Es versteht sich von selbst, dass keinem Hersteller eines IT-Produkts zugemutet werden sollte, 16 oder 17 verschiedene Gütesiegel beantragen zu müssen, damit die Datenschutzfreundlichkeit des betreffenden Produktes bundesweit anerkannt wird. Der Verordnungsentwurf berücksichtigt dieses Anliegen in § 1 Abs. 5 und legt fest, dass für Produkte, die nach einem vergleichbaren Auditverfahren beim Bund oder in einem anderen Bundesland ein Gütesiegel erhalten haben, in der Regel keine gesonderte Auditierung erforderlich sein soll.
Darüber hinaus habe ich bereits Gespräche mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein mit dem Ziel geführt, ein unbürokratisches und transparentes Audit-Verfahren zu entwickeln. Ich strebe ein Antragsverfahren an, bei dem der Hersteller nur einen Ansprechpartner für den gesamten Audit-Prozess hat, unabhängig vom künftigen Einsatzort seines Produktes.
Es wird befürchtet, dass große Hersteller wie die Firma Microsoft wegen ihrer marktbeherrschenden Stellung kein Interesse an der Auditierung ihrer Produkte haben. Diese Befürchtung teile ich nicht.
Als Vorsitzender des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder stehe ich in engem Kontakt etwa zur Firma Microsoft. Microsoft ist maßgeblicher Initiator der Initiative „Deutschland sicher im Netz“. In der im Januar 2005 gestarteten bundesweiten Initiative haben sich unter Schirmherrschaft des Bundesministers für Wirtschaft und Arbeit namhafte Partner aus Politik, Wirtschaft und Gesellschaft zusammengeschlossen. Die Initiative will die Sicherheitsrisiken bei der Nutzung des Internet verringern, indem sie für ein sicherheitsbewusstes Verhalten im Umgang mit dem Internet sensibilisiert. In diesem Zusammenhang hat sich gerade die Firma Microsoft für das Produkt-Audit eingesetzt und prüft derzeit, welche Softwarebestandteile des eigenen Produktportfolios für die Erteilung des Datenschutz-Gütesiegels geeignet sind.
Es wird vermutet, dass die Erfolge des Produkt-Audits in Schleswig-Holstein vorwiegend auf die Fördermittel zurückzuführen sind, die in den ersten drei Jahren nach Projektstart ausgereicht worden sind.
Nach Auslaufen der Förderung ging die Zahl der Audit-Verfahren jedoch nicht zurück, sondern stieg sogar an. Folgende Zahlen zu verliehenen Gütesiegeln in Schleswig-Holstein belegen dies:
- 2002: 1 Gütesiegel
- 2003: 10 Gütesiegel (davon 9 gefördert)
- 2004: 7 Gütesiegel (davon 4 gefördert)
- Ende 2004: Auslaufen der Förderung
- 2005: 13 Gütesiegel bis November, 2 Re-Zertifizierungen
Dass diese Fördermöglichkeiten die Akzeptanz des Gütesiegels wesentlich unterstützt haben, ist sicher unstrittig. Vor diesem Hintergrund habe ich das Landesförderinstitut Mecklenburg-Vorpommern (LfI M-V) gebeten zu prüfen, ob das Audit-Verfahren auch in unserem Bundesland förderwürdig sei. Dies wurde mir ausdrücklich bestätigt (Zitat):
„Die (geförderte) Entwicklung und spätere Durchführung eines Datenschutz-Audits in Mecklenburg-Vorpommern kann damit in die Europäische Entwicklungsstrategie eingeordnet werden und ist prinzipiell aus den Strukturfonds ERFE und ESF (aus- und weiterbildungsbezogene Projektanteile) in der Förderperiode 2007 bis 2013 förderwürdig.“
Sicher wird nicht jeder Hersteller eines auditierten Produkts von messbaren Vermarktungsvorteilen berichten können. Einer Umfrage in Schleswig-Holstein zur Folge haben aber mehr als die Hälfte dieser Hersteller positive Erfahrungen gemacht und bestätigen, dass es einfacher war, Aufträge aus der Verwaltung und der Wirtschaft zu erhalten.
Auch das LfI M-V bestätigt in seiner Stellungnahme, dass das Angebot auditierter Produkte einen positiven Effekt auf die Wirtschaft der Region haben kann. Die Vertrauenswürdigkeit von IT-Produkten ist insbesondere bei internetbasierten Anwendungen ausschlaggebend für das Nutzerverhalten. Das LfI M-V stellt folgendes fest (Zitat):
„Für Unternehmen in Mecklenburg-Vorpommern, die zum Teil erheblich unter der geographischen Marktferne des Landes leiden, können sich hier hervorragende Chancen eröffnen. Für kleine und unbekannte Firmen ist aber für die Vermarktung der Vertrauensaspekt ein Erfolgskriterium. Die Verwendung staatlich zertifizierter und datenschutzrechtlich unbedenklicher DV-Anwendungen kann helfen, die Konversionsrate wesentlich zu steigern und damit den überregionalen Absatz einheimischer Unternehmen zu steigern.“
Eines der wohl bürokratischsten Vorgänge der öffentlichen Verwaltung ist das Beschaffungswesen. Sowohl das Erstellen von Angeboten seitens der Hersteller als auch das Auswerten dieser Angebote durch öffentliche Stellen ist regelmäßig mit einem erheblichen zeitlichen, finanziellen und personellen Aufwand verbunden. Hier sind wesentliche Vereinfachungen und Einsparungen zu erwarten, wenn das Vorhandensein eines Gütesiegels zu einem zusätzlichen Auswahlkriterium wird. Der Anbieter kann seine Produktbeschreibung wesentlich vereinfachen, indem er auf den Zertifizierungsreport verweist und der Einkäufer kann sich bei der Bewertung eines auditierten Produkts auf das Urteil eines externen Sachverständigen verlassen. Somit unterstützt die vorgeschlagene Landesverordnung für ein Audit-Verfahren die Bemühungen um Deregulierung.