Fit für die DSGVO: Zertifizierungen

Fit für die DSGVO: Zertifizierungen

In wenigen Tagen gilt die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich für alle europäischen Unternehmen. Im Rahmen unserer DSGVO-Serie zeigen wir Ihnen heute auf, wie Sie sich mithilfe von Zertifizierungen vor den horrenden Bußgeldern schützen und sich weitere Vorteile sichern.

Zertifizierungen erhalten neue Bedeutung

Mit der DSGVO erlangen Datenschutz-Zertifizierungen neue Bedeutung. Einige Beispiele verdeutlichen:

  • Bußgelder reduzieren: Kommt es einmal zu einer Datenschutzverletzung, wirken sich Datenschutz-Zertifikate positiv auf etwaige Sanktionen aus. Diese werden mit der DSGVO existenzvernichtend, da der Gesetzgeber „empfindlich treffen“ möchte: bis zu 20 Millionen oder 4 % des weltweiten Jahresumsatzes können fällig werden – je nachdem, was höher ist. Das Gesetz drückt sich in Art. 83 DSGVO deutlich aus: „Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:“ Unter Absatz j) heißt es weiter: „Einhaltung von genehmigten Verhaltensregeln […] oder genehmigten Zertifizierungsverfahren nach Artikel 42 […]“.
  • Auftragsverarbeitung: Künftig werden, um das Datenschutz-Niveau eines Auftragsverarbeiters, etwa dem Cloud-Anbieter, zu überprüfen, Datenschutz-Zertifikate genutzt. So erklärt Art. 28 DSGVO Abs. (5): „Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien […] nachzuweisen.“
  • Übermittlung von Daten in Drittstaaten: Geht es um die Rechtsgrundlage für die Übermittlung von Daten in Drittstaaten, gibt Artikel 46 DSGVO Auskunft: Zu den möglichen Garantien für ein gutes Datenschutz-Niveau gehören Datenschutz-Zertifikate.

Verglichen zum bisherigen Recht stellt die DSGVO neue Pflichten auf, darunter zahlreiche Dokumentations- und Nachweispflichten. Verantwortliche und Auftragsverarbeiter selbst müssen eben diesen Nachweispflichten nachkommen. Das Gesetz drückt sich eindeutig aus (Art. 5 Abs. 2 DSGVO): „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Wenngleich der Auftragsverarbeiter in diesem Artikel nicht ausdrücklich genannt wird, ist seine Rechenschaftspflicht aus anderen Artikeln ableitbar.

Die DSGVO (Art. 32) verpflichtet den Verantwortlichen und den Auftragsverarbeiter dazu, technische sowie organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Das ist nichts Neues, jedoch geht das Gesetz über bisherige Maßnahmen hinaus: Benötigt wird „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Die Nachweispflicht wird in Art. 32 Abs. 3 DSGVO noch einmal explizit herausgestellt: „Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“

Nachweispflichten erfüllen

Es ist bereits herausgeklungen: Sie haben nach der DSGVO zwei Wege, um Ihren Nachweispflichten nachzukommen. Zum einen können Sie auf genehmigte Verhaltensregeln setzen, zum anderen auf Zertifizierungen.

Art. 40 DSGVO erläutert die genehmigten Verhaltensregeln. Diese können durch Verbände oder andere Interessenvertretungen ausgearbeitet werden. Verhaltensregeln dieser Art bilden einen Nachweis darüber, den Anforderungen ans Verarbeiten personenbezogener Daten nachgekommen zu sein. Verantwortlich für die Genehmigung der Verhaltensregeln ist die zuständige Aufsichtsbehörde.

Zertifizierungen sind die Alternative zu den Verhaltensregeln. Mithilfe eines akkreditierten Zertifizierers durchlaufen Sie einen Prozess, der Ihre Organisation auf den Weg zum datenschutzfreundlichen Unternehmen lenkt. Es gibt verschiedene Arten der Zertifizierung; einige eignen sich speziell für KMU, andere für Großunternehmen. Im Folgenden stellen wir Ihnen entsprechende Optionen vor.

Bestandsaufnahme: Erster Schritt

Der erste Schritt, bevor weitere Maßnahmen unternommen werden, muss immer eine Analyse des Ist-Zustands sein. Auch wenn Sie sich entscheiden, Ihre Nachweispflichten mithilfe von Verhaltensregeln zu erfüllen, steht diese Ist-Analyse vor jedem weiteren Schritt.

Mittels einer Ist-Aufnahme finden Sie beispielsweise heraus, wo Ihr Unternehmen im Bereich Datenschutz überhaupt steht. In der Analyse identifiziert ein Berater Datenschutzrelevante Stärken und Schwächen im Unternehmen und zeigt konkrete sowie individuelle Handlungsempfehlungen auf.

VdS 10010:  Zertifizierung für den Datenschutz

Zertifizierungen werden mit der DSGVO eine ganz neue Bedeutung bekommen: Mit ihnen erhalten Unternehmen die Möglichkeit, ihren Datenschutz zertifizieren zu lassen. Auf diese Weise entsprechen sie den Regelungen der DSGVO und können die existenzvernichtenden Bußgelder, die bei Datenschutzverstößen anfallen, umgehen.

Eine solche Zertifizierung, die speziell für kleine und mittelständische Unternehmen entwickelt wurde, ist VdS 10010. Ziel ist es, ein Datenschutzmanagementsystem zu implementieren und aufrecht zu erhalten.  Das Augenmerk liegt dabei darauf, den KMU eine klare Handlungsanweisung an die Hand zu geben. Mit einer Zertifizierung nach VdS 10010 entsprechen Sie den Anforderungen aus der DSGVO und legen den ersten Grundstein in Richtung Informationssicherheit. Welchen Sie mit einer Umsetzung der Richtlinie VdS 3473 vertiefen können. Wenn Sie VdS 3473 umgesetzt haben ist es übrigens nur noch ein kleinerer Schritt zur ISO 27001-Zertifizierung. Unternehmen, die nach diesen Richtlinien zertifiziert sind, können zu Recht von sich sagen, aktuellen Sicherheitsstandards zu entsprechen und den Schutz von sensiblen Daten sehr ernst zu nehmen.

Die Königsklasse der Zertifizierungen: ISO 27001

Die ISO 27001 ist ein weltweit anerkannter Standard für Informationssicherheit; sie ist sogar die führende Norm für Informationssicherheits-Management-Systeme (ISMS). Um Ihre Organisation fit für die DSGVO und die Zukunft zu machen und um etwaige Sicherheitslücken in Ihrem Unternehmen zu schließen, können wir, die Experten der PSW GROUP, Informationssicherheit nach ISO 27001 bei Ihnen etablieren. Weitere Informationen erhalten Sie an dieser Stelle.

Ob Ihre Organisation gemeinnützig agiert, ob Sie aus der Privatwirtschaft oder dem öffentlichen Sektor kommen: ISO 27001 ist der Standard! Konkret definiert die ISO 27001 alle Anforderungen für die Einführung, die Umsetzung, die Überwachung und die Optimierung eines ISMS in Ihrer Organisation. Sie erhalten einen strukturierten und systematisch aufgebauten Ansatz, wie Sie vertrauliche Informationen schützen, wie Sie die Integrität Ihrer Daten wahren und wie Sie die Verfügbarkeit Ihrer IT-Infrastruktur optimieren.

Wir haben bereits zahlreiche Unternehmen bei der ISO 27001-Zertifizierung unterstützt. Damit schöpfen wir aus einem Pool an Kenntnissen aus verschiedensten Branchen. Profitieren auch Sie davon und von unserer jahrelangen praktischen Erfahrung.

Zertifizierungen für die DSGVO

Die DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern zahlreiche Nachweise und Dokumentationen. Wissen Sie bereits, wie Sie diesen mit dem Start der DSGVO am 25. Mai 2018 nachkommen? Wenn nicht, wäre eine Ist-Analyse eine Erleichterung. So entdecken Sie, wo Sie bereits gut aufgestellt sind und welche Defizite Sie noch angehen müssen.

Dann haben Sie zwei weitere Wege zur Nachweisbarkeit: Sie können Verhaltensregeln genehmigen lassen oder entscheiden sich für eine Zertifizierung. Selbstverständlich können Sie auch ergänzend zu einer Zertifizierung Verhaltensregeln aufstellen.

Die Königsklasse der Zertifizierungen ist die ISO 27001-Zertifizierung. Sie ist ein international anerkannter Standard, mit dessen Unterstützung Sie allen Nachweispflichten nachkommen. So senken Sie Bußgelder und sind nach außen hin als Datenschutz-orientiertes Unternehmen erkennbar. Das stärkt die Sicherheit und das Vertrauen von direkten Kunden, aber auch von Unternehmen, die Sie als Dienstleister unterstützen.

Für kleine und mittelständische Unternehmen könnte der Aufwand der ISO 27001-Zertifizierung personelle und finanzielle Ressourcen übersteigen. Für den Einstieg in die zertifizierte Informationssicherheit eignet sich Umsetzung der Richtlinie VdS 3473. Wenn Sie VdS 3473 umgesetzt haben ist es übrigens nur noch ein kleinerer Schritt zur ISO 27001-Zertifizierung. und so kommen Sie ebenfalls den in der DSGVO geforderten Nachweispflichten nach.

Haben Sie Fragen zum Thema Zertifizierungen und DSGVO? Unsere Experten stehen Ihnen gerne mit Rat und Tat zur Seite – kontaktieren Sie uns einfach!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*