Datenschutz Zertifizierung

Datenschutz VerstehenDatenschutz Zertifizierung

Zertifizierungen dienen dem Nachweis von einzuhaltenden Anforderungen. Sie stellen dabei oftmals ein Qualitätsmerkmal dar, weil sie durch unabhängige Zertifizierungsstellen wie z.B. den TÜV vergeben werden. Eine sichere Datenverarbeitung durch Unternehmen ist zur heutigen Zeit ein immer wichtiger werdender Bestandteil. Der Wunsch von Kunden, ihre Daten in sichere Hände zu geben wächst dabei stetig mit der Komplexität der Verarbeitungen sowie der Sensibilität der verarbeiteten Daten. Eine unabhängige Bewertung über den datenschutzrechtlichen Standard des Unternehmens kann dem Kunden somit Aufschluss darüber geben, wie mit den Daten umgegangen wird.   

Eine Zertifizierung wird nach erfolgreicher Prüfung an das geprüfte Unternehmen übergeben. Grundsätzlich dient das Bundesdatenschutzgesetz (BDSG) als Grundlage für den Bewertungsmaßstab. Es ist jedoch auch möglich nach Kriterien der europäischen Datenschutz-Grundverordnung (DSGVO) eine Zertifizierung zu definieren.

 

Datenschutz-Zertifizierung nach Art. 42 DSGVO

Die DSGVO bietet mit dem Art. 42 DSGVO eine Regelung zur Datenschutz-Zertifizierung. Ein nach der DSGVO ausgestelltes Zertifikat soll einen Nachweis darüber erbringen, dass datenschutzrechtliche Anforderungen vom Halter der Zertifizierung eingehalten werden. Hierzu zählt beispielsweise, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen zur Sicherheit der Daten vorsieht vgl. Art. 24 Abs. 3 DSGVO.  Bislang gibt es jedoch noch keine endgültige Umsetzung der Zertifizierung entsprechend der DSGVO. Es besteht überdies die Möglichkeit einer europaweiten gültigen Zertifizierung, welche Aufgrund eines europäischen Datenschutzausschusses zustande kommen könnte. Eine solche Zertifizierung könnte europaweite Anforderungen in global agierenden Unternehmen sicherstellen. Doch auch dies ist zur heutigen Zeit noch nicht realisierbar. Sollten Zertifizierungsverfahren zukünftig gemäß der DSGVO möglich sein, werden diese im Sinne des Art. 42 Abs. 5 DSGVO durch zuständige Aufsichtsbehörden oder durch eine andere akkreditierte Stelle durchgeführt. 

Eine Voraussetzung der Zertifizierung ergibt sich dabei aus Art. 42 Abs. 6 DSGVO, wobei der Verantwortliche oder der Auftragsverarbeiter alle zur Durchführung des Zertifizierungsverfahren erforderlichen Informationen zur Verfügung stellen muss. Dies verdeutlicht, dass eine transparente Dokumentation von Verarbeitungstätigkeiten weiterhin nicht nur eine große Rolle spielen, sondern auch Vorteile für die Zertifizierung haben wird.

 

Unterschied zur Zertifizierung nach ISO 27001

Obwohl Zertifizierungen gemäß der DSGVO nach aktuellem Stand noch auf sich warten lassen, ist die Suche nach international anerkannten Zertifizierungen hoch. Zum jetzigen Zeitpunkt kann die Zertifizierung nach ISO 27001 von Unternehmen herangezogen werden. Die Zertifizierung bietet die Möglichkeit ein professionelles Sicherheitsmanagement im Unternehmen aufzubauen und zu etablieren. Risiken aufgrund einer nicht ausreichenden Informationssicherheit sollen hierdurch minimiert und verhindert werden. Durch die Implementierung eines Informationssicherheits-Managementsystem (ISMS) soll die Vertraulichkeit von Informationen erhöht, internationale Anforderungen erfüllt und IT-Risiken kontrolliert werden und hierdurch Wettbewerbsvorteile gesteigert werden. Die positive Prüfung eines Unternehmens steht bei jeder Zertifizierung im Vordergrund. Eine Zertifizierung nach ISO 27001 erhöht die Vollständigkeit und Richtigkeit von technischen und organisatorischen Maßnahmen (TOM), welche insbesondere gem. Art. 32 DSGVO gefordert sind. Dem gegenüber steht die oben beschriebene Zertifizierung nach Vorgaben der DSGVO. Beide Zertifizierungen unterscheiden sich insbesondere durch die Ausrichtung des Sicherheitsgedanken. Während sich die Zertifizierung nach ISO 27001 auf die Informationssicherheit konzentriert, also die Sicherheit jeglicher Informationen im Unternehmen. Liegt der Fokus der Zertifizierung gemäß der DSGVO auf der sicheren Verarbeitung personenbezogener Daten. In Bezug auf die Einhaltung der datenschutzrechtlichen Anforderungen, wäre eine Zertifizierung nach der DSGVO vorzuziehen, da eine ISO 27001 Zertifizierung zwar die Informationssicherheit im Allgemeinen verstärkt, sich jedoch nicht genug auf den Datenschutz fixiert ist.

ISO27701 als Datenschutz-Zertifizierung?

Der fehlende Bezug der ISO 27001 Zertifizierung zum Datenschutz könnte jedoch durch eine ergänzende Zertifizierung erbracht werden. Gemeint ist die Zertifizierung ISO 27701. Dieser Name unterscheidet sich absichtlich nur minimal vom Vorgänger, denn beide Zertifizierungen sollen eine Zertifizierung für Informationssicherheit und Datensicherheit vereinheitlichen. Dies geht auch aus dem Namen der neueren Zertifizierung hervor. Dieser lautet vollständig: „Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management- Requirements and guidelines”. Da es sich bei der ISO 27701 lediglich um eine Erweiterung handelt müssten somit für eine erfolgreiche Zertifizierung alle Voraussetzungen der ISO 27001 erfüllt sein. Dies lässt jedoch auch darauf schließen, dass es sich hierbei noch immer um eine Zertifizierung im Bereich Information Security Management System (ISMS) handelt und keine eigenständige Zertifizierung im Sinne der DSGVO. Deutlich wird bei genauerer Betrachtung auch, dass die Zertifizierung nach ISO 27701 nicht dem Art. 43 DSGVO entspricht. Dieser setzt eine Akkreditierung von Zertifizierungsstellen im Rahmen des ISO 17065 voraus. 

Dieses Hindernis könnte jedoch zukünftig noch bewältigt werden. Zwar entspricht die ISO 27701 noch nicht vollständig den Anforderungen der DSGVO, dennoch ist eine Zertifizierungsmöglichkeit von der Gesetzgebung explizit vorgesehen vgl. Art. 42 DSGVO. Somit kann auch eine Zertifizierung nach ISO 27001 und 27701 für die Unternehmen eine erste Anlaufstelle sein, um ihre Dokumentationspflichten zu erfüllen. Besonders aus dem Grund, dass es noch keine weitreichende Zertifizierung auf dem derzeitigen Markt gibt. 

 

Nachweis über die Einhaltung der DSGVO

Jedes Mitgliedsland der Europäischen Union hat die DSGVO umzusetzen und einzuhalten. Dies trifft unmittelbar auch deutsche Unternehmen. Um den gesetzlichen Bestimmungen der DSGVO gerecht zu werden, müssen verantwortliche Stellen zudem einen Nachweis über die Einhaltung der DSGVO erbringen und sicherstellen. Dies ergibt sich aus dem Grundsatz Art. 5 Abs. 2 DSGVO. 

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht’).“

Um dem Grundsatz der Rechenschaftspflicht Rechnung zu tragen, muss die verantwortliche Stelle noch weiteren Regelungen der DSGVO nachkommen. Die Dokumentationspflicht spiegelt sich insbesondere in Art. 30 DSGVO wider. Das Verzeichnis von Verarbeitungstätigkeiten muss von jedem Verantwortlichen sorgfältig gepflegt werden und jederzeit zur Verfügung stehen. Die an das Verzeichnis gestellten Anforderungen ergeben sich aus dem Katalog gem. Art. 30 Abs. 1 S. 2 lit a) bis lit. g) DSGVO. Hierzu gehören beispielsweise die Zwecke der Verarbeitung, Kategorien der Datenempfänger und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Und auch hier wird die Ganzheitlichkeit der DSGVO erneut deutlich. Die technischen und organisatorischen Maßnahmen werden nicht nur im Verzeichnis von Verarbeitungstätigkeiten aufgeführt, sondern besitzen selbst ebenfalls einen Dokumentationscharakter vgl. Art. 32 DSGVO. Durch technische Maßnahmen soll der Schutz der Datenverarbeitung durch physische Maßnahmen umgesetzt werden. Beispiele hierfür sind Alarmanlagen, Benutzerkonten sowie Passwörter. Organisatorische Maßnahmen regeln die Umsetzung von bestimmten Vorgehensweisen durch Mitarbeiter eines Unternehmens. Hierzu zählen beispielsweise die Verpflichtung auf das Datengeheimnis und Richtlinien zur IT-Nutzung.  

Ein Datenschutzaudit hilft Unternehmen dabei die technischen und organisatorischen Maßnahmen (TOM) zu wählen, die eine höchstmögliche Informationssicherheit und Datensicherheit gewährleistet und diese ebenfalls dokumentiert zur Verfügung zu haben. Vollständig umgesetzte und dokumentierte TOMs lassen das Unternehmen bereits einen hohen datenschutzrechtlichen Standard erreichen, auch ohne Zertifizierung.

 

Datenschutz Audit als Vorbereitung zur Zertifizierung

Es empfiehlt sich in jedem Fall die Vorgaben der DSGVO bestmöglich einzuhalten, nicht nur wegen der sonst drohenden Strafen und Bußgelder, auch wegen der damit einhergehenden Kundenorientierung und Qualitätsstandards. Um Risiken wie Datenverlust und Datenpannen zu minimieren, sollten Kontrollmechanismen wie externe Audits eingeführt werden. Bei einem Audit werden datenschutzrechtliche Vorgänge einer ausführlichen Prüfung unterzogen und daraufhin praxisorientierte Lösungen vorgeschlagen. Zunächst erfolgt eine Ist-Analyse, wobei jegliche relevanten Informationen aufgenommen werden. Auf dieser Grundlage findet sodann eine TOM-Prüfung statt. Die derzeitig herrschenden Schutzmaßnahmen werden einer Wirksamkeitsprüfung unterzogen, welche im Ergebnis als angemessen oder nicht angemessen im Sinne des Art. 32 DSGVO definiert werden. Die dritte Phase des Audits ist die Erstellung einer Agenda für die schnellstmögliche Umsetzung der Anforderungen. Zuletzt die wichtigste Phase des Audits, der Audit-Bericht. Eine umfassende Aufklärung über die datenschutzrechtliche Situation im Unternehmen mit praxisorientierten Lösungen zur direkten Umsetzung. Besonders hervorzuheben ist hierbei, dass der Audit-Bericht auch als Erfüllung der Rechenschaftspflicht gegenüber Aufsichtsbehörden verwendet werden kann.  Darüber hinaus gewährleisten externe Audits eine objektive und neutrale Grundlage, da keine Interessenkonflikte vorliegen. Zudem können externe Auditoren auf eine langjährige Praxiserfahrung zurückgreifen und verfügen zumeist über juristische Ausbildungen und Zertifizierungen. 

Profitieren auch Sie von der externen Auditierung und datenschutzrechtlicher Beratung Ihres Unternehmens.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

    Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

    Persönliche Angaben

    Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

    Zusätzliche Informationen

    Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

     
    ANGEBOT ERHALTEN