Was von Selbstverpflichtungen im Datenschutz zu halten ist

Selbstverpflichtungen verbessern den Datenschutz in verschiedenen Branchenverbänden, ersetzen aber keine rechtlichen Vorgaben oder Audits.

Wenn Industrieverbände und andere Branchenorganisationen eigene Aktivitäten zur Verbesserung des Datenschutzes starten, kann man zu Recht erwarten, dass die Aufsichtsbehörden für den Datenschutz dies positiv werten. Bei Initiativen, die Selbstverpflichtungen im Datenschutz als Ziel haben, reagieren die Aufsichtsbehörden jedoch oftmals mit Kritik.

Als zum Beispiel der unter anderem von BITKOM initiierte Datenschutz-Kodex für Geodatendienste von führenden Branchenvertretern unterzeichnet und dem Bundesinnenministerium übergeben wurde, wiesen die Aufsichtsbehörden auf Mängel hin. Wenn Personen ihre Privatsphäre von Aufnahmen zum Beispiel in Google Street View gefährdet sehen würden, sollten sie der Veröffentlichung vorher widersprechen können und nicht im Nachgang, wie im Branchen-Kodex festgelegt.

Weitere Initiativen zur Selbstverpflichtung im Datenschutz wurden ebenfalls kritisch gesehen, wie zum Beispiel die geplante Selbstverpflichtung führender sozialer Netzwerke. Es stellt sich deshalb die Frage, ob sich Unternehmen an solchen Selbstverpflichtungen im Datenschutz überhaupt beteiligen sollten. Die Antwort lautet: Es kommt ganz darauf an.

Selbstverpflichtung ja, Selbstkontrolle nein

Die Praxis zeigt, dass es mehr als sinnvoll ist, wenn sich eine Interessengruppe intern überlegt, was sie zum Beispiel im Bereich Datenschutz optimieren könnte. Das Fach-Know-how und die Erfahrung der jeweiligen Branchenkenner können nur fruchtbar sein für die Entwicklung praxistauglicher Lösungen für Datenschutz und Datensicherheit.

Allerdings zeigt die Praxis auch, dass es wenig Sinn macht, wenn man seine eigenen Regeln aufstellt und deren Einhaltung auch selbst kontrolliert. Selbstverpflichtungen, die keine Kontrolle durch unabhängige Dritte vorsehen, könnten unter möglichen Interessenkonflikten leiden.

Zudem dürfen auch Selbstverpflichtungen nicht mit neutralen Zertifizierungen verwechselt werden. Ein Beispiel außerhalb des Datenschutzes, wie die „CE-Kennzeichnung“ im Bereich Produktsicherheit, zeigt dies sehr deutlich. So symbolisiert die CE-Kennzeichnung, dass die Konformität zu bestimmten Vorschriften erklärt wird. Ein Prüfzeichen wie das GS-Zeichen ist es allerdings nicht, denn eine unabhängige Prüfstelle ist an der CE-Kennzeichnung in aller Regel nicht beteiligt.

Selbstverpflichtung braucht Kopplung an gesetzlichen Rahmen

Bedacht werden muss auch, dass eine Selbstverpflichtung im Datenschutz kein Regelwerk vorsehen darf, das den gesetzlichen Vorgaben zum Datenschutz widerspricht und nur teilweise genügt. Es darf nicht sein, dass eher unbequem erscheinende Forderungen des gesetzlich geregelten Datenschutzes bei einem Branchen-Regelwerk einfach keinen Niederschlag finden. Die Selbstverpflichtung darf also nicht zu einem selbst definierten Datenschutz führen.

Selbstverpflichtungen immer hinterfragen

Bevor ein Unternehmen also die Teilnahme an Aktionen zur Selbstverpflichtung im Datenschutz in Erwägung zieht, sollten nicht etwa nur mögliche Kosten geprüft werden. Es stellt sich vielmehr die Frage, zu was man sich genau verpflichtet und ob dies tatsächlich den Forderungen entspricht, die im Datenschutz bestehen.

Die Beurteilung einer Selbstverpflichtung ist nicht nur für mögliche Teilnehmer oder Unterzeichner wichtig, sondern auch für Nutzer entsprechender IT-Dienste, die eine Selbstverpflichtung im Datenschutz unterzeichnet haben. Was genau besagt dies für den Schutz der eigenen Daten, sollte hier die Frage sein. Für mögliche Teilnehmer wie auch für mögliche Nutzer entsprechender Dienste ist es mehr als hilfreich, wenn die Selbstverpflichtung im Datenschutz von einer Aufsichtsbehörde geprüft wurde, wie zum Beispiel die Selbstverpflichtung des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV).

Selbstverpflichtungen sind ein erster Schritt

Selbstverpflichtungen im Datenschutz können oftmals schneller sein als die Entwicklung entsprechender Gesetze, wie dies BITKOM ausführt. Die Schnelligkeit darf aber nicht dazu führen, dass sich Selbstverpflichtungen völlig unabhängig entwickeln. Aufsichtsbehörden für den Datenschutz müssen Teil der Entwicklung jedes Code of Conduct im Datenschutz sein, wie es auch das Bundesdatenschutzgesetz (§ 38a BDSG) fordert. In verschiedenen Pressemeldungen erklärten die Aufsichtsbehörden, dass freiwillige Selbstverpflichtungen oder Verhaltensregeln die Einhaltung und Umsetzung des geltenden Datenschutzrechts fördern müssen, ersetzen können sie das Datenschutzrecht aber nicht.

Zudem zeigt das Beispiel der sozialen Netzwerke, dass auch Selbstverpflichtungen einen langen Weg gehen müssen, bevor sich alle marktrelevanten Teilnehmer damit identifizieren können. Zudem ist eine rechtliche Grundlage entscheidend, die auch international trägt: Facebook, Google, LinkedIn, StayFriends und XING hatten im Mai 2013 die Selbstverpflichtung für soziale Netzwerke nicht unterzeichnet, da ihnen laut FSM (Freiwillige Selbstkontrolle Multimedia-Diensteanbieter e.V.) eine rechtlich ausreichende Basis für Selbstregulierung im Bereich des Datenschutzes fehlte. Diese erwarten Branchenverbände wie BITKOM von der neuen EU-Datenschutzgrundverordnung. Die Forderungen der deutschen Aufsichtsbehörden für eine Selbstverpflichtung der sozialen Netzwerke liegen bereits seit zwei Jahren vor. Diese sollten bereits heute als Maßstab genutzt werden.

Artikel wurde zuletzt im November 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Compliance

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close