Neufassung der ISO-Norm 20252 „Ihr müsst euch damit beschäftigen“

Donnerstag, 08. März 2018
Dr. Holger Mühlbauer, Geschäftsführer des Bundesverbands IT-Sicherheit (Teletrust) und stellvertretender Vorsitzender des deutschsprachigen Begleitgremiums zur internationalen ISO-Normung
Dr. Holger Mühlbauer, Geschäftsführer des Bundesverbands IT-Sicherheit (Teletrust) und stellvertretender Vorsitzender des deutschsprachigen Begleitgremiums zur internationalen ISO-Normung
© Teletrust

Dr. Holger Mühlbauer, Geschäftsführer des Bundesverbands IT-Sicherheit (Teletrust) und stellvertretender Vorsitzender des deutschsprachigen Begleitgremiums zur internationalen ISO-Normung, sieht die ISO-Norm als eine Möglichkeit die Anforderungen der DSGVO zu erfüllen. Nach der Verabschiedung eines Entwurfs für eine Neufassung der ISO-Norm 20252, die für die Marktforschung entwickelt wurde, sieht er dringenden Handlungsbedarf. Er fordert: Beschäftigt euch damit.

planung&analyse: Sie sind gerade zurück aus Mexiko. Dort hat sich das internationale Gremium getroffen, das mit der Überarbeitung der ISO-Norm 20252 beschäftigt war. Jetzt liegt ein Entwurf vor, der neuere Entwicklungen der Marktforschung, wie Automatisierung und Big Data mit berücksichtigt. Warum glauben Sie, muss sich die Branche damit jetzt beschäftigen?
Holger Mühlbauer:
Richtig, es wurde ein Entwurf für die revidierte ISO 20252  verabschiedet. Das ist die umfangreichste und wichtigste internationale Norm für die Marktforschung. Der Entwurf wird im Sommer veröffentlicht und dann hat die Branche zwei Monate Zeit zur Kommentierung. Wenn sich keiner damit beschäftigt, tritt die Norm nach der Schlußabstimmung in Kraft. Es gibt also eine letzte Chance für die Fachöffentlichkeit zu sagen, damit haben wir ein Problem, das können wir nicht handhaben, nicht so umsetzen. Wer sich bis dahin nicht äußert, der hat seine Chance vertan. Ich rate daher den Mitgliedern der Branchenverbände diesen Entwurf zu prüfen und sich zu melden, falls sie Bauchschmerzen haben.

Wenn es verabschiedet ist, dann bedeutet das für alle, die nach dieser Norm bereits zertifiziert sind, die müssen sich dann der neuen Iso-Norm unterwerfen?
Ja, wenn sie zur Re-Zertifizierung anstehen.

Was ist denn das Neue an dem Entwurf?
Die neue Norm geht insbesondere bei Prozessen, beim Datenmangement und beim Auftraggeber-Auftragnehmer-Verhältnis sehr ins Detail. Sie fasst viele Dinge zusammen, die bisher auf zwei Normen verteilt waren. Die bisherige Norm für Access-Panel geht in der neuen ISO 20252 auf.

Dr. Holger Mühlbauer

hat nach seinem Jura-Studium als Wissenschaftlicher Mitarbeiter an der TU Berlin am Fachbereich Informatik im Bereich Datenschutzrecht und Informationsrecht gelehrt. Ab 1996 war er einer der Normenausschuss-Geschäftsführer im DIN Deutsches Institut für Normung e. V. in Berlin. Dr. Mühlbauer bekleidete die Funktion des 'Secretary' in mehreren Gremien des Europäischen Komitees für Normung (CEN) und der Internationalen Normungs-organisation (ISO), insbesondere auf dem Gebiet "Dienstleistungsnormung". 2008 wechselte er für ein Jahr zu Austrian Standards nach Wien. Seit 2009 ist Dr. Mühlbauer Geschäftsführer des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) sowie Auditor unter anderem für die Marktforschungsnorm ISO 20252.
Diejenigen, die bisher nach der Access-Panel-Norm zertifiziert waren, müssen sich dann entscheiden, ob sie nach der neuen Norm 20252 zertifiziert werden wollen?
Die meisten, mit denen wir gesprochen haben, werden das machen. Es ändert sich faktisch nur die Nummer, denn man wird natürlich nur danach zertifiziert, was man wirklich anbietet. Das wird jetzt auch schon so praktiziert.

Welche Probleme könnte man als Institut denn mit der novellierten Norm haben? Worauf sollten die Branchenvertreter ihr Augenmerk legen?
Es geht nicht um Probleme innerhalb der Norm. Wir haben sie mit großer Sorgfalt für die Branche erarbeitet und es ist wichtig, dass die Vertreter der Marktforschung sich auch darin wiederfinden und deshalb sollten sie sich damit beschäftigen und zwar am besten vor der endgültigen Verabschiedung.

Was wird denn alles geregelt in dieser Norm?
Wenn man sich das Inhaltsverzeichnis anschaut, dann geht das von der Dokumentation, der Infrastruktur, über den Umgang mit Auftraggebern, der Definition von Samplen, den Möglichkeiten und Grenzen der Stichprobenziehung, dem Datamanagement, der Rekruting von Interviewern und vielem mehr. Da ist also eine Menge Stoff drinnen. Und wir als deutschsprachiges Beratungsgremium sehen die Pflicht, die Branche und die Verbände darauf hinzuweisen, dass man die Gelegenheit zum Kommentieren nicht verstreichen lässt.

Da sind wir Deutschen momentan gut drin. Deutschland hat ja auch in Brüssel keine Stellungnahme zur E-Privacy-Verordnung abgegeben. Sie sehen ebenfalls einen Zusammenhang der ISO-Norm mit der Datenschutzgrundverordnung, die am 25. Mai in Kraft tritt?
Ja, das deutsche Bundesdatenschutzgesetz BDSG hat eine Ausnahmeregelung für die Marktforschung geschaffen, und zwar im Paragraf 30a. Darum haben Verbände wie der ADM lange gekämpft, damit das Geschäftsmodell Marktforschung keinen Schaden nimmt. Wenn am 25. Mai 2018 die europäische Datenschutzgrundverordnung DSGVO in Kraft tritt, wird aber das alte BDSG ungültig. Damit entfällt auch der Privilegienparagraf für die Marktforschung. Die Frage ist also, auf welcher rechtlichen Basis operiert künftig die Markt-, Meinungs- und Sozialforschung, wenn die nationalen Gesetze außer Kraft gesetzt werden?

Veranstaltung "Qualitätssicherung in der Markt-, Meinungs- und Sozialforschung"

Eine Gemeinschaftsveranstaltung von ADM, DGOF, vsms, VMÖ und TeleTrusT. Termin: 18.05.2018 in Wien

Was steht dazu in der DSGVO? Meines Wissens wird die Markt-, Meinungs- und Sozialforschung dort gar nicht erwähnt?
So ist es, jedenfalls nicht ausdrücklich. Genau das ist der Punkt. Dort stehen lediglich abgeschwächte Restriktionen für wissenschaftliche und historische Forschung oder wenn es sich um Statistik handelt. Da muss die  Branche mit „wissenschaftlicher Forschung“ argumentieren. Die Sozialforschung wird noch am wenigsten Probleme damit haben, als wissenschaftliche Forschung anerkannt zu werden. Bei der  Konsumentenforschung könnte das schon eher problematisch sein.

Und was schlagen Sie vor, soll die Branche machen?
Die Qualität hochhalten, indem man sagt: Wir halten uns sehr strikt an das Trennungsgebot sowie an Anonymisierung oder zumindest Pseudonomisierung. Wir halten alle Datenschutzmaßgaben ein und wir sind besonders vorbildlich. Und wir arbeiten nach einer von uns selbst auferlegten Branchennorm, der ISO 20252, die uns besonders seriös macht und an die wir uns halten.

Was kann die Zertifizierung in Richtung Datenschutz versprechen?
Dort wird nicht ein künstliches schönes Werbeetikett verliehen, sondern das kann ein Vertrauensausweis für die Branche sein, um als seriöse Aktivität sowie als wissenschaftliche Forschung wahrgenommen zu werden.

Nun hat gerade vor ein paar Wochen ein Skandal mit vermutlich gefälschten Interviews die Branche erschüttert. Wie könnte eine verbreitete Zertifizierung einen solchen Betrug, der da offenbar passiert ist, verhindern?
Dem Vernehmen nach betreffen die zutage getretenen Probleme vor allem Sub-Dienstleiter. Da die ISO 20252 auch zur Unterbeauftragung Bezug nimmt, kann sie auch hier qualitätssichernd wirken. Allerdings: Gegen das „Billigst-Bieter-Prinzip“ und daraus folgenden Betrug kann die beste Norm nichts ausrichten.


Herr Mühlbauer, vielen Dank für das Gespräch.

Jetzt suchen >>
stats