standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogen

Datenschutz-Zertifizierungen nach der DS-GVO

[Update April 2019] Die Aufsichtsbehörden überarbeiten offenbar ihre Webauftritte und räumen in diesem Zuge kräftig auf. Aus diesem Grund funktionieren nicht mehr alle externen Links. Wir bitten das zu entschuldigen. [Ende Update]

Bereits mit dem bisherigen BDSG hatte der Gesetzgeber versucht, die Idee einer Zertifizierung nach einheitlichen Datenschutzstandards umzusetzen. In Artikel 9a BDSG – alt wurde festgelegt, dass datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen und das Ergebnis der Prüfung veröffentlichen können. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter sollte durch ein besonderes, später zu beschließendes Gesetz geregelt werden.

Dies ist jedoch nie erfolgt. In der Folge haben zahlreiche Zertifizierungsstellen versucht, mit ihren Standards am Markt erfolgreich zu sein. Da der Gesetzgeber für zertifizierte verantwortliche Stellen jedoch keine Erleichterungen oder sonstigen Vorteile definiert hatte, setzten sich die meisten Standards nicht durch. Erwähnenswert sind aus unserer Sicht beispielsweise das ULD-Gütesiegel der Aufsichtsbehörde in Schleswig-Holstein  (Unabhängiges Landeszentrum für Datenschutz) sowie die DSZ (DSZ Datenschutz Zertifizierungsgesellschaft mbH, Bonn), die von den beiden große deutschen Datenschutzverbänden GDD und BvD ins Leben gerufen wurde und deren Vorgehensweise zur Zertifizierung vom damaligen Leiter der Aufsichtsbehörde in Nordrhein-Westfalen (LDI NRW) befürwortet wurde.

Mehr Relevanz von Zertifizierungsverfahren gemäß der DSGVO

Nach der DSGVO erhalten Zertifizierungen deutlich mehr Bedeutung. Dies liegt schon einmal an der grundsätzlich etwas anderen Ausrichtung der DSGVO. An mehreren Stellen wird nämlich eine Nachweispflicht eingeführt. So heißt es in Art. 5 DSGVO „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Auch Art. 32 DSGVO, der festgelegt wie die Sicherheit der Verarbeitung zu gewährleisten ist, verpflichtet den Verantwortlichen, ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung, zu etablieren.

Alleine schon durch diese Vorgaben, kann es für Unternehmen daher künftig häufig sinnvoll sein, sich freiwillig auditieren und zertifizieren zu lassen. Auch ohne eine offizielle Anerkennung einer Zertifizierung durch die Aufsichtsbehörden, kann ein Nachweis über Datenschutzkonformität oder die Wirksamkeit der getroffenen Maßnahmen am besten dadurch erbracht werden, dass unabhängige dritte Stellen die Überprüfung durchführen. Eine erfolgreiche absolvierte Zertifizierung kann darüber hinaus auch als Marketinginstrument dienen.

Klare Vorgaben durch die DSGVO

Der Gesetzgeber ist mit der DSGVO noch weiter gegangen und definiert die Rahmenbedingungen für Zertifizierungs- und Akkreditierungsstellen.  Zusätzlich schafft er Erleichterungen für Verantwortliche, die eine Zertifizierung erfolgreich abgelegt haben. So werden zunächst in Art. 42 und Art. 43 DSGVO die Rahmenbedingungen für Zertifizierungsverfahren sowie die gesetzlichen Voraussetzungen für Zertifizierungsstellen festgelegt. Entscheidend ist hierbei, dass Zertifizierungsverfahren freiwillig und über ein transparentes Verfahren zugänglich sein müssen. Eine Zertifizierung mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der DSGVO und berührt nicht die Aufgaben und Befugnisse der zuständigen Aufsichtsbehörden. Zertifizierungen können nur durch genehmigte Zertifizierungsstellen oder durch die Aufsichtsbehörden selbst für eine Maximaldauer von drei Jahren erteilt werden. Danach kann eine Verlängerung erfolgen, sofern die einschlägigen Voraussetzungen erfüllt sind. Um diesen Nachweis erbringen zu können wird in der Regel eine Rezertifizierung notwendig sein.

Zertifizierungsstellen

Regelungen zu Zertifizierungsstellen werden in der DSGVO in Art. 43 definiert. Zertifizierungsstellen werden von der zuständigen Aufsichtsbehörde oder einer noch einzurichtenden nationalen Akkreditierungsstelle akkreditiert. Hierzu müssen sie nachweisen, dass sie

  1. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben;
  2. sich verpflichtet haben, die vorgegebenen Kriterien einzuhalten;
  3. Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt haben;
  4. Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und
  5. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Vorteile durch Zertifizierungen

Neben den bereits zuvor beschriebenen Vorteilen von Zertifizierungen zum besseren Nachweis der Einhaltung bestimmter gesetzlicher Vorschriften oder sicherheitstechnischer Standards definiert die DSGVO weitere Konsequenzen, die durch eine Zertifizierung erreicht werden können. An den folgenden Stellen definiert die DSGVO ganz konkret den möglichen Anwendungsbereich von Zertifizierungen. Demnach kann die Einhaltung eines genehmigten Zertifizierungsverfahrens

  1. nach Art. 24 Abs. 3 DSGVO dem Verantwortlichen dazu dienen, die Erfüllung seiner Nachweispflicht gegenüber der Aufsichtsbehörde zu erfüllen,
  2. nach Art. 25 Abs. 3 DSGVO dem Verantwortlichen dazu dienen, nachzuweisen, dass dessen Verarbeitungen die Anforderungen bezüglich datenschutzfreundlicher Voreinstellungen („privacy by default“, „privacy by design“) erfüllen,
  3. nach Art. 28 Abs. 5 DSGVO einem Auftragsverarbeiter dazu dienen, dem Auftraggeber Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen getroffen wurden,
  4. nach Art. 32 Abs. 3 DSGVO einem Verantwortlichen dazu dienen, nachzuweisen, dass geeignete technische und organisatorische Maßnahmen getroffen wurden um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Fazit

Es ist zu erwarten, dass die Bedeutung von Zertifizierungen mit der DSGVO erheblich zunimmt. Bis es soweit ist, wird es jedoch noch etwas dauern. Derzeit gibt es weder akkreditierte Zertifizierungsstellen noch genehmigte Zertifizierungsverfahren. Über aktuelle Neuerungen werden wir informieren.