dataKonform | Gesellschaft für Auditierung und Rating von Unternehmen im Datenschutz | Köln

Unsere Unternehmensziele

Vorsprung durch Selbstregulierung – warum das dataKonform – Datenschutz-Gütesiegel® zum Wettbewerbsfaktor für Unternehmen werden kann

Schon heute müssen Unternehmen den hohen Anforderungen zum Datenschutz gerecht werden. Bis dato existiert allerdings keine Datenschutz-Rentabilität: Wer sich um Datenschutz bemüht, kann auf keine etablierten Mittel setzen, um den erreichten Fortschritt für Dritte transparent zu machen. Zwar existieren gesetzliche Grundlagen für orientierungsgebende Datenschutzmaßnahmen und auch datenschutzrechtliche Zertifizierungsmaßnahmen, doch nachhaltige Erfolge sind in diesem Bereich derzeit kaum zu verzeichnen: Für den klassischen Audit-Paragraphen im deutschen Datenschutzrecht, § 9a BDSG, der ohnehin nur die abstrakte Überprüfung von Systemen beabsichtigt, fehlt nach wie vor das nötige Bundes-Audit-Gesetz. Eine standardisierte Auditierung oder Zertifizierung ist daher derzeit nach dieser Norm nicht möglich. Branchenspezifische Verhaltensregeln nach § 38a BDSG haben sich als rein theoretische Möglichkeit erwiesen, die einer wirklichen Selbstverpflichtung nicht gerecht wird. Es gibt bisher ausschließlich mit dem Code of Conduct für das Versicherungswesen einen Fall, bei dem die Aufsichtsbehörden nach § 38a BDSG eine Branchen-Selbstverpflichtung begleitet und akzeptiert haben. Eine breite Wirkung des Code of Conduct bei den Unternehmen der Branche lässt indes noch auf sich warten. Ein europäisches Siegel-Projekt, das europaweit eine Zertifizierung nach den Maßgaben der europäischen Datenschutzrichtlinie realisiert und nicht branchenspezifisch vorgeht, belegt leider keine tatsächliche Compliance, weil die Prüfung nur abstrakt auf die Eigenschaften etwa eines Produkts bezogen erfolgt, nicht aber dessen konkrete Anwendung am Markt berücksichtigt. Der Verbraucher kann darin keinen konkreten Mehrwert erkennen.

Derzeit besteht also keine Möglichkeit, gelebten Datenschutz gewinnbringend und mit Signalwirkung in die Öffentlichkeit zu tragen. Nach aktueller Gesetzeslage besteht eher die Gefahr, nur negativ aufzufallen. Beispiele dafür finden sich zuhauf, zum Beispiel in der Versicherungsbranche: Die Liste der bekannt gewordenen Datenschutzpannen reicht hier von aufgefundenen Versichertenakten in Müllcontainern über elektronische Datenlecks bis hin zu offenen Versichertenanträgen im Internet. Die Möglichkeit, gestaltend und in positiver Manier aktiv zu werden, lässt sich nur auf einem Weg erreichen: Freiwillige Selbstregulierung, die offen und transparent dem Markt mitgeteilt werden kann – bevor gesetzliche Auflagen das Schutzniveau in unerreichbare Höhen treiben.

Ziel: Datenschutz als Selbstverpflichtung statt weiterer Zwänge – Datenschutz branchenadäquat umsetzen

Der Gesetzgeber schafft durch seine fortwährende Untätigkeit derzeit beste Voraussetzungenfür eine selbstbestimmte Regulierung im Datenschutz. Selbstregulierung bietet den auf anderem Wege kaum zu erreichenden Vorteil, selbstgestaltete Prozesse zum De-Facto-Standard zu erheben. Nicht nur auf Seiten der Belegschaft wird eigenen Regeln, im Vergleich zu staatlich aufoktroyierten Normen, dabei eine erhöhte Akzeptanz entgegengebracht. Selbstregulierende Maßnahmen sind immer auch „am Markt“ überzeugender. Idealerweise werden sie durch ein Siegel nach außen kommuniziert. Sie sind zudem authentisch und gut nachvollziehbar, weil sie konkret ausformuliert sind.

Weiterhin gestalten sich schon die bisherigen – abstrakten – gesetzlichen Anforderungen zunehmend als herausfordernd. Vor diesem Hintergrund kann es daher nur zielführend sein, Standards für adäquaten Datenschutz selbst mitzugestalten und gegenüber Kunden und Interessenten nachvollziehbar darzustellen, damit diese Vergleiche bei Bestrebungen zum Datenschutz ziehen können.

Es gilt, ein klares Preis-Leistungs-Verhältnis für den Datenschutzverpflichteten wie für den -berechtigten zu schaffen. Datenschutz auf der Basis von Selbstregulierung gewinnt eine neue und umfassende Bedeutung als Wettbewerbsfaktor, weit jenseits des Daseins als schlichter Rechtszwang. Wer sich selbst reguliert, kann und wird die Vorgaben zum Datenschutz erfüllen und diese Erfolge dem Markt präsentieren können. Jedem Unternehmen ist daran gelegen, in seiner Außendarstellung auf Sicherheit und Schutz zu setzen. Diesen Schutz auch für die Daten der Kunden, Mitarbeitern und Partnern mit einem entsprechenden Testat zu bieten, wird für die Verbraucherentscheidung branchenübergreifend künftig eine mitbestimmende Rolle spielen.

Jedem Unternehmen wird es möglich sein, Datenschutz im Zuge seiner ohnehin existierenden Datenschutz- und Qualitätsmaßnahmen nach den Selbstverpflichtungskriterien zu realisieren. Mit einem entschiedenen und geschlossenen Vorgehen in der jeweiligen Branche wird der Gesetzgeber weiterhin daran gehindert, das im Wettbewerb erreichte selbstregulierte Schutzniveau durch neue Gesetze mit Pflichtcharakter wieder zu kassieren.

Eine Weiterentwicklung und dauerhafter Fortbestand der Selbstregulierung ist vor diesem Hintergrund gewiss und kündigt den Datenschutz als echtes Wettbewerbskriterium an.