(openPR) Fachleute wissen es: Die derzeitige Diskussion um den Stand des Datenschutzauditgesetzes lässt es wahrscheinlich werden, dass in der nächsten Zeit mit der Verabschiedung dieses Gesetzes ernst gemacht werden könnte. Hieraus ergibt sich die Frage, nach welchen Kriterien ordnungsgemäße Systeme gestaltet und evaluiert werden sollen. Die Common Criteria CC erlauben die Möglichkeit, Protection Profiles (PP) zu konstruieren und für die spezifischen Belange des Datenschutzes zu modifizieren. Reicht das aber aus, um den zu erwartenden Forderungen des Gesetzes zu genügen und die erforderlichen Audits von Anwendungen und Systemen durchzuführen, die nach den gesetzlichen Kriterien gestaltet wurden?
In der Vergangenheit haben sich verschiedene Institutionen - hier insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Auftrage des Bundesdatenschutzbeuftragten, das unabhängige Landeszentrum für den Datenschutz (ULD) sowie internationale Institutionen, hier insbesondere die Privacy Enhancing Technologies-Gruppe PETTEP-Arbeitsgruppe - bemüht, die Common Criteria aus ihrer Abstraktheit in eine für die tägliche Arbeit konkret handhabbare Form in Bezug auf datenschutzspezifische Kriterien zu bringen. In der letzten Zeit ist eher eine Phase der Ruhe im Hinblick auf diese Bemühungen zu verzeichnen gewesen. Dies ist jedoch im Zusammenhang mit den Möglichkeiten der Verabschiedung eines Auditgesetzes nicht opportun. Der einzige Fortschritt, der in neuerer Zeit auf diesem Gebiet erzielt wurde, besteht im Entwurf eines konzeptionellen Papiers der genannten Arbeitsgruppe, welches auf Initiative der kanadischen Datenschutzbeauftragten der Provinz Ontario veröffentlicht wurde - nachzulesen
.Parallel zu dieser Ausarbeitung hat die UIMCert im Rahmen eines Projektes eine grundlegende Entwicklung zur Konkretisierung der Gestaltung und Prüfung von Datenschutzanwendungen mit Hilfe der CC durchgeführt.
Überlegungen über die Anforderungen, die eine ordnungsmäßige Gestaltung und Evaluierung von datenschutzrelevanten Verfahren weniger oder hoch komplexer Art stellen, machen deutlich, dass im Rahmen des Datenschutzes eine Systematisierung wie sie in anderen Normen - zum Beispiel über solche der IT-Sicherheit - erfolgt ist, noch nicht realisiert wurde. Der Bedarf nach gestaltungsrelevanten Vorgaben und die Evaluation eindeutig strukturierenden Normen ist aber vorhanden. Hierbei muss die Besonderheit des Datenschutzes als eine Kombination von rechtlichen und technischen Fragestellungen hinreichend berücksichtigt werden. Eine Besonderheit datenschutzrechtlicher Fragestellungen besteht zusätzlich darin, dass die Spezifika organisatorischer und technischer Art des jeweiligen Verfahrens und seiner Einsatzumgebung bei Ordnungsmäßigkeitsfragen berücksichtigt werden müssen.
Die von der UIMCert durchgeführte Entwicklung wird konkret im Hinblick auf die Lösung ab Mai unter www.uimcert.de zur Verfügung stehen. Das Projektkonzept ist ab sofort unter der gleichen Adresse verfügbar.
