Stiftung Datenschutz

Die UIMC hat Bedenken, dass eine Stiftung Datenschutz mit Erwartungen zur Lösung der Probleme des Datenschutzes in unserer Gesellschaft überfrachtet wird. Die Bundesregierung hat im Koalitionsvertrag festgelegt, dass eine Stiftung Datenschutz errichtet werden soll die - analog zur Stiftung Warentest - die Zielsetzung haben soll, Produkte und Dienstleistungen auf Datenschutzfreundlichkeit zu prüfen, die Bildung im Bereich des Datenschutzes zu stärken, Aufklärung zu betreiben und ein Datenschutzaudit zu entwickeln. Es sollte von Anfang an vermieden werden, eine vom Grundsatz her gute Idee mit Erwartungen zu überfrachten, die eine derartige Institution nicht erfüllen kann: Produkte und Dienstleistungen auf dem IT-Sektor sind etwas grundsätzlich anderes als normale Produkte, die einer eindeutigen technischen Prüfung im Hinblick auf Funktionsfähigkeit und Qualität unterzogen werden können. So sind Produkte häufig Programme oder Programmsysteme, bei denen die Datenschutzfreundlichkeit im Sinne der Einhaltung der Anforderungen der Datenschutzgesetzgebung in der Grundkonzeption und -konstruktion programmtechnisch eingebaut werden muss. Diese Selbstverständlichkeit ist jedoch nicht grundsätzlich gegeben und im Zweifelsfall nur durch aufwändige Prüfungen insgesamt sowie in Einzelpunkten festzustellen. Wesentlich ist darüber hinaus, dass insbesondere bei Programmsystemen durch die so genannte Einsatzumgebung, unterstützt durch Maßnahmen auf dem Organisations- und Regelungssektor eine Datenschutzkonformität erreicht wird oder werden kann. So sind PETs (Privacy Enhancing Technologies, datenschutzerhöhende Technologien) zwar konstitutive Bestandteile ordnungsgemäßer Systeme, reichen jedoch zur Durchführung eines ordnungsgemäßen Betriebs von datenschutzrelevanten Programmsystemen nicht aus. Außerdem belegen die "Datenschutzskandale" der letzten Zeit eindrucksvoll, in welchem Umfang der menschliche Faktor und insbesondere menschliches Fehlverhalten bis hin zum bewussten Gesetzesbruch zur Nichteinhaltung von Datenschutzvorgaben führen können. Dies ist durch Prüfungen im Sinne einer Produkt- und Dienstleistungsprüfung nicht hinreichend regelbar, selbst wenn die betreffenden Produkte und Dienstleistungen das Gütesiegel einer Prüfinstitution erhalten haben. Außerdem werden viele Programme, die datenschutzrelevante Daten verarbeiten, völlig außerhalb von Bereichen eingesetzt, die einer Prüfung unterzogen werden könnten. Die UIMC meint: So ist das Problem nicht zu lösen, Lösungswege müssten anders aussehen.