Stellungnahme der NIFIS zum Entwurf des Bundesdatenschutzauditgesetzes
Frankfurt am Main, April 2008
Die NIFIS - Nationale Initiative für Informations- und Internet- Sicherheit e.V. kritisiert in einer Stellungnahme den Entwurf des Bundesdatenschutzauditgesetzes und rät der Bundesregierung zu Nachbesserungen. Die Experten begrüßen jedoch ausdrücklich die Initiative, durch ein Bundesdatenschutzauditgesetz die Vorgaben des Bundesdatenschutzgesetzes zum Datenschutzaudit so zu konkretisieren, dass dieses Audit für die Wirtschaft tatsächlich nutzbar wird und für die Betroffenen (Bürger/Anwender) die Einhaltung der Vorschriften des Datenschutzrechts transparent macht.
Der stellvertretende Vorsitzende der NIFIS, Dr. Thomas Lapp, hält es für falsch, dass im vorliegenden Referentenentwurf die Begutachtung
der Sicherheit informationstechnischer Systeme und Komponenten vom Datenschutzaudit ausdrücklich ausgenommen wird. Das Audit könne nur dann in angemessener und vollständiger Form durchgeführt werden, wenn auch die informationstechnischen Systeme und Komponenten einbezogen würden.
Auch mangele es der Gesetzesvorlage an klar abgegrenzten und verwendeten Begriffen. Zentrale Begriffe wie beispielsweise "Zertifikat" und "Datenschutzsiegel" werden nebeneinander verwendet. Darüber hinaus hält die NIFIS das vorgesehene Verfahren zur Bestellung von Sachverständigen für ungeeignet.
Die Frage nach dem Sinn der Regelung
Die NIFIS stellt infrage, inwieweit ein Datenschutzaudit Sinn hat, das lediglich die Einhaltung der gesetzlichen Vorschriften kontrolliert. Die ausdrückliche Regelung, dass mit einem derartigen Zertifikat geworben werden kann, wäre eine Ausnahme vom ansonsten geltenden Verbot der Werbung mit Selbstverständlichkeiten.
Ein derartiger Systembruch im Wettbewerbsrecht sollte vermieden werden, da sind sich die NIFISExperten einig. Eine Alternative bestünde darin, ähnlich beispielsweise der Akkreditierung nach dem Signaturgesetz, bei einem Audit höhere als die gesetzlich geregelten und ohnehin für alle geltenden Anforderungen zu stellen, heißt es in der Stellungnahme zum Thema.
Keine Rechtssicherheit gegeben
Die Regelung zu Anzeigepflichten der Unternehmen bei Veränderungen an ihrer "zertifizierten Version" erscheint den Sicherheitsexperten nicht
praktikabel. Änderungsbedarf sei auch bei den Bestimmungen zur Ablehnung eines Zertifikats gegeben. Zudem greifen die beabsichtigten
Paragrafen zum öffentlichen Datenschutzauditregister zu kurz, wenn dort nur Datenschutzkonzepte und zertifizierte technische Einrichtungen genannt sind. Anders als im Bundesdatenschutzgesetz, werde im vorliegenden Referentenentwurf auf die Besonderheiten von Geheimnisträgern keine Rücksicht genommen. Bei der Auditierung sollten Regelungen für den Schutz von Berufsgeheimnissen vorgesehen werden, so der NIFIS-Vorschlag. Und das Gesetz sollte klar regeln, welche Befugnisse der Auditor besitzt.
Ausgestaltung des Gesetzes nicht in spätere Rechtsverordnungen verlagern
Bei der Ausgestaltung des Bundesdatenschutzauditgesetzes sollten weit
reichende Entscheidungen nicht in spätere Rechtsverordnungen verlagert werden. Insbesondere Form und Verfahren der Auditierung, inhaltliche Ausgestaltung des Zertifikates und Form und Inhalt des Registers sollten in den Grundzügen im Gesetz selbst geregelt sein. Nur dies entspricht dem auch vom Bundesverfassungsgericht immer wieder betonten
Grundsatz, wesentliche Bestimmungen im Gesetz selbst zu regeln, heißt es in der Stellungnahme.
Weitere Informationen über NIFIS:
NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V. ist die Selbsthilfeorganisation der Wirtschaft, um Unternehmen im Kampf gegen die wachsenden Gefahren aus dem Internet technisch,
organisatorisch und rechtlich zu stärken. Als neutrale und unabhängige Organisation verbindet die NIFIS Wirtschaft, Wissenschaft und Politik
und fungiert als Plattform für einen branchenübergreifenden und interdisziplinären Erfahrungsaustausch. In prominent besetzten Beiräten unterstützen verschiedene Bundespolitiker und Professoren die Arbeit der Initiative.
Kontakt:
NIFIS e.V., Volker Ludwig, Weismüllerstraße 21,
60314 Frankfurt, Tel.: 069 40 80 93 70, Fax: 069
40 14 71 59, E-Mail: nifis@nifis.de, Web: www.nifis.de
Die NIFIS - Nationale Initiative für Informations- und Internet- Sicherheit e.V. kritisiert in einer Stellungnahme den Entwurf des Bundesdatenschutzauditgesetzes und rät der Bundesregierung zu Nachbesserungen. Die Experten begrüßen jedoch ausdrücklich die Initiative, durch ein Bundesdatenschutzauditgesetz die Vorgaben des Bundesdatenschutzgesetzes zum Datenschutzaudit so zu konkretisieren, dass dieses Audit für die Wirtschaft tatsächlich nutzbar wird und für die Betroffenen (Bürger/Anwender) die Einhaltung der Vorschriften des Datenschutzrechts transparent macht.
Der stellvertretende Vorsitzende der NIFIS, Dr. Thomas Lapp, hält es für falsch, dass im vorliegenden Referentenentwurf die Begutachtung
der Sicherheit informationstechnischer Systeme und Komponenten vom Datenschutzaudit ausdrücklich ausgenommen wird. Das Audit könne nur dann in angemessener und vollständiger Form durchgeführt werden, wenn auch die informationstechnischen Systeme und Komponenten einbezogen würden.
Auch mangele es der Gesetzesvorlage an klar abgegrenzten und verwendeten Begriffen. Zentrale Begriffe wie beispielsweise "Zertifikat" und "Datenschutzsiegel" werden nebeneinander verwendet. Darüber hinaus hält die NIFIS das vorgesehene Verfahren zur Bestellung von Sachverständigen für ungeeignet.
Die Frage nach dem Sinn der Regelung
Die NIFIS stellt infrage, inwieweit ein Datenschutzaudit Sinn hat, das lediglich die Einhaltung der gesetzlichen Vorschriften kontrolliert. Die ausdrückliche Regelung, dass mit einem derartigen Zertifikat geworben werden kann, wäre eine Ausnahme vom ansonsten geltenden Verbot der Werbung mit Selbstverständlichkeiten.
Ein derartiger Systembruch im Wettbewerbsrecht sollte vermieden werden, da sind sich die NIFISExperten einig. Eine Alternative bestünde darin, ähnlich beispielsweise der Akkreditierung nach dem Signaturgesetz, bei einem Audit höhere als die gesetzlich geregelten und ohnehin für alle geltenden Anforderungen zu stellen, heißt es in der Stellungnahme zum Thema.
Keine Rechtssicherheit gegeben
Die Regelung zu Anzeigepflichten der Unternehmen bei Veränderungen an ihrer "zertifizierten Version" erscheint den Sicherheitsexperten nicht
praktikabel. Änderungsbedarf sei auch bei den Bestimmungen zur Ablehnung eines Zertifikats gegeben. Zudem greifen die beabsichtigten
Paragrafen zum öffentlichen Datenschutzauditregister zu kurz, wenn dort nur Datenschutzkonzepte und zertifizierte technische Einrichtungen genannt sind. Anders als im Bundesdatenschutzgesetz, werde im vorliegenden Referentenentwurf auf die Besonderheiten von Geheimnisträgern keine Rücksicht genommen. Bei der Auditierung sollten Regelungen für den Schutz von Berufsgeheimnissen vorgesehen werden, so der NIFIS-Vorschlag. Und das Gesetz sollte klar regeln, welche Befugnisse der Auditor besitzt.
Ausgestaltung des Gesetzes nicht in spätere Rechtsverordnungen verlagern
Bei der Ausgestaltung des Bundesdatenschutzauditgesetzes sollten weit
reichende Entscheidungen nicht in spätere Rechtsverordnungen verlagert werden. Insbesondere Form und Verfahren der Auditierung, inhaltliche Ausgestaltung des Zertifikates und Form und Inhalt des Registers sollten in den Grundzügen im Gesetz selbst geregelt sein. Nur dies entspricht dem auch vom Bundesverfassungsgericht immer wieder betonten
Grundsatz, wesentliche Bestimmungen im Gesetz selbst zu regeln, heißt es in der Stellungnahme.
Weitere Informationen über NIFIS:
NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V. ist die Selbsthilfeorganisation der Wirtschaft, um Unternehmen im Kampf gegen die wachsenden Gefahren aus dem Internet technisch,
organisatorisch und rechtlich zu stärken. Als neutrale und unabhängige Organisation verbindet die NIFIS Wirtschaft, Wissenschaft und Politik
und fungiert als Plattform für einen branchenübergreifenden und interdisziplinären Erfahrungsaustausch. In prominent besetzten Beiräten unterstützen verschiedene Bundespolitiker und Professoren die Arbeit der Initiative.
Kontakt:
NIFIS e.V., Volker Ludwig, Weismüllerstraße 21,
60314 Frankfurt, Tel.: 069 40 80 93 70, Fax: 069
40 14 71 59, E-Mail: nifis@nifis.de, Web: www.nifis.de