Der neue DatenschutzstandardThomas Spaeing und Rechtsanwalt Thomas Müthlein (links), Vorstandsmitglied der GDD, stelltensich gemeinsam mit Ulrich Lepper, Landesbeauftragter für Datenschutz und InformationsfreiheitNordrhein-Westfalen, den Fragen der Teilnehmer.datenverarbeiter hat, erklärte Thomas Spaeing inseinem Beitrag. Die Kontrollpflicht der Auftragsdatenverarbeitungnach §11 BDSG stellt Spaeing zufolgedie Auftraggeber vor eine große Herausforderung.Sowohl Kostenaufwand als auch Umfang derKontrolle seien kaum vorher abzuschätzen. „Dazukommt, dass Auftraggeber damit häufig schlichtwegüberfordert sind Dienstleister zu prüfen, dennviele sind gar nicht so genau im Thema, dass siewüssten, was genau zu tun ist und nach welchenStandards genau geprüft werden soll“, sagte Spaeing.Die Folge: Häufig werde die Prüfung übertrieben,es würden Dinge verlangt, die gar nichtnotwendig seien. „Auf der anderen Seite sind dieDienstleister aus der Auftragsdatenverarbeitunghäufig außer Stande, die Anforderungen zu erfüllen“,erklärte der <strong>BvD</strong>-Vorstandsvorsitzende weiter.Dies gelte besonders für kleine und mittelständigeUnternehmen. „Schon jetzt gibt es eine ganzeReihe von Gütesiegeln, die von den jeweiligenAnbietern selbst erfunden werden. Zu Grunde liegenStandards, die keiner kennt“, gab Spaeing zubedenken. Daher profitierten sowohl Auftraggeberals auch Auftragnehmer von einem einheitlichen,neutralen und transparenten Standard. „Und alsBerufsverbände sind <strong>BvD</strong> und GDD in der Rolle,einen solchen neutralen Standard entwickeln zumüssen – und zu können, denn in ihnen trifft sichdas gesammelte Datenschutz-Know-how.“ Diehohe Transparenz, die enorme Fachkunde und diedaraus entstehende Wirtschaftlichkeit für Unternehmensind laut Spaeing kurz und bündig zusammengefasstdie wichtigsten Vorteile.Dieser Meinung schloss sich auch RechtsanwaltThomas Müthlein in seinem Vortrag an. Er stellteden Datenschutzstandard „DS-<strong>BvD</strong>-GDD-01“ genauervor und erklärte sein grundsätzliches Konzept.Aus seiner eigenen Beratungspraxis kenntMüthlein die Fälle, in denen die Kontrolle der Auftragsdatenverarbeitungohne Standard sowohl aufSeiten der Auftraggeber als auch Auftragnehmerzu erheblichen Unsicherheiten führt. „Daher ist eswichtig, Klarheit für beide Seiten zu schaffen, welcheHerausforderungen an einen Auftragnehmerim Rahmen einer Auftragsdatenverarbeitung gestelltwerden können“, sagte Müthlein zusammenfassend.Auch ist ihm die Förderung des Datenschutzesin der Fläche ein wichtiges Anliegen. Undauch diesem Umstand werde mit einem einheitlichenStandard Rechnung getragen. Dass zusätzlichzu dem Datenschutzstandard auch noch einzertifizierendes Siegel auf den Weg gebracht wurde,bezeichnete Müthlein als „Sahnehäubchen“.Die besondere Qualität dieses „Sahnehäubchens“erläuterte Dr. Niels Lepperhoff in seinem Vortrag. Erist der Geschäftsführer der DSZ Datenschutz ZertifizierunggesellschaftmbH. GDD und <strong>BvD</strong> gründetensie als zentrale Zertifizierungsstelle für dieDurchführung der Standardüberprüfung, die Verwaltungund Vergabe der Datenschutzgütesiegel.Außerdem qualifiziert sie auch die Auditoren. „Datenschutzist unsichtbar“, sagte Lepperhoff. „Unser8 | <strong>BvD</strong>-<strong>News</strong> 2/<strong>2013</strong>
Der neue DatenschutzstandardGütesiegel hilft dem Auftragnehmer nach außen zuzeigen, dass er den Standard erfüllt. Nicht durcheine Selbsterklärung – das glaubt keiner im Markt.Sondern auf Grundlage eines unabhängigen Prüfungsverfahrens.Deswegen gehen Standard undGütesiegel Hand in Hand.“ Das Siegel soll für Auftragnehmerund -geber Vertrauen schaffen, es sollzeigen, dass ein Unternehmen nach einem offenenStandard geprüft wurde. Übrigens können die Prüfungsprotokollejedes erfolgreich geprüften undzertifizierten Betriebes öffentlich eingesehen werden.So profitieren auch solche Unternehmen, diesich noch zertifizieren lassen möchten: Auf einenBlick erkennen sie Kriterien und Prüfungsverfahren.Der von <strong>BvD</strong> und GDD entwickelte Standard warzudem der erste, den eine Aufsichtsbehörde geprüfthat. Ulrich Lepper, Landesbeauftragter fürDatenschutz und Informationsfreiheit Nordrhein-Westfalen, begrüßte in seiner Bewertung dasKonzept ausdrücklich: „Standards, die auch vonder Aufsichtsbehörde befürwortet werden, leisteneinen Beitrag zur Rechtssicherheit.“ Der Datenschutzstandard„DS-<strong>BvD</strong>-GDD-01“ zeichne sichbesonders durch seine umfangreiche Ausarbeitungaus. „Das Modell mit seinem Rollenkonzeptund das Zertifizierungsverfahren sind aus Sicht derAufsichtsbehörde zu befürworten und eine Prüfungin der Praxis wert.“ Außerdem könne er sich gutvorstellen, das Modell auch im politischen Diskurseinzubringen, wenn es beispielsweise darumgehe, dass der Gesetzesgeber Regelungen zumAudit schaffen soll. „Ich bin von dem Modell, vonder theoretischen Konzeption überzeugt“, sagteLepper. Der Standard sei seiner Ansicht nach einegeeignete Grundlage für weitere Schritte, um einenoffenen, unvoreingenommenen Dialog zu führen.„Ziel ist eine Lösung nicht nur auf Landes- sondernauf Bundesebene zu finden“, blickte Lepper in dieZukunft. „Jetzt müssen wir sehen, wie es sich inder Praxis bewährt.“ Er sei aber schon jetzt gernebereit, für die Idee etwa bei der Datenschutzkonferenzund dem Düsseldorfer Kreis zu werben. „Ichbin überzeugt, dass die Erfahrungen, die wir hiermit dem Modell und im offenen Diskurs machenwerden, Einfluss auf die Gesetzgebung habenwerden.“Resonanz. Frederick Richter, Vorstand der StiftungDatenschutz, schätzte an dem Gemeinschaftsprojektvon <strong>BvD</strong> und GDD vor allem die Fachkompetenz,die dahinter steht: „Es ist ein sehr vielversprechenderAnsatz, wenn sich eine solche fachlicheExpertise zusammenschließt und so einen Standardauf den Weg bringt. Sehr begrüße ich, dasses ein offener Standard ist, der sich mit weitergehendenVorhaben wie dem bundesweiten Datenschutzgütesiegel,den die Stiftung Datenschutzplant, verzahnen lässt. Das widerspricht sich meinerAnsicht nach überhaupt nicht.“ Die Ergebnisseund Erfahrungen aus der Anwendung des Datenschutzstandardsfür die Auftragsdatenverarbeitungkann man dann auch weitergehend nutzen, für denAufbau eines allgemeinen Datenschutzstandards,ist sich Richter sicher.Als bereits zugelassener Auditor der DeutschenSachverständigen Gesellschaft (DESAG) kennt<strong>BvD</strong>-Vorstand Thomas Floß die Bedürfnisse desKunden und findet den Datenschutzstandard unddas Gütesiegel deshalb besonders lobenswert:„Für die Kunden ist ein Standard unglaublich wichtig,weil sie eine neutrale Person auf einen Prozessschauen lassen und dann ihren Auftraggebern zeigenkönnen, dass sie von Extern für gut befundenwurden“ Da es bislang kein einheitliches Siegelgibt, das von einer Aufsichtsratbehörde befürwortetwurde, sei das Konzept von <strong>BvD</strong> und GDD sehr gutund wegweisend für künftige Entwicklungen.Hinweis: Ab sofort kann sich jeder unterhttp://www.dsz-audit.de ausführlich über den Standard,über die Gütesiegelvergabe sowie die Ausbildungzum Auditor informieren.Im Plenum fand die Idee des Datenschutzstandardsund des dazugehörigen Gütesiegels positiveIm Anschluss an die Vorstellung wurde derneue Standard kontrovers diskutiert.<strong>BvD</strong>-<strong>News</strong> 2/<strong>2013</strong> | 9