Database Reference
In-Depth Information
Schließlich können auch individuelle Zertifizierungslösungen mit kompetenten Part-
nern erarbeitet werden, etwa mit Wirtschaftsprüfern oder Anwaltssozietäten. Der
Nutzen eines solchen Zertifikates steht und fällt jedoch mit der Reputation der zer-
tifizierenden Stelle, da das Zertifikat einmalig ist und damit für interessierte Dritte
schwer einzuordnen ist.
Ein besonderes „Zertifikat“ stellt auch die Teilnahme US-amerikanischer Unternehmen
am Safe-Harbor-Abkommen dar, welches im Jahr 2000 von der EU-Kommission und
den USA unterzeichnet wurde. Hierbei unterwirft sich ein US-amerikanisches Unterneh-
men per Selbstverpflichtung den sieben Safe-Harbor-Prinzipien und zertifiziert sich damit
quasi selbst, eine entsprechende Liste der teilnehmenden Unternehmen wird bei der Fe-
deral Trade Commission (FTC) in den USA geführt [ 13 ]. Insbesondere aufgrund des
Vollzugsdefizites der FTC hinsichtlich der Kontrolle der gelisteten Unternehmen hat die-
ses Zertifikat jedoch nur eine geringe Aussagekraft über die tatsächliche Angemessenheit
des Datenschutzniveaus im jeweiligen Unternehmen.
Das Thema der Datenschutzzertifizierung wurde 2013 auch auf europäischer Ebene
angegangen: Der Entwurf der EU-DSGVO (Art. 39) [ 4 ] sieht für die Mitgliedstaaten die
Einführung eines European Data Protection Seal auf Basis der Anforderungen ebenjener
Verordnung vor. Ziel ist eine weitreichende Vereinheitlichung dieses Sektors. Auch hier
zeigt sich ein Vorteil eines DSMS, da sich die von der Kommission entwickelten Anfor-
derungen - vorbehaltlich technischer Spezifizierungen - in den meisten Fällen in das hier
vorgestellte Modell des DSMS durch dessen offene Struktur zusätzlich integrieren lassen
können.
3.2.2 Eignung für ein Datenschutzmanagementsystem
Bis heute hat sich kein internationaler Standard für ein DSMS durchgesetzt. Dies be-
ruht zum einen darauf, dass das Konzept des DSMS noch keine umfassende Verbreitung
gefunden hat. Zum anderen setzen die oben erwähnten Gütesiegel vor allem auf die
technische Überprüfung des Datenschutzes und sind dementsprechend produkt- oder
verfahrensorientiert, während ein DSMS eine ganzheitliche Ausrichtung verfolgt.
Entscheidet man sich für die Einführung eines DSMS, so werden häufig zwei
grundlegende Ziele verfolgt:
die Fixierung auf ein Zertifikat und
die Absicherung einer hohen Datenschutzkonformität.
Zwar können beide Ziele durch das Zugrundlegen verschiedener Anforderungskataloge
auf angemessene Art und Weise verwirklicht werden, jedoch besteht hier das Erfordernis,
Redundanzen zu vermeiden. Zunächst ist anzumerken, dass die strikte Ausrichtung auf ein
Search WWH ::




Custom Search