Die Diskussion um aussagekräftige Prüfungsstandards für Online-Shops geht weiter: Ein Gütesiegel aus Amerika soll den Internet-Handel weltumspannend sicherer machen.
Dieses hoch gesteckte Ziel haben sich die Berufsorganisationen der Wirtschaftsprüfer in den USA (AICPA) und in Kanada (CICA) mit dem WebTrust Seal gesetzt. Inzwischen haben sich die Wirtschaftsprüfer weiterer 17 Staaten dem recht hoch angesetzten Prüfungsstandard der Amerikaner angeschlossen. In Deutschland wurde eigens zur Verbreitung des WebTrust Seals die IDW Net GmbH gegründet, eine über das Institut der Wirtschaftsprüfer von der Wirtschaftsprüferkammer kontrollierte Gesellschaft. Als Lizenznehmerin der Amerikaner in Deutschland, soll die IDW Net GmbH die deutschen Wirtschaftsprüfer für das WebTrust Seal und die aus Amerika übernommenen und bereits teilweise ins Deutsche übertragenen Prüfungsgrundsätze fit machen.
Es bleibt abzuwarten, wie die Wirtschaftsprüfer in Deutschland dieses neue Betätigungsfeld annehmen werden. Bis jetzt scheint das Interesse der traditionell nach den Grundsätzen des Handels- und Gesellschaftsrechts prüfenden und testierenden Zunft am eCommerce eher mäßig zu sein. Ein von deutschen Prüfern erteiltes WebTrust Seal prangt noch auf keiner Homepage eines Internet-Anbieters. Aber es sollen einige Prüfungen im Gange sein.
„Unser Bestreben ist es, dieses Gütesiegel, trotz der hohen Anforderungen, gerade dem mittelständischen eCommerce-Anbieter zugänglich zu machen“, teilt die TRC Treurat GmbH mit, eine der deutschen Wirtschaftsprüfungsgesellschaften, die das Siegel vergeben darf.
Die Big Five, die fünf großen international tätigen Wirtschaftsprüfungsgesellschaften, haben schon vor Monaten die Lizenz unmittelbar von den Amerikanern erworben. In ihren deutschen Dependancen wurden auch eigenst für das WebTrust Seal Prüfungsteams gebildet. In den Vorstandsetagen steht man dem neuen Tätigkeitsfeld allerdings teilweise noch recht zögerlich gegenüber.
Diese Zurückhaltung hängt vielleicht auch mit der Komplexität der Materie zusammen. Wenn Wirtschaftsprüfer die Seriosität von Internet-Anbietern und die Sicherheit der Kundendaten prüfen und hinreichend zuverlässig bestätigen sollen, bewegen sie sich noch weitgehend in rechtsfreiem Raum. Die europäische eCommerce–Richtlinie ist noch immer nicht in deutsches Recht umgesetzt worden. Das nationale Recht gibt nach wie vor nicht viel für die Sicherheit der Internet- Händler und ihrer Kunden her. Vielleicht ist es auch gar nicht möglich, umfassende und allgemeingültige Rechtsnormen zu schaffen. Schützt doch gerade die Anonymität des Internets und dessen Internationalität die schwarzen Schafe vor dem Zugriff der nationalen Justiz. Für alle Staaten der Welt einheitlich gültige gesetzlich Regelungen sind zwar wünschenswert, werden aber wegen der unterschiedlichen nationalen Interessen kaum realisierbar sein. Wohlgemeinte Ansätze dürften dem Tempo und der Vielgestaltigkeit der Internet-Kriminalität immer hoffnungslos hinterher hecheln.
Wenn es die Justiz schon nicht vermag, die bösen Buben im Internet abzustrafen, muss sich die Wirtschaft selbst etwas einfallen lassen, werden sich die Amerikaner gesagt haben, als sie seinerzeit die ersten Versionen der Web Trust Principles and Criteria entwickelten. Immerhin drohte das anfangs rasante Wachstum des eCommerce einzuknicken, nachdem eklatante Sicherheitsmängel bei prominenten Internet- Anbietern bekannt wurden. So stellte z.B. die Stiftung Warentest in der Ausgabe 5/2000 fest, dass von 16 getesteten umsatzstarken Anbietern nur 4 eine hinreichende Sicherheit vor Datenklau boten. Bei 5 Anbietern hätten Hacker sogar ohne nennenswerte Schwierigkeiten Kundendaten lesen und Kreditkarten belasten können. Risiken, die nach wie vor viele potentielle Internet- Kunden davon abhalten sicherheitsrelevante Daten preiszugeben.
Vertrauensbildende Maßnahmen mussten her. 200 führende deutsche Unternehmen bzw. deren verantwortliche Personen schlossen sich zu der „D21 Initiative“ zusammen, mit dem Ziel, Lösungen zu mehr Sicherheit im Internet-Handel aufzuzeigen. Sie formulierten letztes Jahr Kriterien mit hohem Qualitätsanspruch, die sie sich vornahmen, zunächst in ihren eigenen eCommerce-Auftritten im Wege einer Selbstbindung umzusetzen. Inzwischen hat die D21- Initiative unter den Prüfsiegel- Anbietern die Spreu vom Weizen getrennt. Wie nicht anders zu erwarten, hatten nur wenige Prüfkonzepte vor den kritischen Augen der D21-Tester Bestand. Zu den empfehlenswerten Siegelführern kürte die D21-Initiative unter anderen auch die Wirtschaftsprüfer mit dem WebTrust-Seal.
Ein auf der Homepage angebrachtes Prüfsiegel soll dem Kunden auch nach den D21 Qualitätskriterien die Unsicherheit über die rechtlichen Verhältnisse und die Angst vor Betrug und Datenmissbrauch nehmen. In Deutschland wurden zunächst die Siegel „Geprüfter Online Shop“ von dem Europäischen Handelsinstitut EHI und „Trusted Shops“ aus dem Gemeinschaftsunternehmen der Impact Business & Technology Consulting GmbH und der Gerling TradeSafe.Com GmbH auf den Markt gebracht. Mit unterschiedlichen Schwerpunkten bieten inzwischen auch DIN CERTCO (DIN Tested Website) und der TÜV mit seinen Sparten- bzw. Regionalverbänden RWTÜV Anlagentechnik (TÜV Online Check), TÜV Informationstechnik (TÜV Trustedsite: Usability), TÜV Nord Security (TÜVCERTECO) und TÜV Secure IT (Certifified E-Shop) Gütesiegel an.
Wie die anderen Siegel auch, soll das auf der Homepage angebrachte WebTrust Seal dem Verbraucher aufzeigen, dass bei diesem Unternehmen eine Prüfung stattgefunden hat – in diesem Fall durch einen unabhängigen Wirtschaftsprüfer. Durch Anklicken des Siegels wird der kritische Verbraucher zu den Prüfungskriterien umgeleitet und zu der Bescheinigung des Wirtschaftsprüfers über das Ergebnis seiner Web Trust Prüfung. Damit soll das WebTrust Seal ein für den Verbraucher sichtbares Symbol darstellen, dass er sich auf die Datensicherheit dieses Unternehmens verlassen kann und dass das Unternehmen selbst durch effektive interne Kontrollen hinreichende Maßnahmen zur Sicherheit der eCommerce Geschäfte getroffen hat.
Wegen der hohen Prüfungsanforderungen und der damit verbundenen Kosten konnten oder wollten sich allerdings nicht viele Unternehmen dieser Prüfung unterziehen. Deshalb ist in Nord-Amerika das von der Wirtschaft so hoch gelobte Siegel doch relativ selten vergeben worden.
Inzwischen wird das Siegel nach Prüfungsgrundsätzen in der dritten Version angeboten und geht weit über die ursprünglich ins Auge gefasste Zielgruppe der zu schützenden Konsumenten hinaus. Die WebTrust Principles 3.0 betreffen jetzt auch die Geschäfte der Unternehmen untereinander. Das Siegel selbst wurde neu gestaltet. Die Prüfungskriterien sind jetzt modular aufgebaut und in sieben Principles unterteilt. Mit Ausnahme des Moduls „Customized Disclosures“, das die Prüfung zusätzlicher Angaben und Qualitätskriterien des Unternehmens betrifft, ist jedes einzelne dieser Principles ein eigenständiges Prüfmodul und kann unabhängig von den anderen Modulen geprüft und als Siegel erteilt werden. Damit kann sich das WebTrust Seal flexibler an die individuellen Bedürfnisse des zu prüfenden Unternehmens anpassen, als dies noch bei der Vorgängerversion möglich war. Der Prüfungsumfang kann eingegrenzt und die Kosten der Prüfung selbst können dadurch stark reduziert werden.
Leider haben AICPA und CICA noch nicht alle sieben Module in konkrete Prüfungsgrund- sätze umgesetzt. Zur Zeit liegen erst die Grundsätze für vier Module vor. Das Modul „Online Privacy“ befasst sich mit dem Datenschutz. Nach dem Prüfmodul „Security“ bescheinigt der Wirtschaftsprüfer dem Anbieter durch das Siegel, dass dieser hinreichende Maßnahmen zur Sicherheit der persönlichen Daten des Kunden getroffen hat und nur autorisierte Personen Zugang zu diesen Daten haben. Seit dem 1.Januar diesen Jahres ist das Modul „Business Practices and Transaction Integrity“ in Kraft. Das Schwergewicht dieses Moduls liegt in der Offenlegung und Prüfung der Geschäftspraktiken, insbesondere der vereinbarungsgemäßen Vertragsabwicklung. Ebenfalls ganz neu ist das Modul „Availability“ mit den Prüfungskriterien für die Gewährleistung der Verfügbarkeit der Daten. Die Module „Confidentiality“, „Non Repudiation“ und „Customized Disclosures” stehen noch aus.
Wenn der deutsche Wirtschaftsprüfer eines dieser sieben international gültigen Siegel erteilen will, muss er nach den amerikanischen Prüfungsgrundsätzen der AICPA und CICA prüfen, die durch einen ganz aktuellen deutschen Prüfungsstandard des Instituts der Wirtschaftsprüfer vom 8.3.2001 ergänzt wurden. Zusätzlich muss er sich selbst eine regelmäßige Qualitätskontrolle durch das IDW Net und einen für das Peer Review speziell ausgebildeten Wirtschaftsprüfer gefallen lassen.
Der Unternehmer, der geduldig die gesamte Prüfungsprozedur über sich ergehen ließ und dessen Homepage schließlich das WebTrust Seal ziert, kann sich jetzt keineswegs beruhigt zurücklehnen. Denn spätestens nach 180 Tagen steht der Wirtschaftsprüfer erneut auf der Matte und heischt Einsicht in die inzwischen eingetretenen Änderungen. Ist da der Wurm drin, ist der Unternehmer Knall und Fall das Siegel wieder los. Erfüllt der Unternehmer nämlich nach Abschluss der eigentlichen Prüfung durch ein geändertes eCommerce–Konzept die Kriterien nicht mehr, muss der Wirtschaftsprüfer ihm das WebTrust Seal wieder entziehen. Automatisch tritt der Entzug des WebTrust Seals nach einem Jahr ein, wenn sich der Unternehmen nicht zuvor einer erneuten Prüfung mit positivem Ausgang unterzogen hat.
Keines der Siegel vermag aber dem Kunden bei der Auswahl der Produkte die Qual der Wahl abzunehmen. Ein Bewertung der Qualität der vom Internet-Händler erstandenen Waren ist mit keinem der bekannten Siegel verbunden.
