Laut Wikipedia werden als „Gütesiegel‚ Gütezeichen oder Qualitätssiegel grafische oder schriftliche Markierungen an Produkten bezeichnet, die eine qualitative Aussage geben sollen und oft einen besonderen Bekanntheitsgrad haben.“ Dabei gibt es im Bereich des Datenschutzrechts sowohl die Möglichkeit der Produktzertifizierung als auch die der Unternehmenszertifizierung. Der Unterschied zwischen beiden besteht darin, dass sich Produktzertifizierungen auf angebotene Gegenstände und Dienstleistungen oder automatisierte Verfahren beziehen, während sich Unternehmenszertifizierungen auf den Nachweis des Datenschutzes in ganzen Organisationen beziehen. Soweit die Theorie.
Natürlich gibt es inzwischen massenhaft Anbieter, die sich in dieses gemachte Nest gesetzt haben und jetzt – natürlich ganz unabhängig – Gütesiegel verteilen. Da wundert es den geneigten Betrachter kaum, dass nun ein weiteres Produkt auf den Markt strömt: Angeboten wird es vom Institut für IT-Recht, das – ganz geschäftstüchtig – sowohl Produkte als auch Personen und Unternehmen zertifiziert.
Als erstes kann man eine so genannte Datenschutz-Status Analyse durchführen lassen, was wohl soviel bedeuten mag wie „Aufnahme des Ist-Zustandes“. Verwunderlich an dieser Zertifizierung ist, dass man eigentlich nichts bestätigt bekommt, außer dass eine solche Analyse durchgeführt worden ist und sich das Unternehmen mit den Vorschriften des Datenschutzes vertraut gemacht hat. Das wiederum kann alles heißen – oder aber auch nichts. Denn „vertraut machen“ ist nicht gleichbedeutend mit „umsetzen“. Es bedeutet nicht mehr, als dass man prinzipiell weiß, welche Vorschriften zum Datenschutz es gibt, nicht aber, dass man diese auch einhält.
Als Vergleich hierzu: das Gütesiegel des ULD: hier wird bescheinigt, dass die Vereinbarkeit eines Produktes mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurde.
Gott sei dank gibt es ja noch weitere Zertifikate: In allen ist die Durchführung der Datenschutz-Status Analyse enthalten. Zusätzlich kommen noch Zusatzqualifikationen hinzu, wie die Bestellung eines internen oder externen Datenschutzbeauftragten oder der Schulungsnachweis des internen Datenschutzbeauftragten. Ob man für diese Feststellungen tatsächlich ein Zertifikat benötigt, erscheint fraglich.
Aber damit ist das Angebot des „Instituts für IT-Recht“ noch nicht erschöpft. Darüber hinaus gibt es noch den „Datenschutz-Codex für Webseitenbetreiber“. Dieser ist in zwei Teile untergliedert:
- Transparenz im Datenschutz: Einhaltung gesetzlicher Vorgaben
- Freiwillige Verpflichtung: transparenter Umgang mit personenbezogenen Daten
Es klingt gut und auch so, als ob nichts falsch daran sein könnte. Immerhin ist das ULD ja prinzipiell auch nur zuständig für öffentliche Stellen des Landes. Dennoch sind die Anforderungen und die Prüfergebnisse des ULD auf privatwirtschaftliche Unternehmen übertragbar und machen deutlich, wo bei diesem neuen Produkt die Schwachstellen liegen: Ein Gütesiegel soll von einer unabhängigen Stelle verliehen werden. Das macht nicht nur das ULD klar, indem es extra Gutachter akkreditiert, die die Prüfung des Produkts in rechtlicher und technischer Hinsicht durchführen und die schriftliche Dokumentation der Prüfung an das ULD übersenden. Auch wenn es sprachlich den Anschein erweckt, als dass es sich bei dem „Institut für IT-Recht“ um eine wissenschaftliche Einrichtung handelt, ist dieser Gedanke weit gefehlt. Der Begriff „Institut“ ist gesetzlich nicht geschützt und kann daher grundsätzlich auch von Hans und Franz verwendet werden.
Die Unabhängigkeit wird auch auf Bundesebene vorausgesetzt. Nach § 9 a BDSG
„können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen.“
Auch hier wird von unabhängigen Gutachtern gesprochen. Jetzt wird bei dem Datenschutz-Codex für Webseitenbetreiber eines klar: Hier führt nicht nur ein nicht-akkreditiertes Unternehmen die Datenschutz-Status Analyse durch, sondern das gleiche Unternehmen vergibt auch anschließend das Siegel.
Dass Neutralität anders aussieht, sollte damit wohl auf der Hand liegen. Stellt sich natürlich im direkten Anschluss die Frage, ob ein Siegel ohne Neutralität noch für Qualität sprechen kann…
