Das Thema „Datenschutz“ gewinnt immer mehr an Bedeutung. Die rasche technische Entwicklung hat die Verarbeitung von Daten so weit vereinfacht, dass große Mengen von Informationen gespeichert, ausgewertet und übermittelt werden können. Mehr Informationen bedeuten auch die Möglichkeit eines wirtschaftlichen Vorsprungs zu den Mitbewerbern. Der Schutz der Daten, insbesondere der personenbezogenen Daten ist folglich eine notwendige Konsequenz, die gleichzeitig dafür genutzt werden kann, das Image eines Unternehmens zu steigern, da das Bewusstsein der Bevölkerung bezüglich der Verwendung ihrer persönlichen Informationen immer weiter zunimmt. Es stellt sich jedoch hierbei die Frage, wie nach außen weitergetragen werden kann, dass ein Unternehmen einen hohen Datenschutzstandard aufweist. Die einfachste Lösung hierfür wäre, dies durch eine entsprechende Zertifizierung nachweisen zu lassen.
Mit der Ablösung der Datenschutzrichtlinie 95/46 EG, durch Datenschutz-Grundverordnung (DS-GVO) fanden auch Änderungen im Bereich der Zertifizierungen im Datenschutz statt.
Zertifizierungen vor der Datenschutz-Grundverordnung – Erfahrungen der Aufsichtsbehörde
Kontrollen durch die Aufsichtsbehörden, welche vor dem Eintritt der Datenschutz-Grundverordnung (DS-GVO) erfolgten, ließen erkennen, dass ein Mangel an einer vereinheitlichten Zertifizierung im Bereich des Datenschutzes besteht. So konnten die kontrollierten Unternehmen oftmals unterschiedlichste Zertifizierungen vorzeigen, jedoch war meist unklar, ob diese den datenschutzrechtlichen Anforderungen vollends genügten.
So decken bestehende Verfahren, wie beispielsweise das Informationssicherheitsmanagement nach ISO 27001, nur Teilbereiche des Datenschutzes ab, da der Fokus nicht auf den Schutz der Rechte und Freiheiten der betroffenen Personen gelegt wird, was gerade Gegenstand und Ziel der Datenschutz-Grundverordnung darstellt.
Grundstein für ein europäisch einheitliches Akkreditierungs- und Zertifizierungsverfahren mit der DS-GVO
Aufgrund der unterschiedlichen Zertifizierungen – die in den meisten Fällen keine klare Aussage über den datenschutzrechtlichen Stand jeweiliger Unternehmen vermitteln konnten- wurde der europäische Gesetzgeber aktiv und legte mit den Art. 42 und 43 DS-GVO den Grundstein für ein europäisch einheitliches Akkreditierungs- und Zertifizierungsverfahren im Bereich Datenschutz.
Der Art. 42 Abs. 1 DS-GVO weist darauf hin, dass mitunter auch die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen fördern sollen. Diese könnten als Nachweis dafür herangezogen werden, ob die datenschutzrechtlichen Bestimmungen bei Verarbeitungsvorgängen von den Verantwortlichen oder Auftragsverarbeitern eingehalten werden.
Bis sich ein einheitliches System etabliert hat, wird jedoch voraussichtlich einige Zeit vergehen, da die DS-GVO erst seit dem 25.05.2018 ihre Wirkung entfaltet hat.
Vorteile durch eine Zertifizierung
Innerhalb der DS-GVO finden sich laut der Datenschutzkonferenz Datenschutzkonferenz (DSK) des Bundes und der Länder konkrete Anwendungsbereiche, bei denen eine Zertifizierung herangezogenen werden kann, um die Einhaltung der datenschutzrechtlichen Bestimmungen der DS-GVO nachzuweisen. Dazu gehört z. B.:
- Erfüllung der Pflichten des Verantwortlichen (Art. 24 Abs. 3 DS-GVO)
- Garantien des Auftragsverarbeiters nach Art. 28 DS-GVO (vgl. Abs. 5 und 6 DS-GVO)
- Datenübermittlung an ein Drittland (Art. 46 Abs. 2 lit. f DS-GVO)
Weiterhin dürften Zertifikate für die öffentliche Darstellung, insbesondere um eine Imagesteigerung zu erzielen, nicht nachteilig sein. Beispielsweise könnte mit einer Zertifizierung Geschäftskunden sowie Verbrauchern vermittelt werden, dass datenschutzrechtliche Vorgaben eingehalten werden und deren Daten ausreichenden Schutz genießen.
Einhaltung der datenschutzrechtlichen Regelung nicht vernachlässigen!
Trotz des Bestehens einer Zertifizierung sollten Unternehmen auch weiterhin die datenschutzrechtlichen Vorgaben einhalten. Dies verdeutlicht der Art. 42 Abs. 4 DS-GVO, welcher besagt, dass eine Zertifizierung nicht die Verantwortung des Verantwortlichen oder des Auftragverarbeiters für die Einhaltung der Regelungen der DS-GVO mindert und ebenso die Aufgaben und Befugnisse der Aufsichtsbehörden nicht berührt.
Wo kann man eine Zertifizierung erhalten? – Zertifizierungsstellen
Art. 42 Abs. 5 DS-GVO gibt wieder, welche Stellen Zertifizierungen erteilen können. Demnach können akkreditierte Zertifizierungsstellen, aber auch zuständige Aufsichtsbehörden eine Zertifizierung gewähren. Eine Akkreditierung nimmt in Deutschland die Deutsche Akkreditierungsstelle GmbH (DAkkS) in Zusammenarbeit mit den Aufsichtsbehörden gemäß § 39 BDSG vor. Die Akkreditierungskriterien werden von den Aufsichtsbehörden entwickelt und basieren mitunter auf einschlägigen ISO-Normen, wie z.B. die ISO/IEC 17065, die Grundsätze und Anforderungen für die Kompetenzen und Unparteilichkeit der Zertifizierung von Produkten, Dienstleistungen und Prozessen beinhaltet.
Vorrausetzung für die Akkreditierung ist eine einvernehmliche Entscheidung zwischen den Aufsichtsbehörden und dem DAkkS, wofür ein speziell dafür zuständiger Ausschuss eingerichtet wurde. Erst nach einer einvernehmlichen Entscheidung beider Parteien sowie der Erteilung einer Befugnis durch die zuständige Aufsichtsbehörde ist die Zertifizierungsstelle befugt tätig zu werden und kann nach Prüfung, ob die DS-GVO von jeweiligen Antragenden eingehalten wird, eine Zertifizierung erteilen.
Zertifizierungsvorrausetzungen
Damit eine Zertifizierung erfolgen kann, sind der Zertifizierungsstelle alle erforderlichen Informationen zur Verfügung zu stellen. Ebenso sollte der Zertifizierungsstelle die Möglichkeit gewährt werden, sich Zugang zu den betroffenen Verarbeitungstätigkeiten zu verschaffen (Art. 42 Abs. 6 DS-GVO).
Die Kenntnis über eigene Verarbeitungsvorgänge sowie eine transparente Dokumentation dürfte hierbei von Vorteil sein.
Geltungsdauer eines Zertifikats
Im Art. 42 Abs. 7 DS-GVO wird erklärt, dass eine Zertifizierung nur zeitlich begrenzt zu erteilen ist. Die Geltungshöchstdauer beträgt dabei 3 Jahre, welche bei Vorhandensein der einschlägigen Vorrausetzungen verlängert werden kann.
Die zuständige Zertifizierungsstelle sowie Aufsichtsbehörde besitzen jedoch das Recht die Zertifizierung jederzeit zu widerrufen, sofern die Vorrausetzungen für die Zertifizierung nicht oder nicht mehr gegeben sind.
Fazit
Zertifizierungen nach der DS-GVO haben das Potenzial aufzuzeigen, ob die Verarbeitungsvorgänge eines Verantwortlichen oder eines Auftragsverarbeiters den gesetzlichen Datenschutzanforderungen gerecht werden.
Voraussetzung hierfür ist jedoch, dass ein praxistaugliches Zertifizierungsverfahren durch die Aufsichtsbehörden und DAkkS auf die Beine gestellt wird.
Bei Fragen zum Thema oder anderen datenschutzrechtlichen Fragestellungen können Sie sich gern an uns wenden. Wir bieten Ihnen kompetente und fachkundige Unterstützung rund um den Bereich Datenschutz.
