Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Zertifizierungen nach der DS-GVO

29. Oktober 2017

Bereits mit dem bisherigen BDSG hatte der Gesetzgeber versucht, die Idee einer Zertifizierung nach einheitlichen Datenschutzstandards umzusetzen. In Artikel 9a BDSG – alt wurde festgelegt, dass datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen und das Ergebnis der Prüfung veröffentlichen können. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter sollte durch ein besonderes, später zu beschließendes Gesetz geregelt werden.

Dies ist jedoch nie erfolgt. In der Folge haben zahlreiche Zertifizierungsstellen versucht, mit ihren Standards am Markt erfolgreich zu sein. Da der Gesetzgeber für zertifizierte verantwortliche Stellen jedoch keine Erleichterungen oder sonstigen Vorteile definiert hatte, setzten sich die meisten Standards nicht durch. Erwähnenswert sind aus unserer Sicht beispielsweise das ULD-Gütesiegel der Aufsichtsbehörde in Schleswig-Holstein  (Unabhängiges Landeszentrum für Datenschutz) sowie die DSZ (DSZ Datenschutz Zertifizierungsgesellschaft mbH, Bonn), die von den beiden großen deutschen Datenschutzverbänden GDD und BvD ins Leben gerufen wurde und deren Vorgehensweise zur Zertifizierung vom damaligen Leiter der Aufsichtsbehörde in Nordrhein-Westfalen (LDI NRW) befürwortet wurde.

Mehr Relevanz von Zertifizierungsverfahren gemäß der DS-GVO

Nach der DS-GVO erhalten Zertifizierungen deutlich mehr Bedeutung. Dies liegt schon einmal an der grundsätzlich etwas anderen Ausrichtung der DS-GVO. An mehreren Stellen wird nämlich eine Nachweispflicht eingeführt. So heißt es in Art. 5 DS-GVO „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Auch Art. 32 DS-GVO, der festgelegt wie die Sicherheit der Verarbeitung zu gewährleisten ist, verpflichtet den Verantwortlichen, ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung, zu etablieren.

Alleine schon durch diese Vorgaben, kann es für Unternehmen daher künftig häufig sinnvoll sein, sich freiwillig auditieren und zertifizieren zu lassen. Auch ohne eine offizielle Anerkennung einer Zertifizierung durch die Aufsichtsbehörden, kann ein Nachweis über Datenschutzkonformität oder die Wirksamkeit der getroffenen Maßnahmen am besten dadurch erbracht werden, dass unabhängige dritte Stellen die Überprüfung durchführen. Eine erfolgreiche absolvierte Zertifizierung kann darüber hinaus auch als Marketinginstrument dienen.

Klare Vorgaben durch die DS-GVO

Der Gesetzgeber ist mit der DS-GVO noch weiter gegangen und definiert die Rahmenbedingungen für Zertifizierungs- und Akkreditierungsstellen. Zusätzlich schafft er Erleichterungen für Verantwortliche, die eine Zertifizierung erfolgreich abgelegt haben. So werden zunächst in Art. 42 und Art. 43 DS-GVO die Rahmenbedingungen für Zertifizierungsverfahren sowie die gesetzlichen Voraussetzungen für Zertifizierungsstellen festgelegt. Entscheidend ist hierbei, dass Zertifizierungsverfahren freiwillig und über ein transparentes Verfahren zugänglich sein müssen. Eine Zertifizierung mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der DS-GVO und berührt nicht die Aufgaben und Befugnisse der zuständigen Aufsichtsbehörden. Zertifizierungen können nur durch genehmigte Zertifizierungsstellen oder durch die Aufsichtsbehörden selbst für eine Maximaldauer von drei Jahren erteilt werden. Danach kann eine Verlängerung erfolgen, sofern die einschlägigen Voraussetzungen erfüllt sind. Um diesen Nachweis erbringen zu können wird in der Regel eine Rezertifizierung notwendig sein.

Zertifizierungsstellen

Regelungen zu Zertifizierungsstellen werden in der DS-GVO in Art. 43 definiert. Zertifizierungsstellen werden von der zuständigen Aufsichtsbehörde oder einer noch einzurichtenden nationalen Akkreditierungsstelle akkreditiert. Hierzu müssen sie nachweisen, dass sie

  1. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben;
  2. sich verpflichtet haben, die vorgegebenen Kriterien einzuhalten;
  3. Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt haben;
  4. Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und
  5. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Vorteile durch Zertifizierungen

Neben den bereits zuvor beschriebenen Vorteilen von Zertifizierungen zum besseren Nachweis der Einhaltung bestimmter gesetzlicher Vorschriften oder sicherheitstechnischer Standards definiert die DS-GVO weitere Konsequenzen, die durch eine Zertifizierung erreicht werden können. An den folgenden Stellen definiert die DS-GVO ganz konkret den möglichen Anwendungsbereich von Zertifizierungen. Demnach kann die Einhaltung eines genehmigten Zertifizierungsverfahrens

  1. nach Art. 24 Abs. 3 DS-GVO dem Verantwortlichen dazu dienen, die Erfüllung seiner Nachweispflicht gegenüber der Aufsichtsbehörde zu erfüllen,
  2. nach Art. 25 Abs. 3 DS-GVO dem Verantwortlichen dazu dienen, nachzuweisen, dass dessen Verarbeitungen die Anforderungen bezüglich datenschutzfreundlicher Voreinstellungen („privacy by default“, „privacy by design“) erfüllen,
  3. nach Art. 28 Abs. 5 DS-GVO einem Auftragsverarbeiter dazu dienen, dem Auftraggeber Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen getroffen wurden,
  4. nach Art. 32 Abs. 3 DS-GVO einem Verantwortlichen dazu dienen, nachzuweisen, dass geeignete technische und organisatorische Maßnahmen getroffen wurden um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Fazit

Es ist zu erwarten, dass die Bedeutung von Zertifizierungen mit der DS-GVO erheblich zunehmen wird. Bis es soweit ist, wird es jedoch noch etwas dauern. Derzeit gibt es weder akkreditierte Zertifizierungsstellen noch genehmigte Zertifizierungsverfahren. Über aktuelle Neuerungen werden wir informieren.