Kaum ein Tag vergeht, an dem die mediale Berichterstattung nicht von neuen Datenpannen dominiert wird. In der Folge dieser zahlreichen Missgeschicke im Umgang mit personenbezogenen Daten gewinnt der Datenschutz bei vielen Menschen an Bedeutung. Doch wie l\u00e4sst sich beurteilen, ob Organisationen datenschutzkonform agieren? Eine DSGVO-Zertifizierung k\u00f6nnte ein gangbarer Weg sein \u2013 und genau die wird noch in diesem Jahr m\u00f6glich sein. Deshalb blicken wir im heutigen Beitrag auf die aktuelle Situation und konkrete Pl\u00e4ne, zeigen die Vorteile eines DSGVO-Zertifikats auf und geben Ihnen einen Ausblick darauf, wie Zertifizierungen ablaufen k\u00f6nnen.<\/p>\n
Es sind nicht zuletzt zahlreiche Datenpannen, die das Thema Datenschutz in den Fokus der Menschen r\u00fcckte. Ob Sie im B2C- oder B2B-Bereich t\u00e4tig sind: Datenschutz z\u00e4hlt! In einigen Branchen existieren bereits spezifische Zertifizierungen, wie TISAX\u00ae in der Automotive-Branche<\/a>. Doch abseits von branchenspezifischen Standards ist es schwer, das Datenschutzniveau zu pr\u00fcfen: Kund:innen, Partner:innen, Lieferant:innen oder Dienstleister:innen m\u00fcssen sich auf das verlassen, was Organisationen ihnen sagen, objektive Bewertungen existieren derzeit nicht.<\/p>\n Diese L\u00fccke kann durch eine DSGVO-Zertifizierung geschlossen werden: Eine neutrale Pr\u00fcfung der DSGVO-Konformit\u00e4t von unabh\u00e4ngiger Stelle. So k\u00f6nnen Interessierte \u00fcber ein Zertifikat Auskunft einholen, inwieweit gepr\u00fcfte IT-Produkte sowie Dienstleistungen den Anforderungen der Datenschutz-Grundverordnung gen\u00fcgen. Dies hat der Gesetzgeber in der DSGVO festgehalten: Gem\u00e4\u00df Art. 42 DSGVO<\/a> stellt ein DSGVO-Zertifikat den Nachweis dar, \u201edass diese Verordnung bei Verarbeitungsvorg\u00e4ngen von Verantwortlichen und Auftragsverarbeitern eingehalten wird.\u201c<\/p>\n Zertifizierungsverfahren sind \u2013 so sieht es Art. 42 DSGVO vor \u2013 ausschlie\u00dflich durch akkreditierte Zertifizierungsstellen durchzuf\u00fchren. Damit ist die DSGVO das erste gesetzliche Rahmenwerk, das ein gesetzliches Datenschutz-Zertifikat, also ein G\u00fctesiegel vorsieht.<\/p>\n Zertifizieren lassen sich s\u00e4mtliche IT-gest\u00fctzten Verarbeitungsvorg\u00e4nge von personenbezogenen Daten \u2013 sowohl bei Verantwortlichen selbst als auch bei Auftragsverarbeitenden. Bei einer Datenschutz-Zertifizierung k\u00f6nnten au\u00dferdem spezielle Themen relevant sein: Das \u00dcbermitteln personenbezogener Informationen in Drittstaaten beispielsweise oder besondere Geheimhaltungspflichten wie im Gesundheitswesen oder bei Berufsgeheimnistr\u00e4gern.<\/p>\n Erhalten Unternehmen ein DSGVO-Zertifikat, gehen damit zahlreiche Vorteile einher:<\/p>\n Fast sechs Jahre, nachdem die DSGVO im Europ\u00e4ischen Parlament verabschiedet wurde, existiert auch heute noch keine akkreditierte Zertifizierungsstelle f\u00fcr die DSGVO-Zertifizierung. Weder europaweit noch auf nationaler Ebene gibt es bislang einen rechtssicheren Nachweis zur \u201eDSGVO-Compliance\u201c. Warum? Weil zun\u00e4chst festgelegt werden musste, welche Anforderungen Zertifizierungsstellen zu erf\u00fcllen haben. Erst als Anforderungen an datenschutzrechtliche Zertifizierungsprozesse<\/a> definiert waren, konnte der Akkreditierungsprozess starten.<\/p>\n Am Prozess der DSGVO-Zertifizierung selbst sind immer drei Akteure beteiligt: Ein zu zertifizierendes Unternehmen, welches das DSGVO-Zertifikat mit samt den oben erw\u00e4hnten Vorteilen nutzen m\u00f6chte. Ein:e unabh\u00e4ngige:r Gutachter:in, die das zu zertifizierende Unternehmen auf DSGVO-Konformit\u00e4t pr\u00fcft. Und nicht zuletzt die Zertifizierungsstelle, die nach erfolgreicher Pr\u00fcfung das G\u00fctesiegel ausstellt. Die DSGVO fordert in Art. 42, dass die DSGVO-Zertifizierung eine maximale G\u00fcltigkeitsdauer von drei Jahren hat. Im Anschluss wird der Pr\u00fcfprozess wiederholt. Dies ist der dynamischen Lage zu verdanken: Technologien entwickeln sich weiter, Verarbeitungsprozesse werden angepasst, Mitarbeitende kommen oder gehen \u2013 und so m\u00fcssen Pr\u00fcfungen in regelm\u00e4\u00dfigen Intervallen wiederholt werden.<\/p>\n Noch in diesem Jahr soll die DSGVO-Zertifizierung m\u00f6glich werden. Um ein DSGVO-Zertifikat zu erhalten, m\u00fcssen Organisationen ein Zertifizierungsverfahren (\u201eAudit\u201c) durchlaufen. Dieses Audit erfolgt anhand eines einheitlichen Anforderungskatalogs. Ist ein Datenschutzbeauftragter im Unternehmen benannt, wird dieser f\u00fcr gew\u00f6hnlich in diesen Prozess mit einbezogen; er kennt das Unternehmen gut und kann bei diesem ersten \u00dcberblick bestens unterst\u00fctzen.<\/p>\n Meist beginnt der Pr\u00fcfprozess mit Fragen allgemeiner Natur: Ist ein Datenschutzbeauftragter vorhanden? Werden Mitarbeitende im Datenschutz geschult? Dann folgen intensive Pr\u00fcfungen relevanter Bereiche, beispielsweise die Abl\u00e4ufe im Unternehmen, die Sicherheit von Computersystemen, die Sicherung der Serverr\u00e4ume oder Zug\u00e4nge zu Ger\u00e4ten und R\u00e4umen.<\/p>\n Wurden s\u00e4mtliche Datenschutz-Anforderungen gem\u00e4\u00df des Pr\u00fcfkatalogs \u00fcberpr\u00fcft, wird ein Datenschutz-Gutachten erstellt. Dieses bildet die Basis f\u00fcr die Ausstellung des DSGVO-Zertifikats durch die Zertifizierungsstelle.<\/p>\n Gro\u00dfkonzerne agieren unter anderen Bedingungen als kleine und mittelst\u00e4ndische Unternehmen (KMU) \u2013 sie haben unterschiedliche personelle und finanzielle M\u00f6glichkeiten. Der Gesetzgeber betont in der DSGVO immer wieder die Verh\u00e4ltnism\u00e4\u00dfigkeit \u2013 und so soll auch das Verfahren zur DSGVO-Zertifizierung verh\u00e4ltnism\u00e4\u00dfig ausgestaltet sein: Laut Art. 42 Abs. 1 DSGVO<\/a> soll \u201eden besonderen Bed\u00fcrfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen [\u2026] Rechnung getragen\u201c werden.<\/p>\n \u00dcber die m\u00f6glichen Kosten f\u00fcr die DSGVO-Zertifizierung l\u00e4sst sich noch keine Aussage treffen \u2013 zu verschieden sind die zu pr\u00fcfenden Organisationen. Es werden sich dar\u00fcber hinaus verschiedene Zertifizierungsstellen und Gutachter am Markt etablieren \u2013 je nach Lokalit\u00e4t, etwaiger Branchenspezialisierung und weiteren Parametern sind auch\u00a0hier verschiedene Preise zu erwarten.<\/p>\n Zertifizierungsstellen werden hierzulande von der Deutschen Akkreditierungsstelle GmbH (DAkkS) und den unabh\u00e4ngigen Datenschutz-Aufsichtsbeh\u00f6rden akkreditiert (\u00a7 39 BDSG<\/a>). Den langwierigen Prozess der Akkreditierung sollen erste Stellen noch in diesem Jahr durchlaufen haben \u2013 erste positive R\u00fcckmeldungen auf Pr\u00fcfkataloge hat es bereits gegeben.<\/p>\n Es haben sich bereits Organisationen zusammengeschlossen und das Zertifizierungsprogramm \u201einformation privacy standard\u201c erarbeitet. Dieses Konformit\u00e4tsbewertungsprogramm soll weiteren Zertifizierungsstellen angeboten werden: So k\u00f6nnte ein Standard entstehen, auf dessen Basis m\u00f6glichst viele Zertifizierungsstellen ihre Akkreditierung gem. Art. 42 DSGVO durchf\u00fchren. Dadurch gel\u00e4nge es, DSGVO-Zertifikate gem\u00e4\u00df einheitlichem \u201einformation privacy standard\u201c am Markt zu etablieren.<\/p>\n","protected":false},"excerpt":{"rendered":" Kaum ein Tag vergeht, an dem die mediale Berichterstattung nicht von neuen Datenpannen dominiert wird. In der Folge dieser zahlreichen Missgeschicke im Umgang mit personenbezogenen Daten gewinnt der Datenschutz bei vielen Menschen an Bedeutung. Doch wie l\u00e4sst sich beurteilen, ob Organisationen datenschutzkonform agieren? Eine DSGVO-Zertifizierung k\u00f6nnte ein gangbarer Weg sein \u2013 und genau die wird … <\/p>\nF\u00fcr wen eignet sich eine DSGVO-Zertifizierung?<\/h3>\n
Mit welchen Vorteilen geht eine DSGVO-Zertifizierung einher?<\/h3>\n
\n
Wann kommt die DSGVO-Zertifizierung?<\/h3>\n
Konkret: Wie l\u00e4uft die DSGVO-Zertifizierung ab?<\/h3>\n
Datenschutz-Zertifizierung f\u00fcr KMU<\/h3>\n
DSGVO-Zertifizierung voraussichtlich noch in diesem Jahr<\/h2>\n