{"id":5029,"date":"2018-05-08T13:29:52","date_gmt":"2018-05-08T11:29:52","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=5029"},"modified":"2023-10-06T15:50:16","modified_gmt":"2023-10-06T13:50:16","slug":"fit-fuer-die-dsgvo-zertifizierungen","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/fit-fuer-die-dsgvo-zertifizierungen\/","title":{"rendered":"Fit f\u00fcr die DSGVO Zertifizierungen"},"content":{"rendered":"<p>In wenigen Tagen gilt die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich f\u00fcr alle europ\u00e4ischen Unternehmen. Im Rahmen unserer <a href=\"https:\/\/www.psw-group.de\/blog\/category\/rechtliches\" rel=\"noindex,nofollow\">DSGVO-Serie<\/a> zeigen wir Euch heute auf, wie Ihr Euch mithilfe von Zertifizierungen vor den horrenden Bu\u00dfgeldern sch\u00fctzt und euch weitere Vorteile sichert.<\/p>\n<h2>DSGVO Zertifizierungen erhalten neue Bedeutung<\/h2>\n<p>Mit der DSGVO erlangen Datenschutz-Zertifizierungen neue Bedeutung. Einige Beispiele verdeutlichen:<\/p>\n<ul>\n<li>Bu\u00dfgelder reduzieren: Kommt es einmal zu einer Datenschutzverletzung, wirken sich Datenschutz-Zertifikate positiv auf etwaige Sanktionen aus. Diese werden mit der DSGVO existenzvernichtend, da der Gesetzgeber \u201eempfindlich treffen\u201c m\u00f6chte: bis zu 20 Millionen oder 4 % des weltweiten Jahresumsatzes k\u00f6nnen f\u00e4llig werden \u2013 je nachdem, was h\u00f6her ist. Das Gesetz dr\u00fcckt sich in <a href=\"https:\/\/dsgvo-gesetz.de\/art-83-dsgvo\/\" rel=\"noindex,nofollow\">Art. 83 DSGVO<\/a> deutlich aus: \u201eBei der Entscheidung \u00fcber die Verh\u00e4ngung einer Geldbu\u00dfe und \u00fcber deren Betrag wird in jedem Einzelfall Folgendes geb\u00fchrend ber\u00fccksichtigt: Unter Abs. (j) hei\u00dft es weiter: \u201eEinhaltung von genehmigten Verhaltensregeln [&#8230;] oder genehmigten Zertifizierungsverfahren nach Artikel 42 [&#8230;]\u201c.<\/li>\n<li>Auftragsverarbeitung: K\u00fcnftig werden, um das Datenschutz-Niveau eines Auftragsverarbeiters, etwa dem Cloud-Anbieter zu \u00fcberpr\u00fcfen, Datenschutz-Zertifikate genutzt. So erkl\u00e4rt <a href=\"https:\/\/dsgvo-gesetz.de\/art-28-dsgvo\/\" rel=\"noindex,nofollow\">Art. 28 DSGVO<\/a> Abs. (5): \u201eDie Einhaltung genehmigter Verhaltensregeln gem\u00e4\u00df Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gem\u00e4\u00df Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien [&#8230;] nachzuweisen.\u201c<\/li>\n<li>\u00dcbermittlung von Daten in Drittstaaten: Geht es um die Rechtsgrundlage f\u00fcr die \u00dcbermittlung von Daten in Drittstaaten, gibt <a href=\"https:\/\/dsgvo-gesetz.de\/art-46-dsgvo\/\" rel=\"noindex,nofollow\">Artikel 46 DSGVO<\/a> Auskunft: Zu den m\u00f6glichen Garantien f\u00fcr ein gutes Datenschutz-Niveau geh\u00f6ren Datenschutz-Zertifikate.<\/li>\n<\/ul>\n<p>Verglichen zum bisherigen Recht stellt die DSGVO neue Pflichten auf, darunter zahlreiche Dokumentations- und Nachweispflichten. Verantwortliche und Auftragsverarbeiter selbst m\u00fcssen eben diesen Nachweispflichten nachkommen. Das Gesetz dr\u00fcckt sich eindeutig aus (Art. 5 Abs. 2 DSGVO): \u201eDer Verantwortliche ist f\u00fcr die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen k\u00f6nnen (\u201eRechenschaftspflicht\u201c).\u201c Wenngleich der Auftragsverarbeiter in diesem Artikel nicht ausdr\u00fccklich genannt wird, ist seine Rechenschaftspflicht aus anderen Artikeln ableitbar.<\/p>\n<p>Die DSGVO (<a href=\"https:\/\/dsgvo-gesetz.de\/art-32-dsgvo\/\" rel=\"noindex,nofollow\">Art. 32<\/a>) verpflichtet den Verantwortlichen und den Auftragsverarbeiter dazu, technische sowie organisatorische Ma\u00dfnahmen zur Datensicherheit zu ergreifen. Das ist nichts Neues, jedoch geht das Gesetz \u00fcber bisherige Ma\u00dfnahmen hinaus: Ben\u00f6tigt wird \u201eein Verfahren zur regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma\u00dfnahmen zur Gew\u00e4hrleistung der Sicherheit der Verarbeitung.\u201c<\/p>\n<p>Die Nachweispflicht wird in Art. 32 Abs. 3 DSGVO noch einmal explizit herausgestellt: \u201eDie Einhaltung genehmigter Verhaltensregeln gem\u00e4\u00df Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gem\u00e4\u00df Artikel 42 kann als Faktor herangezogen werden, um die Erf\u00fcllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.\u201c<\/p>\n<h3>Nachweispflichten erf\u00fcllen<\/h3>\n<p>Es ist bereits herausgeklungen: Ihr habt nach der DSGVO zwei Wege, um Euren Nachweispflichten nachzukommen. Zum einen k\u00f6nnt Ihr auf genehmigte Verhaltensregeln setzen, zum anderen auf Zertifizierungen.<\/p>\n<p><a href=\"https:\/\/dsgvo-gesetz.de\/art-40-dsgvo\/\" rel=\"noindex,nofollow\">Art. 40 DSGVO<\/a> erl\u00e4utert die genehmigten Verhaltensregeln. Diese k\u00f6nnen durch Verb\u00e4nde oder andere Interessenvertretungen ausgearbeitet werden. Verhaltensregeln dieser Art bilden einen Nachweis dar\u00fcber, den Anforderungen ans Verarbeiten personenbezogener Daten nachgekommen zu sein. Verantwortlich f\u00fcr die Genehmigung der Verhaltensregeln ist die zust\u00e4ndige Aufsichtsbeh\u00f6rde.<\/p>\n<p>Zertifizierungen sind die Alternative zu den Verhaltensregeln. Mithilfe eines akkreditierten Zertifizierers durchlauft Ihr einen Prozess, der Eure Organisation auf den Weg zum datenschutzfreundlichen Unternehmen lenkt. Es gibt verschiedene Arten der Zertifizierung; einige eignen sich speziell f\u00fcr KMU, andere f\u00fcr Gro\u00dfunternehmen. Im Folgenden stellen wir Euch entsprechende Optionen vor.<\/p>\n<h3>Bestandsaufnahme: Erster Schritt<\/h3>\n<p>Der erste Schritt, bevor weitere Ma\u00dfnahmen unternommen werden, muss immer eine Analyse des Ist-Zustands sein. Auch wenn Ihr Euch entscheidet, Eure Nachweispflichten mithilfe von Verhaltensregeln zu erf\u00fcllen, steht diese Ist-Analyse vor jedem weiteren Schritt.<\/p>\n<p>Mittels einer Ist-Aufnahme findet Ihr beispielsweise heraus, wo Euer Unternehmen im Bereich Datenschutz \u00fcberhaupt steht. In der Analyse identifiziert ein Berater datenschutzrelevante St\u00e4rken und Schw\u00e4chen im Unternehmen und zeigt konkrete sowie individuelle Handlungsempfehlungen auf.<\/p>\n<h3><strong>VdS 10010: \u00a0Zertifizierung f\u00fcr den Datenschutz<\/strong><\/h3>\n<p>Zertifizierungen werden mit der DSGVO eine ganz neue Bedeutung bekommen: Mit ihnen erhalten Unternehmen die M\u00f6glichkeit, ihren Datenschutz zertifizieren zu lassen. Auf diese Weise entsprechen sie den Regelungen der DSGVO und k\u00f6nnen die existenzvernichtenden Bu\u00dfgelder, die bei Datenschutzverst\u00f6\u00dfen anfallen, umgehen.<\/p>\n<p>Eine solche Zertifizierung, die speziell f\u00fcr kleine und mittelst\u00e4ndische Unternehmen entwickelt wurde, ist VdS 10010. Ziel ist es, ein Datenschutzmanagementsystem zu implementieren und aufrechtzuerhalten. \u00a0Das Augenmerk liegt dabei darauf, den KMU eine klare Handlungsanweisung an die Hand zu geben. Mit einer Zertifizierung nach VdS 10010 entsprecht Ihr den Anforderungen aus der DSGVO und legt den ersten Grundstein in Richtung Informationssicherheit, welchen Ihr mit einer Umsetzung der Richtlinie VdS 3473 vertiefen k\u00f6nnt. Wenn Ihr VdS 3473 umgesetzt habt, ist es \u00fcbrigens nur noch ein kleinerer Schritt zur ISO 27001-Zertifizierung. Unternehmen, die nach diesen Richtlinien zertifiziert sind, k\u00f6nnen zu Recht von sich sagen, aktuellen Sicherheitsstandards zu entsprechen und den Schutz von sensiblen Daten sehr ernst zu nehmen.<\/p>\n<h3>Die K\u00f6nigsklasse der Zertifizierungen: ISO 27001<\/h3>\n<p>Die ISO 27001 ist ein weltweit anerkannter Standard f\u00fcr Informationssicherheit; sie ist sogar die f\u00fchrende Norm f\u00fcr Informationssicherheits-Management-Systeme (ISMS). Um Eure Organisation fit f\u00fcr die DSGVO und die Zukunft zu machen und um etwaige Sicherheitsl\u00fccken in Eurem Unternehmen zu schlie\u00dfen, k\u00f6nnen wir, die Experten der PSW GROUP, Informationssicherheit nach ISO 27001 bei Euch etablieren. Weitere Informationen <a href=\"https:\/\/www.psw-consulting.de\/informationssicherheit\/iso-27001.html\" rel=\"noindex,nofollow\">erhaltet Ihr an dieser Stelle<\/a>.<\/p>\n<p>Ob Eure Organisation gemeinn\u00fctzig agiert, ob Ihr aus der Privatwirtschaft oder dem \u00f6ffentlichen Sektor kommt: ISO 27001 ist der Standard! Konkret definiert die ISO 27001 alle Anforderungen f\u00fcr die Einf\u00fchrung, die Umsetzung, die \u00dcberwachung und die Optimierung eines ISMS in Eurer Organisation. Ihr erhaltet einen strukturierten und systematisch aufgebauten Ansatz, wie Ihr vertrauliche Informationen sch\u00fctzt, wie Ihr die Integrit\u00e4t Eurer Daten wahrt und wie Ihr die Verf\u00fcgbarkeit Eurer IT-Infrastruktur optimiert.<\/p>\n<p>Wir haben bereits zahlreiche Unternehmen bei der ISO 27001-Zertifizierung unterst\u00fctzt. Damit sch\u00f6pfen wir aus einem Pool an Kenntnissen aus verschiedensten Branchen. Profitiert auch Ihr davon und von unserer jahrelangen praktischen Erfahrung.<\/p>\n<h3>Zertifizierungen f\u00fcr die DSGVO<\/h3>\n<p>Die DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern zahlreiche Nachweise und Dokumentationen. Wisst Ihr bereits, wie Ihr diesen mit dem Start der DSGVO am 25. Mai 2018 nachkommt? Wenn nicht, w\u00e4re eine Ist-Analyse eine Erleichterung. So entdeckt Ihr, wo Ihr bereits gut aufgestellt seid und welche Defizite Ihr noch angehen m\u00fcsst.<\/p>\n<p>Dann habt Ihr zwei weitere Wege zur Nachweisbarkeit: Ihr k\u00f6nnt Verhaltensregeln genehmigen lassen oder entscheidet Euch f\u00fcr eine Zertifizierung. Selbstverst\u00e4ndlich k\u00f6nnt Ihr auch erg\u00e4nzend zu einer Zertifizierung Verhaltensregeln aufstellen.<\/p>\n<p>Die K\u00f6nigsklasse der Zertifizierungen ist die ISO 27001-Zertifizierung. Sie ist ein international anerkannter Standard, mit dessen Unterst\u00fctzung Ihr allen Nachweispflichten nachkommt. So senkt Ihr Bu\u00dfgelder und seid nach au\u00dfen hin als Datenschutz-orientiertes Unternehmen erkennbar. Das st\u00e4rkt die Sicherheit und das Vertrauen von direkten Kunden, aber auch von Unternehmen, die Ihr als Dienstleister unterst\u00fctzt.<\/p>\n<p>F\u00fcr kleine und mittelst\u00e4ndische Unternehmen k\u00f6nnte der Aufwand der ISO 27001-Zertifizierung personelle und finanzielle Ressourcen \u00fcbersteigen. F\u00fcr den Einstieg in die zertifizierte Informationssicherheit eignet sich die Umsetzung der Richtlinie VdS 3473. Wenn Ihr VdS 3473 umgesetzt habt, ist es \u00fcbrigens nur noch ein kleinerer Schritt zur ISO 27001-Zertifizierung. So kommt Ihr ebenfalls den in der DSGVO geforderten Nachweispflichten nach.<\/p>\n<p>Habt Ihr Fragen zum Thema Zertifizierungen und DSGVO? Unsere Experten stehen Euch gerne mit Rat und Tat zur Seite \u2013 <a href=\"https:\/\/www.psw-group.de\/kontakt\/\" rel=\"noindex,nofollow\">kontaktiert uns einfach<\/a>!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In wenigen Tagen gilt die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich f\u00fcr alle europ\u00e4ischen Unternehmen. Im Rahmen unserer DSGVO-Serie zeigen wir Euch heute auf, wie Ihr Euch mithilfe von Zertifizierungen vor den horrenden Bu\u00dfgeldern sch\u00fctzt und euch weitere Vorteile sichert. DSGVO Zertifizierungen erhalten neue Bedeutung Mit der DSGVO erlangen Datenschutz-Zertifizierungen neue Bedeutung. Einige Beispiele verdeutlichen: Bu\u00dfgelder reduzieren: Kommt &hellip; <\/p>\n<p class=\"read-more\"><a class=\"btn btn-default\" href=\"https:\/\/www.psw-consulting.de\/blog\/fit-fuer-die-dsgvo-zertifizierungen\/\"> Mehr Lesen<span class=\"screen-reader-text\">  Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":6,"featured_media":5074,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[46],"tags":[3,138,47,58],"class_list":["post-5029","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-rechtliches","tag-datenschutz","tag-dsgvo","tag-eu-datenschutz-grundverordnung","tag-zertifizierung"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/5029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=5029"}],"version-history":[{"count":10,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/5029\/revisions"}],"predecessor-version":[{"id":6718,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/5029\/revisions\/6718"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/5074"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=5029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=5029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=5029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}