Vorschlag zum Zertifizierungsverfahren im Rahmen der laufenden Teilrevision des Bundesgesetzes über den Datenschutz

Um eine Selbstregulierung einzuführen, welche die Verantwortung des Inhabers der Datensammlung stärkt und den Wettbewerb ankurbelt, sieht das neue DSG ein Zertifizierungsverfahren für Organisationen und für Produkte vor. Die vom Bundesamt für Justiz revidierte Verordnung über das DSG sollte die wesentlichen Bedingungen verankern, welchen die Zertifizierungsstellen mit Zustimmung der Schweizerischen Akkreditierungsstelle unterliegen. Gleichzeitig arbeiten wir an einem Standardrahmen für die Evaluation des erforderlichen Datenschutzniveaus, um die Mindestanforderungen an Datenschutz-Managementsysteme zu spezifizieren.

Wir befassten uns in Zusammenarbeit mit dem Bundesamt für Justiz (BFJ), welches für die Teilrevision des DSG verantwortlich zeichnet, mit den nächsten erforderlichen Etappen zur Konkretisierung des «Zertifizierungsverfahrens». Mit der Revision des DSG sollte der Selbstregulierungsgrundsatz eingeführt werden, um die Verantwortung des Inhabers der Datensammlung zu stärken, den Wettbewerb zu beleben und den Datenschutz sowie die Datensicherheit zu verbessern. Das Projekt soll Zertifizierungsverfahren für Organisationsstrukturen, Datenverwertungsprozesse und technische Informationssysteme und -programme (d.h. Produkte) fördern; der Akzent liegt jedoch hauptsächlich auf der Zertifizierung von Organisationen, für welche die Attraktivität am grössten sein dürfte. Bei den Vorarbeiten zur Revision der DSG-Verordnung wird in enger Zusammenarbeit mit der Schweizerischen Akkreditierungsstelle (SAS) des Bundesamtes für Metrologie und Akkreditierung (METAS) über die Einführung der wesentlichen Voraussetzungen diskutiert, welchen die Zertifizierungsstellen unterliegen müssen. Hinsichtlich der spezifischeren und praktischen Aspekte des eigentlichen Zertifizierungsverfahrens – d.h. Standard-Evaluationsrahmen für das Datenschutzniveau – prüfen wir die Zweckmässigkeit der Einführung eines Referenzmodells. Das Modell könnte auf den Audit-Standard BS 7799-2:2002 mit den Spezifikationen für die Informationssicherheits-Managementsysteme (ISMS) abgestützt werden, welche auf dem internationalen Standard ISO 17799:2000 und dem Praxiskodex (CoP: 10 Kapitel mit 128 Kontrollen) für das Informationssicherheitsmanagement basieren. Im Rahmen des geplanten Datenschutzmanagementsystems (DMS) sollte der Schwerpunkt auf den Prinzipien und Methoden liegen, die den Datenschutz gewährleisten oder verbessern; dazu gehören besonders solche, die auf von nationalen oder internationalen Instanzen in ähnlichen Verfahren genutzte Modelle oder Referenzmodelle zurückgehen.

[Juli 2005]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/12--taetigkeitsbericht-2004-2005/vorschlag-zum-zertifizierungsverfahren-im-rahmen-der-laufenden-t.html