation zu integrieren. Anschließend musste die übergreifende IT- und Sicherheitskonzeption erstellt werden. Das MBF wählte aufgrund der besseren Übersichtlichkeit und Wartbarkeit der Dokumente einen modularen Aufbau.
Hinsichtlich der Berechtigungsvergabe entwickelte sich eine lebhafte Diskussion. Bei der Vergabe und Dokumentation der Berechtigungen wurde folgender Ablauf festgelegt:
- Ein Verantwortlicher, z. B. der Leiter eines Referates, erteilt für seine Mitarbeiter Aufträge an die IT, indem er festlegt, welche Berechtigungen ein Mitarbeiter z. B. in der zentralen Datenablage oder in einem Fachverfahren erhalten soll. Dieser Auftrag kann beispielsweise mittels eines Standardlaufzettels oder in einer standardisierten E-Mail erteilt werden.
- Die Administration setzt den Auftrag im IT-System um und gibt eine Rückmeldung an den Auftraggeber, d. h. den Referatsleiter, der das ordnungsgemäße Umsetzen seines Auftrags kontrollieren kann.
- Die durchgeführten Arbeiten – Auftrag, Durchführung und gegebenenfalls Kontrolle – werden elektronisch oder auf Papier so dokumentiert, dass eine Prüfinstanz jederzeit feststellen kann, welche Änderungen wann von welcher Person durchgeführt und von wem beauftragt worden sind und welche Berechtigungen ein einzelnes Benutzerkonto nun effektiv besitzt.
Für das Ministerium war von Anfang an klar, dass sich eine Dokumentation von Hand für diesen Prozess mit den verfügbaren Personalressourcen nicht zufriedenstellend gewährleisten lässt. Zurzeit wird gerade geprüft, inwieweit ein Ticketsystem zur Berechtigungsdokumentation eingesetzt werden kann. Diese Lösung hätte den Vorteil, dass
- Berechtigungsvergaben und -änderungen in einem Datenbanksystem erfasst würden,
- daher erkennbar wäre, wer wann welchen Auftrag gegeben hat,
- zu Prüfungszwecken für jedes Benutzerkonto automatisiert eine Berechtigungsabfrage erstellt werden könnte und
- eine zusätzliche Dokumentation der Berechtigungen per Hand entfiele.
Was ist zu tun?
Auch mit knappen Personalressourcen muss das MBF bei diesem Audit am Ball bleiben. Das Ministerium ist auf dem besten Weg zu einer gut strukturierten und transparenten Dokumentation sowie zu einer elektronischen Berechtigungsdokumentation.
9.2.4 Kreis Plön
Nachdem der Kreis Plön sein Kreisnetz durch das ULD hat auditieren lassen, werden nun die Basissysteme für den Betrieb der in der Kreisverwaltung eingesetzten Fachverfahren einem Audit unter Berücksichtigung des Grundschutzstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unterzogen.
Die Kreisverwaltung Plön ist in der kommunalen Verwaltung Schleswig-Holstein weiter Vorreiter in ihrer IT-Sicherheitspolitik (30. TB, Tz. 9.1.6). Als erste Kommunalverwaltung stellt sie sich mit Unterstützung des ULD einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz. Dieses Zertifikat bietet dem Kreis die Möglichkeit, seine Bemühungen im Bereich der IT-Sicherheit transparent zu machen, was sowohl seinen Kunden, also den nachgeordneten Kommunen, wie den anderen Kreisverwaltungen als Vorbild und den Bürgerinnen und Bürgern als Betroffenen dient.
Bei der Zertifizierung wird neben dem IT-Sicherheitsmanagement die konkrete Umsetzung von IT-Sicherheitsmaßnahmen auf der Basis von IT-Grundschutz geprüft. Die Zusammenarbeit mit dem ULD als Prüfinstitution ist bereits weit fortgeschritten. Der sogenannte Basissicherheitscheck ist abgeschlossen, und die Mitarbeiter der IT-Abteilung des Kreises Plön setzen nun die nach dem Grundschutzstandard noch zu bearbeitenden Sicherheitsmaßnahmen um.
Abb.: Grundschutzmethodik / Quelle: www.BSI.de (Webkurs IT-Grundschutz)
Das zur Koordinierung und Überprüfung der Sicherheitsaspekte benötigte IT‑Sicherheitsmanagement besteht beim Kreis Plön schon seit längerer Zeit. Insofern hat der Leiter der IT-Abteilung frühzeitig die Weichen für die IT-Sicherheitsstrategie richtig gestellt. Hervorzuheben ist, dass das hohe technische Niveau des Rechenzentrums der Kreisverwaltung und der bereitgestellten Dienste auch den nachgeordneten Kommunen zugutekommt. Die IT-Abteilung der Kreisverwaltung Plön nimmt einen Spitzenplatz ein, was Know-how und Professionalität betrifft. Bei der Umsetzung des IT-Grundschutzstandards muss die Kreisverwaltung Plön nach einer festgelegten Methode vorgehen (siehe nebenstehende Grafik).
Eine IT-Strukturanalyse wurde vollständig durchgeführt. Anschließend wurden der IT-Verbund über die Infrastruktur, die IT-Systeme, Netze und Anwendungen erfasst, der Schutzbedarf festgelegt, die Sicherheitsmaßnahmen bestimmt und umgesetzt sowie eine ergänzende Sicherheitsanalyse durchgeführt. Nach erfolgreichem Abschluss des Verfahrens vergibt das BSI das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz und das ULD im Rahmen eines Behördenaudits ein Zertifikat für den datenschutzgerechten Einsatz der Datenverarbeitung an den Landrat des Kreises Plön und seine IT-Abteilung.
Was ist zu tun?
Der von der IT-Abteilung des Kreises Plön eingerichtete IT-Sicherheitsprozess ist dauerhaft auf dem erreichten Niveau zu halten.
9.2.5 Auditverfahren Unfallkasse Nord
Die Unfallkasse Schleswig-Holstein und die Landesunfallkasse Hamburg fusionierten Anfang 2008 zur Unfallkasse Nord. Bei der neuen Unfallkasse Nord wurde eine untere Landesbehörde errichtet, der die Zuständigkeit des staatlichen Arbeitsschutzes zugewiesen wurde. Aus diesen Fusionen ergeben sich zahlreiche Datenschutzfragen. Das ULD wurde mit der Auditierung der Datenverarbeitung der Versichertendaten sowie der Personalaktenverwaltung beauftragt. Nach einer kritischen Hinterfragung des Verfahrens zur Einmeldung von Unfällen und der Einbindung der Betroffenen wird hierzu an einer Lösung gearbeitet. Es besteht gute Aussicht, das Audit im ersten Halbjahr 2009 abzuschließen.
Was ist zu tun?
Das Audit bei der Unfallkasse Nord ist erfolgreich zu Ende zu bringen und mit Leben zu füllen.
9.3 Datenschutz-Gütesiegel
9.3.1 Abgeschlossene Gütesiegelverfahren
Zahlreiche Produkte haben vom ULD wieder ein Datenschutz-Gütesiegel erhalten. Zehn Produkte wurden erstmalig zertifiziert, sechs weitere Produkte wurden nach Ablauf der ersten Zertifizierung in einem vereinfachten Verfahren rezertifiziert.
Das anhaltende Interesse der Hersteller an Zertifizierungen und Rezertifizierungen zeigt, dass das schleswig-holsteinische Gütesiegel den Herstellern einen echten Wettbewerbsvorteil bietet, der sich lohnt. Erste Hersteller haben von einer Doppelzertifizierung zusammen mit EuroPriSe (Tz. 9.4) Gebrauch gemacht. Auch wenn die Verfahren getrennt durchgeführt werden und unterschiedliche Kriterienkataloge anzuwenden sind, so lassen sich doch merkliche Synergieeffekte nutzen.
Im Einzelnen wurden folgende Produkte neu zertifiziert:
- PROSOZ 14plus (Version 5.0.3): softwareunterstützte Bearbeitung der öffentlichen Jugendhilfe in den Bereichen Fallmanagement, Leistungsgewährung und Controlling,
- „wunderloop Integrated Targeting Platform“ in der Anwendung als „wunderloop connect“ und „wunderloop custom“ (Stand: Mai 2008): Verfahren zur gezielten Ansprache von Internetnutzern im Bereich der Online-Werbung auf Basis von deren Nutzerverhalten unter Zwischenschaltung eines Anonymisierungsdienstes,
- FOTOFIX EB digital (Version 1.0): digitale Fotokabine mit integrierter biometrischer Bildbearbeitung zur Nutzung in Meldebehörden,
- PKV-Pseudodatenpool (Version 1.0): Infrastrukturlösung für den gesicherten Austausch von Abrechnungsdaten zwischen Leistungserbringern und Zahlungsstellen im Bereich von Krankenversicherungen,
- TOPqw (Version 4.0.8): Verwaltung von Verträgen zwischen den Sozialämtern/-behörden der Kreise und kreisfreien Städte und den Einrichtungen der Eingliederungshilfe,
- Avan.c (Version 1.0): Internetdienst zur Ermittlung der Rentabilität von medizinischen Einrichtungen,
- digitales Wahlstiftsystem dotVote (Version 1.0): elektronische Abgabe, Speicherung, Bewertung und Auszählung von Stimmen bei Wahlen,
- EUROLabOffice – Fernwartungsverfahren (Stand: November 2008): Fernwartung der Labordiagnostiksoftware EUROLabOffice Version 1.0.8,
- [SPP]: Dienste zur Aktivierung, Lizenzverwaltung und Verhinderung der Umgehung von Sicherheitstechniken im Rahmen von Windows Vista RTM, Windows Vista SP1 und Windows Server 2008 RTM,
- [Fixed IP]: Ermöglichung der IP-basierten Kommunikation zwischen Mobilgeräten über Mobilfunknetze bzw. Kommunikation von stationären Geräten mit einem Mobilgerät über ein Mobilfunknetz auf IP-Basis.
Im Rezertifizierungsverfahren wurden folgende Produkte in einem vereinfachten Verfahren (27. TB, Tz. 9.1.4) erneut überprüft und zertifiziert:
- Verfahren der Akten- und Datenträgervernichtung (Stand: Januar 2008): Verfahren zur Vernichtung von Akten und Datenträgern durch die recall Deutschland GmbH (ehemals recall Deutschland GmbH & Co. KG) im Auftrag für öffentliche und nicht öffentliche Stellen,
- SQS-Testsuite für SAP HCM (Version 2.0): Beratungsprodukt zur Qualitätssicherung (Test) von SAP-HCM-Anwendungssystemen in der Praxis,
- Verfahrensregister (Version 2.2): Unterstützung des betrieblichen Datenschutzbeauftragten bei der Erstellung und Verwaltung eines Verfahrensregisters,
- datenschutzkonformes Verfahren zur Vernichtung von Datenträgern aller Art (Stand: September 2008): Vernichtung von Akten, Datenträgern und Mikrofilmen durch die Firma Reisswolf Akten- und Datenvernichtung GmbH & Co. KG, Hamburg, im Auftrag für Auftraggeber aus dem öffentlichen und nicht öffentlichen Bereich,
- Opti.List Professional (Version 7): Archivierung steuerrechtlich relevanter Drucklisten auf Grundlage der Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) sowie der Abgabenordnung,
- Galileo (Version 1.0): klinisches Datenmanagement zur Integration medizinischer IT-Systeme im Krankenhaus und zur Unterstützung des Workflows am klinischen Arbeitsplatz.
Die zahlreichen Datenschutzskandale im Jahr 2008 dürften verstärkt Anlass geben, dass Hersteller nach Lösungen suchen, um Vertrauen bei Verbrauchern und anderen Kunden aufzubauen. Die auf Qualität ausgerichtete Ausgestaltung des Gütesiegelverfahrens, bei dem die Gutachten der Sachverständigen von einer unabhängigen staatlichen Stelle auf Plausibilität und Richtigkeit geprüft und dann veröffentlicht werden, wird von allen Beteiligten als wichtig angesehen.
Weitere Informationen für Hersteller befinden sich im Internet unter:
www.datenschutzzentrum.de/guetesiegel/infos_hersteller.htm
Was ist zu tun?
Die Hersteller von Produkten werden weiterhin auf die Vorzüge des Gütesiegels hingewiesen. Dabei findet eine enge Zusammenarbeit mit dem Projekt EuroPriSe statt, um Synergien zu nutzen und Hersteller ziel- und bedarfsgerecht beraten zu können.
9.3.2 Sachverständige
Im vergangenen Jahr konnte das ULD weitere Sachverständige und Prüfstellen für das Gütesiegelverfahren anerkennen.
In den Gütesiegelverfahren erfolgt die Begutachtung der zu zertifizierenden Produkte durch beim ULD anerkannte Datenschutzsachverständige. Wer sich anerkennen lassen möchte, kann dies entweder für den Bereich Recht oder Technik beantragen. Bei entsprechender Qualifikation ist eine Doppelzulassung möglich; möglich ist auch die Anerkennung einer ganzen Prüfstelle. Voraussetzungen für eine Anerkennung sind stets neben der Zuverlässigkeit und Unabhängigkeit der Nachweis der erforderlichen Fachkunde. Diese muss sich auf den Datenschutzbereich beziehen.
Hinzugekommen als Sachverständige sind 2008:
- Sachverständiger Michael Bock (Recht und Technik),
- Prüfstelle Mission 100 e.V. (Recht und Technik),
- Sachverständiger Oliver Korth (Recht),
- Prüfstelle Datenschutz cert GmbH (Recht und Technik).
Inzwischen sind beim ULD 31 Einzelsachverständige registriert. 14 Sachverständige sind für den Bereich Recht und 11 für den Bereich Technik anerkannt, sechs Sachverständige für beide Bereiche. Hinzu kommen neun Prüfstellen, von denen zwei für Recht, drei für Technik und vier für beide Bereiche bei uns eingetragen sind.
Die Sachverständigen sind verpflichtet, im Abstand von jeweils drei Jahren nach dem Datum der Anerkennung Nachweise, vor allem über die Wahrnehmung von Fortbildungen und zum Erfahrungsaustausch, beizubringen. Zahlreiche Sachverständige sind bereits seit mehr als drei Jahren anerkannt und haben die entsprechenden Nachweise vorgelegt.
Im September 2008 fand der jährliche Gutachterworkshop in Kiel statt. Von dieser Möglichkeit des Erfahrungsaustausches machten 13 Sachverständige Gebrauch. Diskutiert wurden wieder aktuelle Erfahrungen mit Neu- und Rezertifizierungen, Fragen des Marketings des Gütesiegels wie auch Möglichkeiten der Nationalisierung und Internationalisierung. Ein Schwerpunkt war die Zusammenarbeit mit dem europäischen Gütesiegel EuroPriSe.
Weitere Informationen für Sachverständige befinden sich im Internet unter:
www.datenschutzzentrum.de/guetesiegel/akkreditierung.htm
Was ist zu tun?
Die Sachverständigen sind ein zentraler Baustein und personelle Stütze des Gütesiegelverfahrens. Deren Bestreben, neue Produkte für das Gütesiegelverfahren zu gewinnen, ist daher zu unterstützen.
9.4 EuroPriSe
Das von der Europäischen Union geförderte Projekt des europäischen Datenschutz-Gütesiegels – European Privacy Seal (EuroPriSe) – wird in den Wirkbetrieb überführt (Tz. 8.13).
9.4.1 Zertifizierungskriterien
Das europäische Datenschutz-Gütesiegel EuroPriSe bescheinigt die Vereinbarkeit eines IT-Produkts oder einer IT-basierten Dienstleistung mit den Bestimmungen des EU-Datenschutzrechts. Die im Rahmen einer Zertifizierung zu prüfenden Kriterien sind aus den einschlägigen EU-Richtlinien abgeleitet und in einem Anforderungskatalog aufgelistet.
Artikel-29-Datenschutzgruppe
Die Artikel-29-Datenschutzgruppe hat seit 1997 schon mehr als 150 Arbeitsdokumente verabschiedet. Diese können unter
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs
abgerufen werden.
Der EuroPriSe-Kriterienkatalog setzt sich aus vier thematischen Komplexen zusammen: Der erste Komplex befasst sich mit grundlegenden Gesichtspunkten der Funktionsweise des Zertifizierungsgegenstands sowie der Gewährleistung von Datensparsamkeit und Transparenz. Gegenstand des zweiten Komplexes ist die Rechtmäßigkeit der Datenverarbeitung. Hier ist insbesondere zu prüfen, ob für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage vorliegt und ob grundsätzliche Prinzipien wie Erforderlichkeit oder Zweckbindung eingehalten werden. Der dritte Komplex betrifft Fragen der Datensicherheit und listet die von der verantwortlichen Stelle zu treffenden technischen und organisatorischen Maßnahmen wie beispielsweise Verschlüsselung oder Verwendung von Passwörtern auf. Der vierte Komplex hat Kriterien zum Inhalt, die die subjektiven Rechte der von der Datenverarbeitung betroffenen Personen betreffen (z. B. Recht auf Auskunft).
Bei der Ableitung der Zertifizierungskriterien wurde nicht nur auf die Vorschriften der EU-Datenschutzrichtlinien zurückgegriffen. Vielmehr wurden auch weitere, diese konkretisierende Quellen wie Rechtsprechung des Europäischen Gerichtshofs (EuGH) und Dokumente der sogenannten Artikel-29-Datenschutzgruppe, die sich aus Vertretern der nationalen Datenschutzbehörden sowie des Europäischen Datenschutzbeauftragten zusammensetzt, berücksichtigt. Diese Quellen sind bei der Auslegung der Kriterien im konkreten Einzelfall als Hilfsmittel heranzuziehen.
Was ist zu tun?
Der Anforderungskatalog ist kontinuierlich weiterzuentwickeln und an alle wesentlichen Veränderungen und Entwicklungen im Bereich der Gesetzgebung und der Technik anzupassen.
9.4.2 Zertifizierungsverfahren
Voraussetzung für die Auszeichnung eines IT-Produkts oder einer Dienstleistung mit dem EuroPriSe-Zertifikat ist das erfolgreiche Durchlaufen eines qualitätsgesicherten Zertifizierungsverfahrens. Die hohe Qualität dieses Verfahrens wird durch ein Vieraugenprinzip sichergestellt, bei dem die von akkreditierten Sachverständigen verfassten Gutachten von einer kompetenten und unabhängigen Zertifizierungsstelle überprüft werden.
Zertifizierungsgegenstand
Der Zertifizierungsgegenstand (engl.: Target of Evaluation – ToE) bestimmt den Umfang des Verfahrens und entscheidet darüber, was genau im Erfolgsfall zertifiziert wird.
Das Zertifizierungsverfahren beginnt damit, dass ein interessiertes Unternehmen sich mit ihm geeignet erscheinenden, akkreditierten Gutachtern in Verbindung setzt und diese mit der Evaluierung beauftragt. Die Gutachter verfassen zunächst eine exakte schriftliche Beschreibung des Zertifizierungsgegenstands, reichen sie bei der Zertifizierungsstelle ein und besprechen die noch offenen Fragestellungen. Sodann erfolgt die Evaluierung des Produkts oder der Dienstleistung durch die Gutachter. Im Anschluss hieran erstellen die Gutachter ein umfassendes Langgutachten und reichen dieses bei der Zertifizierungsstelle ein.
Die Zertifizierungsstelle prüft im nächsten Verfahrensabschnitt, ob das Sachverständigengutachten vollständig und nachvollziehbar ist. Bislang gibt es mit dem ULD eine EuroPriSe-Zertifizierungsstelle. Die Einbeziehung weiterer Datenschutzaufsichtsbehörden oder anderer kompetenter und unabhängiger Organisationen als Zertifizierungsstellen ist in Vorbereitung. Identifiziert das ULD inhaltliche Defizite oder Unklarheiten im Gutachten, so informiert es die Gutachter hierüber und fordert sie zur Beantwortung der diesbezüglichen Fragen sowie zur Nachbesserung des Gutachtens auf. Nach Erhalt des Feedbacks seitens der Gutachter prüft das ULD, ob alle offenen Punkte beantwortet worden sind und das Gutachten entsprechend angepasst worden ist. Gegebenenfalls kommuniziert es noch offene Fragen an die Gutachter, welche dann wiederum ihre Antworten beim ULD einreichen.
Sind im Hinblick auf die Gutachten keine Punkte mehr offen und erfüllt das Produkt oder die Dienstleistung alle anwendbaren Zertifizierungskriterien, verleiht die Zertifizierungsstelle das EuroPriSe-Siegel. Dies kann auf Wunsch im Rahmen einer öffentlichen Veranstaltung wie etwa einer Messe erfolgen. Um ein Höchstmaß an Transparenz zu gewährleisten, wird eine komprimierte Fassung des Langgutachtens der interessierten Öffentlichkeit auf der EuroPriSe-Website zur Verfügung gestellt. Werden am Zertifizierungsgegenstand keine wesentlichen Änderungen vorgenommen, ist das EuroPriSe-Zertifikat zwei Jahre lang gültig. Nach Ablauf dieser Zeitspanne oder bei wesentlichen Änderungen kann ein vereinfachtes Rezertifizierungsverfahren durchgeführt werden.
9.4.3 Zulassung von Gutachtern
Als EuroPriSe-Gutachter dürfen nur Sachverständige tätig werden, die das strenge EuroPriSe-Akkreditierungsverfahren erfolgreich durchlaufen haben. Während der EuroPriSe-Pilotphase sind über 60 Experten aus zehn verschiedenen EU-Mitgliedstaaten als EuroPriSe-Gutachter zugelassen worden.
Die Evaluierung der zu zertifizierenden IT-Produkte und -Dienstleistungen wird bei EuroPriSe durch akkreditierte Gutachter vorgenommen. Gutachter können für den Bereich Recht und den Bereich Technik akkreditiert werden. Bei einem entsprechenden Maß an Fachkunde ist eine Doppelzulassung als rechtlicher und technischer EuroPriSe-Gutachter möglich.
Datenschutzexperten, die als EuroPriSe-Gutachter zugelassen werden wollen, müssen im Rahmen des Akkreditierungsverfahrens neben ihrer Fachkunde auch ihre Zuverlässigkeit und Unabhängigkeit nachweisen. Weitere Voraussetzungen für eine Akkreditierung sind die Teilnahme an einem Ausbildungsworkshop für Gutachter und die erfolgreiche Anfertigung eines Trainingsgutachtens zu einem beim Workshop vorgestellten fiktiven IT-Produkt. Bislang sind im Rahmen von EuroPriSe zwei Ausbildungsworkshops durchgeführt worden, an denen über 100 Datenschutzexperten aus zwölf EU-Mitgliedstaaten teilgenommen haben. Der nächste Workshop wird im Frühjahr 2009 stattfinden.
Insgesamt sind im Jahr 2008 63 EuroPriSe-Gutachter akkreditiert worden. 24 Sachverständige haben eine Zulassung als technischer Gutachter erhalten, 34 eine Zulassung als rechtlicher Gutachter. Fünf Datenschutzexperten sind sowohl als rechtlicher als auch als technischer EuroPriSe-Gutachter akkreditiert worden. Die zugelassenen Gutachter verteilen sich auf die folgenden EU-Mitgliedstaaten: Spanien (24), Deutschland (22), Österreich (6), Schweden (3), Kroatien und Niederlande (jeweils 2) sowie Belgien, Frankreich, Großbritannien und Slowakei (jeweils 1 Gutachter).
Eine Liste aller bislang zugelassenen EuroPriSe-Gutachter ist abrufbar unter:
www.european-privacy-seal.eu/experts/pilot-experts/
Was ist zu tun?
Nach der Durchführung der ersten beiden Gutachterworkshops hat eine Vielzahl weiterer Sachverständiger aus verschiedenen EU-Mitgliedstaaten ihr Interesse an einer Zulassung als EuroPriSe-Gutachter bekundet. Deshalb werden 2009 neue Ausbildungsworkshops für Gutachter angeboten werden.
9.4.4 Abgeschlossene EuroPriSe -Verfahren
Im Juli 2008 wurde das erste europäische Datenschutz-Gütesiegel an den Betreiber der Metasuchmaschine Ixquick überreicht. Insgesamt wurden im vergangenen Jahr sechs IT-Produkte bzw. IT-basierte Dienstleistungen mit einem EuroPriSe-Zertifikat ausgezeichnet.
Nachdem die ersten Gutachter akkreditiert waren, konnte ab März 2008 mit den EuroPriSe-Pilotverfahren begonnen werden. Im Januar und Februar 2008 bewarben sich insgesamt 24 Unternehmen um die Teilnahme an den Pilotverfahren. Von den 18 zugelassenen Pilotverfahren wurden bis zum Ende des Jahres sechs Verfahren erfolgreich abgeschlossen.
Im Einzelnen wurden folgende Produkte und Dienstleistungen zertifiziert:
- Ixquick (Stand: 28. Januar 2009): Ixquick ist eine Metasuchmaschine, die Suchanfragen von Nutzern an verschiedene Suchmaschinen weiterleitet, die Ergebnisse kombiniert und dem Nutzer bereitstellt, ohne hierbei IP-Adressen zu speichern. Gegenstand der Zertifizierung war die Wortsuche; ausgenommen von der Zertifizierung sind bislang weitere Funktionalitäten von Ixquick wie etwa die Bildersuche.
- „wunderloop Integrated Targeting Platform“ (Version 1.13) in der Anwendung als „wunderloop connect“ und „wunderloop custom“: Verfahren zur gezielten Ansprache von Internetnutzern im Bereich der Online-Werbung („predictive behavioral targeting“). Die Ansprache der Nutzer erfolgt auf der Grundlage ihres Surfverhaltens, welches mit Umfragedaten einer kleinen Zahl zufällig ausgewählter Nutzer kombiniert und mithilfe mathematischer Algorithmen ausgewertet wird.
- e-pacs Speicherdienst (Version 3.0): Elektronische Archivierung von Röntgenbildern und anderen medizinischen Daten durch einen externen Dienstleister. Der Dienst besteht im Wesentlichen aus dem lokal beim Kunden einzurichtenden Department-Server und dem externen Deep Storage Server im Verantwortungsbereich des Dienstleisters.
- BGNetPlus (Stand: 11. November 2008): BGNet Online Banking ist ein Serviceangebot der spanischen Bank Banco Guipuzcoano. Auf der BGNetPlus Online-Plattform werden den Kunden alltägliche Bankdienstleistungen angeboten. Gegenstand der Zertifizierung war das Online-Portal (Webinterface). Nicht von der Zertifizierung umfasst sind die bankinternen Vorgänge zwecks Ausführung der Aufträge des Kunden.
- DiaDirekt (Stand: 7. November 2008): Digitalisierungsdienst, der Privat- und Geschäftskunden die Möglichkeit bietet, ihre Fotonegative und Dias in ein digitales Format umwandeln zu lassen. Die digitalisierten Bilder werden auf CD-ROM gebrannt und an den Kunden gesendet. Die Originale werden je nach Wunsch des Kunden entweder an diesen zurückgesendet oder physikalisch zerstört.
- Microsoft Software Protection Platform – SPP (Stand: 1. November 2008): SPP ist ein Softwareprodukt, in dem die Dienste Activation, Volume License Management und Security Breach Response für Windows Vista RTM, Windows Vista SP 1 und Windows Server 2008 RTM zusammengefasst sind. Nicht von der Zertifizierung umfasst sind der Echtheitstest im Allgemeinen sowie der Update-Mechanismus.
Die öffentlichen Kurzgutachten zu allen verliehenen EuroPriSe-Gütesiegeln sind in englischer Sprache abrufbar unter:
www.european-privacy-seal.eu/awarded-seals/
9.4.5 Laufende EuroPriSe -Verfahren
Die ersten 18 Zertifizierungsverfahren wurden 2008 im Rahmen der EuroPriSe-Pilotphase gestartet. Ein Großteil dieser Verfahren wird im EuroPriSe-Regelbetrieb weitergeführt, einige Verfahren stehen kurz vor dem Abschluss. Zudem ist mit weiteren Zertifizierungsverfahren begonnen worden. Eine Vielzahl von Unternehmen hat ihr Interesse an einer Zertifizierung im Regelbetrieb bekundet.
Von den 18 EuroPriSe-Pilotverfahren aus acht verschiedenen Ländern sind 2008 sechs Verfahren erfolgreich abgeschlossen worden (Tz. 9.4.4). Elf Pilotverfahren werden voraussichtlich zum Ende der Pilotphase abgeschlossen oder im Regelbetrieb fortgeführt. Die Zertifizierungsgegenstände entstammen unterschiedlichen Bereichen, etwa dem Gesundheitssektor oder dem Web 2.0.
Neben den Pilotverfahren sind 2008 weitere Verfahren gestartet worden, die im Verlauf der ersten Jahreshälfte 2009 abgeschlossen werden sollen.
Was ist zu tun?
Der Bekanntheitsgrad des europäischen Datenschutz-Gütesiegels ist weiter zu steigern. Europäische und internationale Hersteller von IT-Produkten und Anbieter von IT-basierten Dienstleistungen sind auf die Vorzüge des EuroPriSe-Gütesiegels hinzuweisen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |