{"id":6217,"date":"2022-09-01T16:08:05","date_gmt":"2022-09-01T14:08:05","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6217"},"modified":"2022-09-01T16:08:05","modified_gmt":"2022-09-01T14:08:05","slug":"update-dsgvo-zertifizierung-kuenftiges-instrument-fuer-datentransfers","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/update-dsgvo-zertifizierung-kuenftiges-instrument-fuer-datentransfers\/","title":{"rendered":"Update DSGVO-Zertifizierung: K\u00fcnftiges Instrument f\u00fcr Datentransfers?"},"content":{"rendered":"<p>Datentransfers ins Nicht-EU-Ausland \u2013 etwa in die USA \u2013 spielen f\u00fcr die Wirtschaft hierzulande eine immense Rolle: Cloud-Dienste oder Tools f\u00fcr die Website wie Analyse-Werkzeuge kommen in aller Regel aus den USA. Mittlerweile kennt jeder die bestehende Problematik: Nach dem <a href=\"https:\/\/www.psw-consulting.de\/blog\/2020\/07\/28\/schrems-ii\/\">Schrems II-Urteil<\/a> ist das \u00dcbermitteln personenbezogener Daten in die USA kaum rechtskonform m\u00f6glich. Der m\u00f6gliche Nachfolger \u2013 das Trans-Atlantic Data Privacy Framework \u2013 l\u00e4sst noch auf sich warten. Und so haben die Datenschutzaufsichtsbeh\u00f6rden j\u00fcngst dargelegt, dass auch eine DSGVO-Zertifizierung als Rechtsgrundlage f\u00fcr Datentransfers m\u00f6glich w\u00e4re. Im heutigen Beitrag werfen wir erst einen Blick auf DSGVO-Zertifizierungen, schlagen dann die Br\u00fccke zu m\u00f6glichen Datentransfers in unsichere Drittstaaten, geben Euch konkrete Handlungsempfehlungen und blicken in die Zukunft der DSGVO-Zertifizierung und deren \u00c4nderungen.<\/p>\n<p>&nbsp;<\/p>\n<h2>DSGVO-Zertifizierung k\u00f6nnte noch dieses Jahr kommen<\/h2>\n<p>Sie wurde lange diskutiert \u2013 und bald, wom\u00f6glich noch in diesem Jahr, k\u00f6nnte sie kommen: Die DSGVO-Zertifizierung. Die DSGVO-Zertifizierung kann helfen, aktuell bestehende Probleme mit dem Datenschutz zu l\u00f6sen: Datenschutzvorf\u00e4lle d\u00fcrften seltener passieren, da ausschlie\u00dflich IT-Produkte und Dienstleistungen zertifiziert werden, die die Vorgaben des Datenschutzrechts erf\u00fcllen. Eine DSGVO-Zertifizierung gem\u00e4\u00df <a href=\"https:\/\/dejure.org\/gesetze\/DSGVO\/42.html\">Art. 42 DSGVO<\/a> hat viele Vorteile:<\/p>\n<ul>\n<li>Organisationen mit DSGVO-Zertifizierung k\u00f6nnen die Einhaltung der DSGVO nachweisen.<\/li>\n<li>Ein solcher Nachweis unterst\u00fctzt bei der Rechenschaftspflicht gem. <a href=\"https:\/\/dejure.org\/gesetze\/DSGVO\/5.html\"> 5 Abs. 2 DSGVO<\/a>.<\/li>\n<li>Die DSGVO-Zertifizierung kann als G\u00fctesiegel betrachtet werden, sodass sie zur Imagepflege bzw. im Marketing genutzt werden kann.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<blockquote><p>Weitere Vorteile und Informationen zu den Planungen rund um die DSGVO-Zertifizierung findet Ihr in unserem Beitrag <a href=\"https:\/\/www.psw-consulting.de\/blog\/2022\/05\/18\/dsgvo-zertifizierung-datenschutz-alleinstellungsmerkmal-fuer-unternehmen\/\">\u201eDSGVO-Zertifizierung: Datenschutz-Alleinstellungsmerkmal f\u00fcr Unternehmen\u201c<\/a>.<\/p><\/blockquote>\n<p>Neben den eben genannten Vorteilen k\u00f6nnte sich ein weiterer Vorteil dazugesellen:<\/p>\n<p>&nbsp;<\/p>\n<h3>DSGVO-Zertifizierung als Basis f\u00fcr Datentransfers?<\/h3>\n<p>Der Europ\u00e4ische Datenschutzausschuss (EDSA) hat die DSGVO-Zertifizierung als potenzielles Instrument f\u00fcr Datentransfers beurteilt und hierzu <a href=\"https:\/\/edpb.europa.eu\/our-work-tools\/documents\/public-consultations\/2022\/guidelines-072022-certification-tool-transfers_de\">Leitlinien ver\u00f6ffentlicht<\/a>. Hintergrund ist, dass Unternehmen derzeit kaum rechtssicher agieren k\u00f6nnen, wenn sie US-Dienste nutzen m\u00f6chten oder \u2013 in Ermangelung von Alternativen \u2013 zum Teil sogar nutzen m\u00fcssen. Wenngleich es bereits die Ank\u00fcndigung zum Privacy Shield-Nachfolger <a href=\"https:\/\/www.psw-consulting.de\/blog\/2022\/04\/20\/trans-atlantic-data-privacy-framework-kommt-das-privacy-shield-2-0\/\">Trans-Atlantic Data Privacy Framework (TADPF)<\/a> gab, folgten dieser Ank\u00fcndigung noch keine sp\u00fcrbaren Taten. Somit herrscht seit mehr als zwei Jahren Rechtsunsicherheit bei Datentransfers in unsichere Drittl\u00e4nder wie den USA.<\/p>\n<p>Mit den neu aufgelegten \u201eLeitlinien \u00fcber die Zertifizierung als Instrument f\u00fcr den Transfer\u201c verfolgt der EDSA das Ziel, die DSGVO-Zertifizierung als Datentransfer-Instrument so auszuarbeiten, dass die praktische Anwendung endlich m\u00f6glich wird und so zeitnah wie m\u00f6glich eine Alternative zum Schlie\u00dfen der EU Standarddatenschutzklauseln mit zus\u00e4tzlichen Sicherungsmechanismen \u2013 wie Pseudonymisierung, Anonymisierung und Verschl\u00fcsselung und der obligatorischen Riskoanalyse (Transfer Impact Assessment\/TIA). Als stellvertretender EDSA-Vorsitzender findet Ventsislav Karadjov die Leitlinien \u201ebahnbrechend, da sie die allererste praktische Anleitung zur Zertifizierung als Instrument f\u00fcr \u00dcbermittlungen bieten \u2013 ein neues \u00dcbermittlungsinstrument, das durch die DSGVO eingef\u00fchrt wurde. Die Leitlinien geben Hinweise, wie dieses Instrument in der Praxis eingesetzt werden kann und wie es dazu beitragen kann, ein hohes Datenschutzniveau bei der \u00dcbermittlung personenbezogener Daten aus dem Europ\u00e4ischen Wirtschaftsraum in Drittl\u00e4nder aufrechtzuerhalten.\u201c<\/p>\n<p>&nbsp;<\/p>\n<h3>DSGVO-Zertifizierung als Transferinstrument<\/h3>\n<p>Damit sich die DSGVO-Zertifizierung als Instrument f\u00fcr Datentransfers eignet, m\u00fcssen zus\u00e4tzliche Kriterien erf\u00fcllt werden. Dazu geh\u00f6rt beispielsweise, dass Rechtsvorschriften in Drittl\u00e4ndern bewertet werden m\u00fcssen, aber auch allgemeine Pflichten von Datenexporteuren und \u2013importeuren. Weiter m\u00fcsse es Vorschriften zur Weiterleitung von Daten geben, au\u00dferdem Rechtsbehelfe und M\u00f6glichkeiten der Durchsetzung, Verfahren, aber auch Ma\u00dfnahmen f\u00fcr bestimmte Situationen.<\/p>\n<p>Das allein gen\u00fcgt immer noch nicht: Zus\u00e4tzlich gilt es, den Bedarf f\u00fcr erg\u00e4nzende Schutzma\u00dfnahmen zu pr\u00fcfen. Das kennt Ihr bereits aus den Standardvertragsklauseln (SCC) der EU und dem Transfer Impact Assessment (TIA) (zum Weiterlesen: <a href=\"https:\/\/www.psw-consulting.de\/blog\/2021\/09\/23\/drittlanduebermittlung-transfer-impact-assessment-tia-und-neue-standardvertragsklauseln\/\">\u201eDrittland\u00fcbermittlung: TIA und neue Standardvertragsklauseln\u201c<\/a>). Auch in Zukunft m\u00fcssen Datentransfers mit den dazugeh\u00f6rigen Bedingungen also ausgiebig gepr\u00fcft werden.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2>Handlungsempfehlungen und Ausblick zur DSGVO-Zertifizierung<\/h2>\n<p>Der Einf\u00fchrung der DSGVO-Zertifizierung kann durchaus mit Optimismus begegnet werden \u2013 erst recht, nachdem der EDSA darin ein Werkzeug f\u00fcr Datentransfers sieht. Durch die Zertifizierung d\u00fcrfte das Datenschutzniveau insgesamt ansteigen, w\u00e4hrend Unternehmen herausgefordert werden, Datenschutz noch mehr als positiven Wettbewerbsfaktor wahrzunehmen.<\/p>\n<p>Dass eine DSGVO-Zertifizierung Basis von Datentransfers werden k\u00f6nnte, ist weiter positiv zu bewerten: Der rechtliche Rahmen wird ein St\u00fcck weit klarer als bisher. Als Allheilmittel f\u00fcr Datentransfers sollte die DSGVO-Zertifizierung jedoch nicht bewertet werden, denn auch in Zukunft wird eine Risikoanalyse unabdingbar sein.<\/p>\n<p>Der EDSA erlaubt noch bis 30. September 2022 Kommentare zu den neuen Leitlinien, bevor diese konsolidiert werden, sodass die finale Fassung noch in diesem Jahr fertig werden k\u00f6nnte. Auch mit den DSGVO-Zertifizierungen ist noch in diesem Jahr zu rechnen. Deshalb: Bleibt diesbez\u00fcglich auf dem Laufenden und pr\u00fcft Eure Datenstr\u00f6me. F\u00fcr die DSGVO-Zertifizierung lohnt es, sich \u00fcber Konformit\u00e4tsbewertungsprogramme wie dem Zertifizierungsprogramm \u201einformation privacy standard\u201c zu informieren. Erste Pr\u00fcfkataloge erblicken gerade das Licht der Welt \u2013 es wird also konkret! Wenn Ihr Unterst\u00fctzung auf dem Weg zur DSGVO-Konformit\u00e4t und damit zur DSGVO-Zertifizierung braucht oder wenn Ihr Fragen zu Datentransfers habt, nehmt einfach <a href=\"https:\/\/www.psw-consulting.de\/#kontakt\">Kontakt<\/a> mit uns auf. Wir unterst\u00fctzen Euch \u2013 passgenau und immer auf Augenh\u00f6he!<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Datentransfers ins Nicht-EU-Ausland \u2013 etwa in die USA \u2013 spielen f\u00fcr die Wirtschaft hierzulande eine immense Rolle: Cloud-Dienste oder Tools f\u00fcr die Website wie Analyse-Werkzeuge kommen in aller Regel aus den USA. Mittlerweile kennt jeder die bestehende Problematik: Nach dem Schrems II-Urteil ist das \u00dcbermitteln personenbezogener Daten in die USA kaum rechtskonform m\u00f6glich. Der m\u00f6gliche &hellip; <\/p>\n<p class=\"read-more\"><a class=\"btn btn-default\" href=\"https:\/\/www.psw-consulting.de\/blog\/update-dsgvo-zertifizierung-kuenftiges-instrument-fuer-datentransfers\/\"> Mehr Lesen<span class=\"screen-reader-text\">  Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":11,"featured_media":6219,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[111,46],"tags":[3,138,141,152,58],"class_list":["post-6217","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-rechtliches","tag-datenschutz","tag-dsgvo","tag-dsgvo-zertifizierung","tag-update","tag-zertifizierung"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6217","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=6217"}],"version-history":[{"count":1,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6217\/revisions"}],"predecessor-version":[{"id":6218,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6217\/revisions\/6218"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/6219"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=6217"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=6217"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=6217"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}