Wer das Wort "Datenschutzsiegel" bei Google eingibt, sieht viele Siegel mit grünen Häkchen und geschlossenen Schlössern. Sie sollen Sicherheit vermitteln und Vertrauen aufbauen. Doch mit der wachsenden Zahl an Zertifikaten fällt gerade dies schwer. Welchem können Unternehmen bei der Auswahl von IT-Dienstleistungen oder Software vertrauen?
Um Durchblick in diesem Dschungel an Zertifikaten zu erhalten, hilft die Unterscheidung zwischen dem "geregelten" und dem "ungeregelten" Bereich. Bei geregelten Zertifizierungsvorgängen unterliegen die Prüfinstanzen selbst externen Kontrollen. Hierunter fallen beispielsweise die ISO-Zertifikate, die in Deutschland durch den TÜV ausgestellt werden. Die TÜV-Prüfstellen und -Auditoren werden von der nationalen Akkreditierungsstelle der Bundesrepublik Deutschland, kurz der DAkkS, geprüft und online in einer öffentlich zugänglichen Datenbank gelistet. Das DAkkS führt so genannte Witness Audits durch, bei denen ein Prüfer die Tätigkeit des TÜV-Experten prüft.
Wirtschaftsprüfung
Parallel zu den ISO-Zertifikaten für technische Produkte, Leistungen und Verfahrensabläufe gibt es auch in der Wirtschaftsprüfung einen geregelten Bereich. Hierein fallen die ISAE-Zertifikate. Die übergeordnete und normierende Prüfinstanz ist hier das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW). Die ISACA bildet darüber hinaus den internationalen Berufsverband von IT-Revisoren, IT-Sicherheitsmanagern und IT-Governance-Beauftragten. Diese Verbände, ob ISO oder ISACA, sorgen für einen internationalen umsetzbaren Standard.
Es gibt neben dem IT- und dem Wirtschaftsbereich noch weitere Zertifikatsbereiche. Eine Reihe wird von staatlicher Seite aus vergeben. Ein Beispiel ist die Gesellschaft für Telematik-Anwendungen der Gesundheitskarte (gematik). Sie prüft ihre Dienstleister und vergibt Zertifikate. Da sie in die Prozesse der elektronischen Gesundheitskarte eingebunden sind, sichert die gematik über dieses Vorgehen den Datenschutz der deutschen Krankenkassen-Mitglieder ab. Ein weiteres Beispiel sind die Mindestanforderungen an das Risikomanagement in deutschen Kreditinstituten, kurz MaRisk genannt. Diese Verwaltungsvorschriften veröffentlicht die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin).
Der ungeregelte Bereich ist dagegen nicht normiert. Hier haben die Prüfer selbst ein Zertifikat entwickelt, sind also "Herr im eigenen Hause". Das ist nicht unbedingt ein Nachteil, auch wenn sich "schwarze Schafe", also Anbieter von Zertifikaten, die sie sich teuer bezahlen lassen aber keine ernstzunehmende Leistungsprüfung erbringen, im ungeregelten Bereich eher aufhalten können. Doch meist fallen branchenspezifische und damit oft fachlich sehr anspruchsvolle Zertifikate in den ungeregelten Bereich, wie zum Beispiel das ULD Datenschutzsiegel, entwickelt vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein.
Weitere Beispiele aus dem ungeregelten Bereich sind der Blaue Engel, die Tier-Zertifizierungen des amerikanischen Uptime Instituts, die deutschen Bitkom-Siegel sowie mehrere Siegel des TÜV Saarland und des TÜV Rheinland. Bei Zertifikaten aus dem ungeregelten Bereich gilt: Die Prüfanforderungen können fachlich sehr anspruchsvoll sein, man sollte sich hierzu innerhalb der Branche erkundigen. Im Vergleich zum geregelten Bereich ist der Erwerb eines Zertifikats aus dem ungeregelten Bereich durchschnittlich günstiger.
Der wichtige Blick auf die Details
Um zu wissen, welche Leistung geprüft wurde, hilft ein genauer Blick auf das Zertifikat selbst. Neben dem Aussteller, dem Zertifikats-Eigner und der Gültigkeit steht dort auch der genaue Geltungsbereich. Das bekannte Beispiel der Brustimplantate des französischen Herstellers PIP macht es deutlich: Der Prüfgegenstand des TÜV Rheinland war das Herstellungsverfahren, nicht das Produkt selbst. Der TÜV hatte also nicht die Kissen, sondern anhand von Unterlagen die Qualitätssicherung des Herstellers überprüft. Achten sollte man auch darauf, ob ein Unternehmen eine Leistung nur in der Planung hat zertifizierten lassen, also ausschließlich die Qualität der Planung belegt, auch wenn zwischenzeitlich aus dem Planungsstand Realität wurde.
Es ist durchaus üblich, sich von einem künftigen IT-Dienstleister einen vollständigen Prüfbericht für ein Zertifikat vorlegen zu lassen. Hiermit lassen sich Fragen zum Prüfgegenstand, zur Vollständigkeit der Prüfung und zu den daraus gewonnen Erkenntnissen im Detail klären. (sh)
Abschließend gibt es einige Tipps, wie sich die Aussagekraft von Zertifikaten prüfen lässt:
- Lesen des Zertifikats
Was ist der Prüfgegenstand? - Weiterlesen des Zertifikats
Wurde eine Leistung nur in der Planung geprüft? - Prüfen des Zertifikats
Im geregelten Bereich "Aussteller und Zertifikat" anhand von Online-Datenbanken überprüfen. - Ungeregelte Siegel
Ist das Siegel innerhalb der Branche anerkannt? - Bei Unklarheiten
Vollständigen Prüfbericht anfordern!