Verordnungsentwurf für die Datenschutzzertifizierung

Aufgrund ihres Geltungsbereichs, ihrer Tragweite und ihrer relativ komplexen Ausgestaltung sind die Zertifizierungsanforderungen in einer spezifischen Verordnung (VDSZ) zusammengestellt worden. Die Zertifizierung von Organisationen richtet sich für ihr Datenschutz-Managementsystem weitgehend nach der ISO-Norm 27001, während sich die Produktzertifizierung auf den seit einigen Jahren im Bundesland Schleswig-Holstein geltenden Anforderungskatalog für die Begutachtung von IT-Produkten stützt.

Im Rahmen der Ausführung des im März 2006 von der Bundesversammlung angenommenen neuen Artikels 11 des DSG haben wir unsere Zusammenarbeit mit dem Bundesamt für Justiz und der Schweizerischen Akkreditierungsstelle fortgesetzt mit dem Ziel, die Mindestvoraussetzungen und -anforderungen für die Erlangung einer Datenschutz-Zertifizierung zu bestimmen. Die Idee der Ausarbeitung einer spezifischen Zertifizierungsverordnung (VDSZ) drängte sich wegen der zahlreichen besonderen Anforderungen betreffend die Organisationen/Verfahren wie auch die Produkte/Systeme ziemlich rasch auf. Die ersten Artikel der VDSZ definieren die allgemeinen Voraussetzungen für die Erlangung, Verwendung, Gültigkeit und Anerkennung dieser Datenschutz-Zertifizierungen, sowie die jeweiligen Aufgaben der verschiedenen betroffenen Partner. Bekanntlich geht man vom Grundsatz aus, dass bei einem zum Zeitpunkt des Audits als regelkonform anerkannten Datenschutzniveau und einem aktiven und dokumentierten Entwicklungsmanagement eine Datenschutzzertifizierung für die Dauer einiger Jahre ausgestellt werden kann (vgl. Ziffer 1.1.1 in unserem 13. Tätigkeitsbericht 2005/2006).

Für die Zertifizierung von Organisationen haben wir unseren Entwurf für ein Referenzmodell einer Arbeitsgruppe vorgelegt, die sich aus mehreren schweizerischen Firmen für die Zertifizierung von Organisationen gemäss den Managementsystemen ISO 9001:2000 (Qualität) und 27001:2005 (Informationssicherheit) zusammensetzte. Anhang 1 der VDSZ enthält eine Anpassung und Erweiterung der Anforderungen von ISO 27001 entsprechend den auf dem DSG beruhenden Bedingungen, so dass damit ein eigentlicher Anforderungskatalog für die Datenschutz-Managementsysteme (DSMS) vorliegt. Kapitel 3 umfasst insbesondere die folgenden zehn Datenschutz-Prinzipien oder -Anforderungen: Rechtmässigkeit – Transparenz – Verhältnismässigkeit – Zweck – Richtigkeit – Bekanntgabe ins Ausland – Datensicherheit – Bearbeitung durch Dritte – Liste der Datensammlungen – Zugriffsrecht.

Nach dem Beispiel der Zertifizierung ISO 27001, die vollumfänglich auf dem Leitfaden ISO 17799:2005 für das Management der Informationssicherheit beruht (11 Bereiche, 39 Zielsetzungen und 133 Massnahmen) werden wir einen ergänzenden Leitfaden für das Management und die Zertifizierung des Datenschutzes veröffentlichen und aktualisieren. Dieser wird ausschliesslich dem Datenschutz und der Vertraulichkeit der Personendaten gewidmet sein (ursprüngliche generische Massnahme 15.1.4 der Norm 17799:2005) und soll mit Hilfe von rund zwanzig spezifischen, genau nach den ISO-Empfehlungen strukturierten Massnahmen die Verwirklichung der oben genannten zehn Datenschutzziele ermöglichen. Für die Produktzertifizierung haben wir uns – in Ermangelung wirklich geeigneter und anerkannter internationaler Normen – für den Anforderungskatalog für die Begutachtung von IT-Produkten im Rahmen des in Schleswig-Holstein geltenden Zertifizierungsverfahrens entschieden. Die Gliederung der Anforderungen in vier verschiedene logische Komplexe (Technikgestaltung – Zulässigkeit – technische und organisatorische Massnahmen – Rechte der betroffenen Person) hat uns besonders überzeugt, ebenso wie die Tatsache, dass ein getrenntes Anforderungsprofil für die Randdaten (logdata) vorgesehen ist. Diese stellen nämlich zusätzliche Datensammlungen dar, deren Zweckbestimmung und Bearbeitungsbedingungen grundsätzlich anders sind als für die Hauptdatensammlung. Anhang 2 der VDSZ sollte somit eine Anpassung dieses in Norddeutschland bereits bewährten Anforderungskatalogs an das schweizerische Recht enthalten.

Schliesslich umfasst die VDSZ auch einen Anhang 3, der den Anforderungen an die Qualifikation des Personals der Zertifizierungsunternehmen gewidmet ist, sowie einen Anhang 4, in dem die Qualitätszeichen aufgeführt werden, die der Bund für die vollständige oder teilweise Zertifizierung von Organisationen und für die Produktzertifizierung vorschlägt. Die Verwendung und Anerkennung von privaten Qualitätszeichen werden ebenfalls in der Verordnung geregelt. Das externe Vernehmlassungsverfahren zu diesen Verordnungen wurde Ende Februar 2007 durch das BJ eröffnet. Sehr zu unserem Erstaunen und Bedauern haben wir kurz vor Redaktionsschluss des vorliegenden Berichts erfahren, dass die Anhänge 1, 2 und 4 gestrichen wurden.

[Juli 2007]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/14--taetigkeitsbericht-2006-2007/verordnungsentwurf-fuer-die-datenschutzzertifizierung.html