Durch Datenschutzaudits und die entsprechenden Zertifizierungen können Unternehmen dokumentieren, dass sie die gesetzlichen Vorgaben zum Datenschutz sowie die Vorgaben des jeweiligen Audit-Standards einhalten. Die wesentlichen Ziele, die Unternehmen durch eine Auditierung verfolgen, bestehen in der Erlangung von Wettbewerbsvorteilen und der Dokumentation der technischen und organisatorischen Maßnahmen gegenüber Auftraggebern. Gerade für Auftragnehmer von Auftragsverarbeitungen kann eine Zertifizierung besonders interessant sein.
Denn nach Art. 28 DS-GVO hat sich ein Auftraggeber das Recht einräumen zu lassen, sich beim Auftragnehmer einer Auftragsverarbeitung von der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen zu können. Derartige Kontrollen, die auch vor Ort stattfinden können, bedeuten sowohl für Auftragnehmer als auch Auftraggeber einen enormen Zeit- und Kostenaufwand. Hier bietet es sich für den Auftragnehmer an, sich von externen Stellen auditieren zu lassen, und durch Vorlage des Ergebnisses der Auditierung, dem Auftraggeber nachzuweisen, dass die vereinbarten technischen und organisatorischen Maßnahmen umgesetzt wurden.
Genau hier setzte der Standard DS-BvD-GDD-01 der DSZ (DSZ Datenschutz Zertifizierungsgesellschaft mbH) an. Entwickelt wurde der Standard von den Experten der Fachverbände BvD e.V. (Berufsverband der Datenschutzbeauftragten Deutschlands) und GDD e.V. (Gesellschaft für Datenschutz und Datensicherheit) mit Begleitung des LDI NRW (Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen). Ziel dieses Standards war es, durch ein transparentes Verfahren, alle für eine Auftragsverarbeitung relevanten Aspekte durch unabhängige Auditoren zu dokumentieren, die Ergebnisse öffentlich verfügbar zu machen und letztendlich für Auftraggeber die gesetzlich festgelegte Kontrollpflicht zu erfüllen.
Der Standard wurde befürwortet vom LDI NRW. Zudem erfüllt er die Anforderungen des Düsseldorfer Kreises für die Vergabe von Prüfzertifikaten laut Beschluss vom 25./26. Februar 2014.
Wir haben uns daher bereits zu Beginn der Einführung Standards DS-BvD-GDD-01 zertifizieren lassen. Die Zertifizierungsurkunde können Sie hier einsehen.
Mit Inkrafttreten der DS-GVO wurden neue Möglichkeiten im Bereich der Verhaltensregeln und Zertifizierungen eröffnet. Es ist nun gesetzlich vorgesehen, dass Zertifizierungsstellen sich mit ihrem Zertifizierungsstandard durch die Aufsichtsbehörden oder speziell hierfür zu errichtende Akkreditierungsstellen akkreditieren lassen können. Zertifizierungen, die von einer solchen akkreditierten Zertifizierungsstelle erteilt werden, werden künftig enorm an Bedeutung gewinnen. Die zertifizierte Stelle kann anhand eines solchen Zertifikats nachweisen, dass sie sich gemäß einem von den Aufsichtsbehörden genehmigten und befürworteten Standard, hat prüfen lassen. Der bisherige Standard DS-BvD-GDD-01 wurde daher an die DS-GVO angepasst und befindet sich aktuell zur Prüfung bei der Landesbeauftragten für Datenschutz- und Informationsfreiheit Nordrhein-Westfalen.
Sobald der neue Standard DS-BvD-GDD-02 durch die Aufsichtsbehörden genehmigt ist, werden wir unsere Auditoren nach diesem Standard ausbilden und zertifizieren lassen. Das heißt, wir können einerseits Unternehmen bei der Zertifizierung begleiten und auf das Audit vorbereiten. Oder wir können das eigentliche Audit nach dem Standard der DSZ in Ihrem Unternehmen durchführen.
Vorteile für Auftragnehmer und Auftraggeber