DSGVO Zertifizierung – ein langer Weg! (und nicht immer aus der Abteilung “Lug und Trug”)

Zertifikate sind als “externes Prüfsiegel” ein guter Weg um Vertrauen zu generieren und Verlässlichkeit nach festgelegten Standards zu belegen. Der Weg ist oft weit und manchmal steinig um ein Zertifikat zu erlagen. Es wird sich auch im Datenschutz lohnen, wenn das Vorhandensein von Zertifikaten mehr und mehr zur “Einkaufsbedingung” wird. Und, es erleichtert auch die Auswahl der eigenen Dienstleister und Partner!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: DSGVO Zertifizierung – ein langer Weg!

DSGVO Zertifizierung – ein langer Weg!

Zertifikate bieten Sicherheit und Vertrauen. Sie ermöglichen einen schnellen, ersten Vergleich zwischen Unternehmen. In vielen Bereichen werden regelmäßig Zertifikate vergeben. Obwohl auch die DSGVO ausdrücklich ein Zertifizierungsverfahren vorsieht, lassen die DSGVO-Zertifikate bisher noch auf sich warten.

Chancen und Auswirkungen einer DSGVO Zertifizierung

Durch die Erlangung eines DSGVO-Zertifikats beweist ein Unternehmen, dass es bestimmte datenschutzrechtliche Anforderungen erfüllt.

Vorteile der Zertifizierung

Gemäß Art. 42 Abs. 1 DSGVO obliegt es den Mitgliedstaaten, Aufsichtsbehörden und dem Ausschuss der Europäischen Kommission, insbesondere auf Unionsebene, die Einführung von datenschutzspezifischen Zertifizierungsverfahren zu fördern. Die Vorteile einer Zertifizierung sind im Erwägungsgrund 100 treffend zusammengefasst: Mittels Zertifizierungen wird die Transparenz gefördert, die Einhaltung der DSGVO verbessert und ein rascher Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen geschaffen.

Durch Zertifizierungen gelingt es Unternehmen die Einhaltung der DSGVO für bestimmte Verarbeitungsvorgänge nachzuweisen und somit ihren Marktwert zu steigern. Da sich die Zertifizierung immer nur auf Verarbeitungstätigkeiten bezieht, kann durch sie jedoch nicht eine umfassende DSGVO-Konformität für ein Unternehmen bestätigt werden.

Rechtliche Konsequenzen einer Zertifizierung

Eine Zertifizierung begründet ein Vertragsverhältnis zwischen der Zertifizierungsstelle bzw. der Aufsichtsbehörde und dem zertifizierten Unternehmen. Neben der Verpflichtung eines Unternehmens sich im Allgemeinen an die Anforderungen der DSGVO zu halten, ist ein zertifiziertes Unternehmen ebenso verpflichtet die Anforderungen der Zertifizierung für die vorgesehene Dauer einzuhalten.

Ein Zertifikat ermöglicht es dem Verantwortlichen seine Nachweis- und Rechenschaftspflichten (Art. 24 Abs. 3, 5 Abs. 2 DSGVO) zu erfüllen oder dem Auftragsverarbeiter ein „Faktor“ vorzulegen, um hinreichende Garantien für eine ordnungsgemäße Durchführung einer Auftragsverarbeitung (Art. 28 Abs. 5 DSGVO) nachzuweisen. Auch bei der Festlegung der Höhe einer Geldbuße kann eine Zertifizierung Berücksichtigung finden (Art. 83 Abs. 2 lit. j DSGVO)

Ablauf eines Zertifizierungsverfahrens

Der Ablauf eines Zertifizierungsverfahrens ist sehr komplex und wird in Art. 42 und 43 DSGVO geregelt. Die Erteilung einer Zertifizierung erfolgt durch die Zertifizierungsstelle oder durch die zuständige Aufsichtsbehörde. In Deutschland werden die Zertifizierungsstellen von der deutschen Akkreditierungsstelle (DAkkS) akkreditiert und kontrolliert. Die Kriterien nach welchen eine Zertifizierung erteilt wird, werden von der zuständigen Aufsichtsbehörde oder dem EDSA genehmigt.

Eine bereits erteilte Zertifizierung wird regelmäßig überprüft und kann ggfs. widerrufen werden. Die Dauer einer Zertifizierung beträgt maximal drei Jahre. Eine Möglichkeit zur Verlängerung besteht immer dann, wenn die einschlägigen Kriterien weiterhin erfüllt sind.

Aktuelle Entwicklungen

Der europäische Datenschutzausschuss (EDSA) hat im Juni 2019 „Leitlinien 1/2018 zur Zertifizierung und zur Ermittlung von Zertifizierungskriterien gemäß Artikel 42 und 43 der Verordnung“ veröffentlicht. Die Leitlinien erläutern die Rollen am Zertifizierungsverfahren Beteiligten und legt Anforderungen und Kriterien für die Erteilung einer Zertifizierung fest.

Vor der DSGVO bestand auf Landesebene teilweise die Möglichkeit einer datenschutzrechtlichen Zertifizierung. Insbesondere die Datenschutzbehörde in Schleswig-Holstein (ULD) bot in der Vergangenheit die Möglichkeit einer Zertifizierung an. Seit Anwendbarkeit der DSGVO heißt es nun, dass geprüft werde, inwieweit eine Zertifizierung nach der DSGVO angeboten werden kann. Bisher gibt es in Deutschland noch keine Zertifizierungsstellen und noch keine DSGVO-Zertifikate i.S.v. Art 42 DSGVO, dies gilt auch für die Zertifizierung nach der ISO 27701 Norm.

Das ULD leitet aber auch seit der Anwendbarkeit der DSGVO weiterhin den Arbeitskreis Zertifizierung (AK Zertifizierung) der deutschen Datenschutzaufsichtsbehörden. In seinem Tätigkeitsbericht informierte man jüngst über dessen Arbeit und den Problemen bei der europäischen Koordination beim Verabschieden der Akkreditierungsregeln.

Ein langer Weg

Das Verfahren für die Erteilung von Zertifikaten ist sehr komplex. Insbesondere die Festlegung der Kriterien für die Zertifizierung ist äußerst zweischneidig. Einerseits müssen diese von Beginn an unmissverständlich und eindeutig sein und auf der anderen Seite noch genügend Flexibilität bieten, damit verschiedene Branchen und Unternehmen die Kriterien erfüllen können. Eine weitere Herausforderung stellen EU-weite Zertifizierungen dar, weil hier teilweise auch nationale Besonderheiten berücksichtigt werden müssen.

Sobald es für Unternehmen möglich ist, DSGVO-Zertifikate zu erlangen, wird sich zeigen, wie viele Unternehmen die datenschutzrechtlichen Anforderungen schon soweit implementiert haben, dass Ihnen ein Zertifikat tatsächlich erteilt wird. Für die Abgrenzung zu anderen Marktteilnehmern ist der Erhalt eines Zertifikats eine gute Möglichkeit.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: DSGVO Zertifizierung – ein langer Weg!.