Inhaltsverzeichnis
Werbung
N
M
Aufsätze
etwa Betriebssystemen oder Office-Anwendungen können
datenschutzbezogene Testverfahren durchgeführt werden
und eine Aussage darüber getroffen werden, ob das jeweilige
Produkt im Bezug auf datenschutzrechtliche Belange als un-
bedenklich eingestuft werden kann, oder ob es beispielsweise
im Hintergrund Informationen an der Hersteller zurück
übermittelt.
Die in der Praxis größte Herausforderung für die Stiftung
Datenschutz dürfte jedoch sein, interne Datenverarbeitungs-
vorgänge von Unternehmen auf ihre Vereinbarkeit mit dem
Datenschutzrecht zu prüfen. Charakteristisches Merkmal für
die moderne Datenverarbeitung ist, dass sie überwiegend
hinter den Kulissen stattfindet und damit einem externen
Testverfahren nicht ohne Weiteres zugänglich ist. Ein gutes
Beispiel ist die datenschutzrechtliche Compliance von Sozia-
len Netzwerken, wie zum Beispiel Facebook, Xing und Linke-
din. Anfang des Jahres 2010 führte die Stiftung Warentest ei-
nen umfassenden Test von Sozialen Netzwerken durch.
Dabei wurden datenschutzrechtliche Aspekte von zehn
deutschsprachigen Sozialen Netwerken untersucht und ein-
gehend bewertet. Im Rahmen des Testverfahrens wurden fik-
tive Nutzerprofile eingesetzt. Ergänzend wurden die Anbieter
auf freiwilliger Basis zu innerbetrieblichen Prozessen des
Datenschutzes befragt. Neben einer Reihe von weiteren ex-
ternen Prüfungen (wie zum Beispiel der Datenschutzerklä-
rungen und der Nutzungsbedingungen) wurden – mit dem
Einverständnis von sechs der insgesamt zehn Anbieter –
auch sogenannte Penetration Tests
die Sicherheit der Benutzerkonten überprüft wurden.
Die von der Stiftung Warentest vorgenommene Testreihe
verdeutlicht, dass Gegenstand der Prüfung ausschließlich
Gesichtspunkte waren, die einer externen Prüfung zugäng-
lich sind. Ob beispielsweise in der Datenschutzerklärung
enthaltene Aussagen auch tatsächlich eingehalten werden,
lässt sich daher nur ansatzweise überprüfen. Eine kursori-
sche Prüfung der internen Datenverarbeitungsprozesse und
Datensicherheitskonzepte erfolgte nur, soweit die Anbieter
hiermit auch einverstanden waren. In der Praxis hängt damit
die Prüfung eines sehr datenschutzrelevanten Bereiches von
der Mitwirkung der geprüften Anbieter ab. Diese Problema-
tik beschränkt sich ferner nicht auf Soziale Netzwerke, son-
dern gilt gleichermaßen für alle datenverarbeitenden Unter-
nehmen. Eine generelle Beschränkung der Prüfung auf
öffentlich verfügbare Informationen scheint angesichts des-
sen nicht empfehlenswert.
Alternativ könnte die Prüfung komplett auf kooperie-
rende Unternehmen beschränkt werden. So könnte sicher-
gestellt werden, dass im Rahmen der durchgeführten Tests
gleichermaßen interne als auch externe Informationen be-
rücksichtigt werden. Problematisch ist hierbei jedoch, dass
wohl nur Unternehmen mit einem gesetzeskonformen Da-
tenschutzkonzept (bzw. solche, die dieses Ziel zumindest an-
streben) getestet werden können. Die „schwarzen Schafe"
würden von vornherein unberücksichtigt bleiben.
Während die Stiftung Warentest von ihrem Aufgaben-
bereich her eine Verbraucherschutzorganisation ist, wäre es
denkbar den Aufgabenbereich der Stiftung Datenschutz vom
reinen B2C-Bereich (also dem Verbraucherschutz) auf den
B2B-Bereich auszuweiten. Dies erscheint zumindest da sinn-
voll, wo Unternehmen datenschutzrelevante Dienstleistun-
gen im Rahmen von Outsourcing-Projekten oder Datenver-
arbeitungen im Auftrag in Anspruch nehmen.
Stiftung Datenschutz – Ein Schritt in die richtige Richtung, Bräutigam/von Sonnleithner
7
8
durchgeführt, bei denen
9
10
2. Organisation einer Stiftung Datenschutz
Der Stiftung Datenschutz sollen neben Vertretern der Regie-
rung und des Parlaments auch Vertreter des Datenschutzes,
der Wirtschaft, des Verbraucherschutzes und der Netz-
gemeinschaft in den einzelnen Organen angehören. So soll
eine Verzahnung aus Gesetzgebung und Politik geschaffen
werden.
Um die nötige Unabhängigkeit zu gewährleisten, ist es
erforderlich, die Stiftung sowohl personell als auch finan-
ziell hinreichend auszustatten. Nur hierdurch lassen sich
Interessenskonflikte von vorneherein vermeiden.
Finanzierung könnte zusätzlich durch Bußgeldeinnahmen
im Zusammenhang mit Datenschutzverstößen gesichert
12
werden.
Die Stiftung Warentest wurde 1964 als Stiftung bürgerli-
chen Rechts errichtet. Gleichwohl wäre es ratsam, die Stif-
tung Datenschutz zumindest anfangs in der Rechtsform ei-
ner Gesellschaft mit beschränkter Haftung – also als eine
„Stiftungs-GmbH" – zu errichten, anstatt dies im Wege der
Stiftung bürgerlichen Rechts nach § 80 ff. BGB zu realisie-
ren, wie es beispielsweise das FDP-Eckpunktepapier sowie
das Diskussionspapier des Bundesbeauftragen für den Da-
tenschutz vorsieht. Grund hierfür ist die höhere Flexibilität
einer GmbH im Vergleich zur Stiftung bürgerlichen Rechts.
Erfahrungsgemäß ist der Stiftungszweck gerade bei Auf-
nahme der Tätigkeit noch nicht vollständig ausgereift. Im
Gegensatz zu einer Stiftung bürgerlichen Rechts unterliegt
eine Stiftungs-GmbH nicht der staatlichen Rechsaufsicht, so-
dass Satzungsänderungen wesentlich einfacher umgesetzt
werden können. Hierbei müsste allerdings die Gemeinnüt-
zigkeit der Stiftung Datenschutz im Sinne des § 51 ff. AO si-
chergestellt werden, um diese für begünstigte Spenden emp-
fänglich zu machen. Gleichzeitig ist jedoch darauf zu achten,
dass die Stiftung und ihre Organe trotz der finanziellen Be-
teiligung von der Stifterin und anderen Geldgebern unab-
hängig bleiben.
Der Aufgabenbereich der Stiftung Datenschutz lässt sich
nach dem FDP-Eckpunktepapier in vier Säulen aufgliedern.
Zum einen soll eine Vergabe von Audits und Gütesiegeln
stattfinden (Säule 1) außerdem sind vergleichende Tests von
Produkten und Verfahren durchzuführen (Säule 2). Darüber
hinaus soll der Datenschutz durch die Bereitstellung von Bil-
dungsangeboten bestärkt werden (Säule 3). Schließlich ist
auch eine Forschung und Weiterentwicklung im Bereich des
Datenschutzrechts angestrebt (Säule 4).
a) Säule 1 – Datenschutzaudits
Nach dem FDP-Eckpunktepapier soll das in § 9 a BDSG ver-
ankerte Datenschutzaudit durch die erste Säule der Stiftung
Datenschutz in die Praxis umgesetzt werden. Der Aufgaben-
bereich der Stiftung Datenschutz soll hierbei die Verleihung
7
Stiftung Warentest, test 04/2010, S. 40 f.
8
Bei einem Penetration Test handelt es sich um ein Verfahren der Informationstech-
nik, bei dem versucht wird, unautorisiert in ein Netzwerk- oder Softwaresystem
einzudringen um Sicherheitsschwachstellen des Systems zu identifizieren.
9
Vgl. Eckpunktepapier des DAV zur Stiftung Datenschutz (Dezember 2009), S. 9 f.
10 Vgl. Eckpunktepapier des DAV zur Stiftung Datenschutz (Dezember 2009), S. 10 f.
11 Vgl. Bundesbeauftragter für den Datenschutz und die Informationssicherheit, Dis-
kussionspapier für eine Konzeption der Stiftung Datenschutz (1.2.2011), S. 1.
12 Vgl. Piltz, Eckpunktepapier zur Errichtung einer Stiftung Datenschutz (Mai 2010),
S. 1 f.
11
Die
241
AnwBl 4 / 2011
Werbung
Inhaltsverzeichnis
