Produkt- und Systemzertifizierung im Datenschutzbereich

Wir haben den Auftrag erhalten, baldmöglichst die Richtlinien zur Festlegung der spezifischen Kriterien herauszugeben, die ein Produkt im Rahmen einer Zertifizierung erfüllen muss. Diese Aufgabe erweist sich jedoch als äusserst schwierig, da eine auf den Datenschutz ausgedehnte ISO-Zertifizierung 15408 ihrem Wesen nach komplex, im Verhältnis zu unserer gesetzgeberischen Situation teilweise phasenverschoben und vor allem schwer zu bewerkstelligen ist.

Was die Informationstechnologiedienste (IT-Dienste) anbelangt, würde sich die ISO-Norm 20000 von Vornherein recht gut eignen, doch wollte der Gesetzgeber diesen Bereich offenbar nicht einbeziehen. Schliesslich gibt es zwar den Kriterienkatalog EuroPriSe, der aber eine ziemlich gewagte Vermischung von Produkten und Dienstleistungen enthält und mehr einer Liste von Fragen zu Produkten oder Dienstleistungen und ihren Nutzern gleicht. Zudem ist EuroPriSe dem schweizerischen Recht nicht wirklich angemessen.

Nach dem erfolgreichen Erlass der Richtlinien über die Mindestanforderungen, denen ein Datenschutzmanagementsystem (DSMS) genügen muss (vgl. «Richtlinien für die Zertifizierung von Organisationen» auf unserer Webseite www.derbeauftragte.ch, Themen - Datenschutz - Datenschutzzertifizierung), ist der EDÖB beauftragt, bis zum 1. Januar 2010 die Richtlinien zu den spezifischen Kriterien herauszugeben, die ein Produkt im Rahmen einer Zertifizierung erfüllen muss. Diese Aufgabe dürfte aus folgenden Gründen äusserst schwierig werden:

Der Bereich der Produkte und Systeme unterscheidet sich deutlich vom Gebiet der Organisation, wie die auf der Norm ISO/IEC 15408:2005 beruhende Zertifizierung «Drittpartei» beweist (Kriterien zur Evaluierung der IT-Sicherheit, auch bekannt unter der englischen Bezeichnung «Common Criteria for Information Technology Evaluations»). Diese Norm entspricht der Version 2.3 der gemeinsamen Kriterien, aus deren umfassender Überarbeitung im Jahre 2006 die derzeitige Version CC 3.1. hervorgegangen ist. Ausgehend von der Begleitnorm ISO/IEC 18045:2005 (Methodik zur Evaluierung der IT-Sicherheit, auch bekannt unter der englischen Bezeichnung «Common Methodology for Information Technology Evaluations» CEM) wird die Produktevaluierung zunächst von einer SAS-akkreditierten unabhängigen Prüfstelle durchgeführt. Der Evaluationsbericht wird sodann an die staatliche Produktzertifizierungsstelle (die es in der Schweiz noch nicht gibt) zur Beurteilung und gegebenenfalls zur Erteilung des Zertifikats weitergeleitet, dessen Anerkennung auf europäischer Ebene durch das Abkommen SOG-IS (Senior Officials Group for Information Security) und auf internationaler Ebene durch das Abkommen CCRA (Common Criteria Recognition Arrangement) garantiert ist. Abgesehen von dem festgestellten strukturellen Unterschied ist auch darauf hinzuweisen, dass die Zertifizierung ISO 15408-1/3 relativ komplex und damit eher aufwendig ist und sich auf die wesenseigene Sicherheit und nicht auf den Datenschutz bezieht, und dass sie viele ausserhalb des Bereichs Produkte/Systeme liegende Anforderungen umfasst. Die Erweiterung dieser Norm auf den Datenschutz erscheint uns daher äusserst schwer machbar.

Im Übrigen beziehen die IT-Produkte und -Systeme die IT-Dienste nicht fundamental mit ein, für welche die Norm ISO/IEC 20000:2005 (Information Technology - Service Management) als Referenz dienen könnte. Eine Ausweitung der Sicherheit auf den Datenschutz wäre hier leicht denkbar, wie wir das auch für die Erweiterung der Informationssicherheitsmanagmentsysteme (ISMS, ISO 27001) auf die DSMS getan haben (vgl. unseren 15. Tätigkeitsbericht 2007/2008, Ziff. 1.1.2). Es geht indessen weder aus dem DSG und der Verordnung über die Datenschutzzertifizierungen (VDSZ) noch aus den Erläuterungen dazu klar hervor, dass der Gesetzgeber die Dienste im Rahmen der Produkt- und Systemzertifzierung einbeziehen wollte. Die Herausgabe von Richtlinien für die IT-Dienste scheint uns daher verfrüht.

Schliesslich haben wir auch den vom Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein erarbeiteten Anforderungskatalog geprüft, der heute als «EuroPriSe Criteria Catalogue V0.3» weitergeführt wird. Dieses Projekt für ein «europäisches Datenschutz-Gütesiegel» soll bescheinigen, dass die IT-Produkte oder -Dienste eine mit den europäischen Vorschriften und der Gesetzgebung der Pilotländer (Agencia de Protección de Datos de la Comunidad de Madrid und Commission Nationale Informatique et Libertés) konforme Verwendung erleichtern. Der vorgeschlagene Kriterienkatalog führt unseres Erachtens die IT-Dienste auf reichlich gewagte Weise ein, er stösst offenbar europaweit auf keine sehr breite Unterstützung und gleicht eher einer «Checklist» betreffend die Merkmale des Produkts oder des Dienstes und die Anforderungen an ihre Betreiber als einem Anforderungskatalog für zertifizierbare Produkte; ausserdem würde er eine ziemlich umfangreiche Anpassung an das schweizerische Recht notwendig machen. Wir werden daher unsere Nachforschungen in diesem weit gefassten Gebiet fortführen, um die erwarteten Richtlinien möglichst bald herausgeben zu können.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/16--taetigkeitsbericht-2008-2009/produkt--und-systemzertifizierung-im-datenschutzbereich.html