Datenschutz Zertifizierung

12. Juli 2023

Datenschutz Verstehen – Datenschutz Zertifizierung

Zertifizierungen dienen dem Nachweis von einzuhaltenden Anforderungen. Sie stellen dabei oftmals ein Qualitätsmerkmal dar, weil sie durch unabhängige Zertifizierungsstellen wie z.B. den TÜV vergeben werden. Eine sichere Datenverarbeitung durch Unternehmen ist zur heutigen Zeit ein immer wichtiger werdender Bestandteil. Der Wunsch von Kunden, ihre Daten in sichere Hände zu geben wächst dabei stetig mit der Komplexität der Verarbeitungen sowie der Sensibilität der verarbeiteten Daten. Eine unabhängige Bewertung über den datenschutzrechtlichen Standard des Unternehmens kann dem Kunden somit Aufschluss darüber geben, wie mit den Daten umgegangen wird.

Eine Zertifizierung wird nach erfolgreicher Prüfung an das geprüfte Unternehmen übergeben. Grundsätzlich dient das Bundesdatenschutzgesetz (BDSG) als Grundlage für den Bewertungsmaßstab. Es ist jedoch auch möglich nach Kriterien der europäischen Datenschutz-Grundverordnung (DSGVO) eine Zertifizierung zu definieren.

Inhalt:

Datenschutz-Zertifizierung nach Art. 42 DSGVO
Unterschied zur Zertifizierung nach ISO 27001
Nachweis über die Einhaltung der DSGVO
Datenschutz Audit als Vorbereitung zur Zertifizierung

Datenschutz-Zertifizierung nach Art. 42 DSGVO

Die Datenschutz-Grundverordnung (DSGVO) enthält in Artikel 42 eine Regelung zur Datenschutz-Zertifizierung. Ein Zertifikat, das gemäß DSGVO ausgestellt wird, soll den Nachweis erbringen, dass der Inhaber des Zertifikats die datenschutzrechtlichen Anforderungen einhält. Dazu muss das Unternehmen nachweisen, dass es die Datenschutzbestimmungen der DSGVO ganzheitlich einhält, beispielhaft dafür sind geeignete technische und organisatorische Maßnahmen gemäß Artikel 24 DSGVO. Einige Zertifizierungsmechanismen sind bereits von den zuständigen Behörden genehmigt und werden wohl zeitnah ausgerollt werden.
Eine Voraussetzung für die Zertifizierung ergibt sich aus Artikel 42 Absatz 6 DSGVO, wonach der Verantwortliche oder der Auftragsverarbeiter alle erforderlichen Informationen für das Zertifizierungsverfahren bereitstellen muss. Dies zeigt, dass eine transparente Dokumentation der Verarbeitungstätigkeiten nicht nur eine wichtige Rolle spielt, sondern auch Vorteile für die Zertifizierung bietet.

Prozess zur Akkreditierung einer Zertifizierungsstelle

Damit ein Unternehmen europaweite Zertifizierungen gemäß Art. 42 Abs. 5 DSGVO erteilen kann, muss es sich dafür akkreditieren lassen. Dafür muss das zu zertifizierende System zunächst von der zuständigen Aufsichtsbehörde genehmigt werden und diese Genehmigung anschließend vom Europäischen Datenschutzausschuss (EDSA) angenommen werden. Danach erfolgt eine finale Abstimmung der Akkreditierungsstelle, in Deutschland das DAkkS, und der zuständigen Datenschutzbehörde, um das System zu akkreditieren. Erst danach kann die Stelle Verarbeitungstätigkeiten von Unternehmen auf Ihre DSGVO Konformität prüfen und zertifizieren. Wenn ein Zertifizierungsmechanismus genehmigt und akkreditiert ist, ist es auch möglich dieses Zertifikat durch Partnerunternehmen vergeben zu lassen.

Entwicklung der Zertifizierungsstellen in der EU und Deutschland

Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW hat nun erstmals den vorgelegten Kriterien einer Prüfstelle zur Zertifizierung von Auftragsverarbeitern zugestimmt. Die EuroPriSe Cert GmbH hat als erstes deutsches Unternehmen damit die Berechtigung erhalten, in Zukunft Verarbeitungsvorgänge andere Unternehmen gemäß Art. 42 DSGVO zu zertifizieren. Formal muss sich das Unternehmen wie zuvor aufgezeigt noch akkreditieren lassen, aber da die erfolgreiche Prüfung der Datenschutzbehörde vorliegt, kann in naher Zukunft damit gerechnet werden, dass eine Zertifizierung nach DSGVO für Unternehmen durch eine deutsche Prüfstelle möglich sein wird.

Gleichzeitig ist das Unternehmen Europrivacy auch bereits in den Startlöchern und bietet ein noch umfangreicheres System zur Zertifizierung nach DSGVO an. Der europäische Datenschutzausschuss (EDSA) hat die Vorlage der luxemburgischen Datenschutzbehörde bereits angenommen und damit die Grundlage für die erste europäische Zertifizierungsstelle, die nach Art. 42 DSGVO zertifizieren darf, geschaffen. Das Prüfsystem des European Center for Certification and Privacy kann sowohl Verarbeitungstätigkeiten von Auftragsverarbeitern, als auch von Verantwortlichen erfassen.

Formaler Ablauf einer Zertifizierung

Neben den inhaltlichen Bestimmungen einer Prüfung wollen wir Ihnen exemplarisch einen Ablauf der Zertifizierung aufzeigen, um den tatsächlichen Aufwand dahinter greifbar zu machen. Dieser ist in drei Hauptabschnitte aufgeteilt: „Vorbereitung“, “Evaluation, Bewertung & Entscheidung“ und “Zertifizierung & Überwachung“. Kurz zusammengefasst ist es so, dass es eine Vorphase gibt, in der das Unternehmen bereits selbst eine Bewertung vornimmt und den zu beurteilenden Verarbeitungsvorgang präzisiert. Hierdurch soll im Vorhinein überprüft werden, ob eine Zertifizierung Aussicht auf Erfolg hat. Ist diese Prüfung positiv, wird bei der Zertifizierungsstelle ein Antrag auf Zertifizierung eingereicht. Wenn alle Vorgaben erfüllt sind, wird ein Vertrag zur Zertifizierung abgeschlossen. Ein Evaluierungsteam führt dann die eigentliche inhaltliche Prüfung durch, die im Anschluss von einem Bewertungsteam beurteilt wird. Darauf basierend wird dann eine Zertifizierungsentscheidung getroffen und ggf. eine Zertifizierung erteilt. Nach der Zertifizierung gibt es eine fortlaufende Überwachung der Wahrung des attestierten Datenschutzniveaus. Hierzu werden einmal jährlich anlasslose Kontrollen durchgeführt.

Inhaltliche Anforderungen für die Zertifizierung nach Art. 42 DSGVO

Sowohl Europrivacy, als auch EuroPriSe geben auf Ihren Websites eine Orientierung, welche inhaltlichen Schwerpunkte bei der Prüfung für eine Zertifizierung gesetzt werden.

EuroPriSe unterteilt die inhaltlichen Voraussetzungen in drei Teilbereiche:

Recht
Zunächst müssen die Unternehmen, die zertifiziert werden wollen, nachweisen, dass die rechtlichen Anforderungen der DSGVO erfüllt sind. Dabei geht es darum, ein korrektes Verzeichnis der Verarbeitungstätigkeiten anzulegen, einen Datenschutzbeauftragten benannt zu haben, eine verantwortungsvolle Zusammenarbeit mit den Aufsichtsbehörden zu pflegen, alle notwendigen Auftragsverarbeitung Verträge sowohl als Verantwortlicher als auch als Auftragsverarbeiter abgeschlossen zu haben, Muster für Auftragsverarbeitungsverträge zu besitzen, die darin enthaltenen Verpflichtungen auch umzusetzen, und auch die Auswahl der Unterauftragsverarbeiter sorgfältig berücksichtigt zu haben. Im zweiten Schritt muss die korrekte rechtliche Umsetzung weitergehender Themen nachgewiesen werden. Dabei geht es um Themen wie Privacy by Design, datenschutzkonforme Lösungen für Datenübermittlungen in Drittländer oder Regeln zu Berufsgeheimnissen.
Technische und organisatorische Maßnahmen
Im zweiten Schritt werden die technisch und organisatorischen Maßnahmen, die ein Unternehmen zum Schutz der Daten hat, überprüft. Dabei wird zwischen allgemeinen Pflichten und technologiespezifischen Anforderungen unterschieden. Allgemeine Pflichten sind beispielsweise Zutritts- und Zugriffskontrollen, Backups, Dokumentation der Vorgänge oder auch ein geeignetes Lösch- und Entsorgungskonzept für personenbezogene Daten. Die technologiespezifischen Anforderungen verlangen dann effektive Systeme und Konzepte zur Verschlüsselung, Anonymisierung und Pseudonymisierung von personenbezogenen Daten.
Betroffenenrechte
Im letzten Schritt wird geprüft, ob die Betroffenenrechte nach Vorgaben der DSGVO eingehalten werden. Dabei ist davon auszugehen, dass das Unternehmen sowohl geeignete Verfahren zur Einhaltung der Betroffenenrechte vorweisen muss, als auch nachweisen kann, dass diese Verfahren in der Praxis auch DSGVO-konform angewendet worden sind.

Die Voraussetzungen für die Europrivacy Zertifizierung legen ähnliche Kriterien fest. Dem Grunde nach geht es bei der Prüfung also um eine möglichst lückenlose Umsetzung der Bestimmungen der DSGVO.

Was bedeutet diese Entwicklung für Unternehmen?

Auch wenn zum jetzigen Zeitpunkt noch keine Zertifizierung nach DSGVO vorgenommen wurde, stehen einige Zertifizierungsmechanismen bereits in den Startlöchern. Eine Besonderheit bei der Zertifizierung nach der DSGVO ist, dass nur Verarbeitungsvorgänge und nicht ganze Unternehmen zertifiziert werden können. Daher wird die Zertifizierung zunächst wohl besonders interessant für Auftragsverarbeiter sein, die einzelne Bestandteile Ihrer Programme oder Software zertifizieren lassen können und damit einen Wettbewerbsvorteil gegenüber Mitbewerbern erlangen können. Wenn Sie für Ihr Unternehmen Verarbeitungsvorgänge zertifizieren lassen wollen, sprechen Sie uns gerne direkt an.

Gerne bringen wir Ihr Unternehmen datenschutzrechtlich auf Kurs und können mit einer datenschutzrechtlichen Analyse vorab Ihre Erfolgschancen für eine Zertifizierung deutlich erhöhen.

Unterschied zur Zertifizierung nach ISO 27001

Obwohl Zertifizierungen gemäß der DSGVO nach aktuellem Stand noch auf sich warten lassen, ist die Suche nach international anerkannten Zertifizierungen hoch. Zum jetzigen Zeitpunkt kann die Zertifizierung nach ISO 27001 von Unternehmen herangezogen werden. Die Zertifizierung bietet die Möglichkeit ein professionelles Sicherheitsmanagement im Unternehmen aufzubauen und zu etablieren. Risiken aufgrund einer nicht ausreichenden Informationssicherheit sollen hierdurch minimiert und verhindert werden. Durch die Implementierung eines Informationssicherheits-Managementsystem (ISMS) soll die Vertraulichkeit von Informationen erhöht, internationale Anforderungen erfüllt und IT-Risiken kontrolliert werden und hierdurch Wettbewerbsvorteile gesteigert werden. Die positive Prüfung eines Unternehmens steht bei jeder Zertifizierung im Vordergrund. Eine Zertifizierung nach ISO 27001 erhöht die Vollständigkeit und Richtigkeit von technischen und organisatorischen Maßnahmen (TOM), welche insbesondere gem. Art. 32 DSGVO gefordert sind. Dem gegenüber steht die oben beschriebene Zertifizierung nach Vorgaben der DSGVO. Beide Zertifizierungen unterscheiden sich insbesondere durch die Ausrichtung des Sicherheitsgedanken. Während sich die Zertifizierung nach ISO 27001 auf die Informationssicherheit konzentriert, also die Sicherheit jeglicher Informationen im Unternehmen. Liegt der Fokus der Zertifizierung gemäß der DSGVO auf der sicheren Verarbeitung personenbezogener Daten. In Bezug auf die Einhaltung der datenschutzrechtlichen Anforderungen, wäre eine Zertifizierung nach der DSGVO vorzuziehen, da eine ISO 27001 Zertifizierung zwar die Informationssicherheit im Allgemeinen verstärkt, sich jedoch nicht genug auf den Datenschutz fixiert ist.

ISO27701 als Datenschutz-Zertifizierung?

Der fehlende Bezug der ISO 27001 Zertifizierung zum Datenschutz könnte jedoch durch eine ergänzende Zertifizierung erbracht werden. Gemeint ist die Zertifizierung ISO 27701. Dieser Name unterscheidet sich absichtlich nur minimal vom Vorgänger, denn beide Zertifizierungen sollen eine Zertifizierung für Informationssicherheit und Datensicherheit vereinheitlichen. Dies geht auch aus dem Namen der neueren Zertifizierung hervor. Dieser lautet vollständig: „Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management- Requirements and guidelines”. Da es sich bei der ISO 27701 lediglich um eine Erweiterung handelt müssten somit für eine erfolgreiche Zertifizierung alle Voraussetzungen der ISO 27001 erfüllt sein. Dies lässt jedoch auch darauf schließen, dass es sich hierbei noch immer um eine Zertifizierung im Bereich Information Security Management System (ISMS) handelt und keine eigenständige Zertifizierung im Sinne der DSGVO. Deutlich wird bei genauerer Betrachtung auch, dass die Zertifizierung nach ISO 27701 nicht dem Art. 43 DSGVO entspricht. Dieser setzt eine Akkreditierung von Zertifizierungsstellen im Rahmen des ISO 17065 voraus.

Dieses Hindernis könnte jedoch zukünftig noch bewältigt werden. Zwar entspricht die ISO 27701 noch nicht vollständig den Anforderungen der DSGVO, dennoch ist eine Zertifizierungsmöglichkeit von der Gesetzgebung explizit vorgesehen vgl. Art. 42 DSGVO. Somit kann auch eine Zertifizierung nach ISO 27001 und 27701 für die Unternehmen eine erste Anlaufstelle sein, um ihre Dokumentationspflichten zu erfüllen. Besonders aus dem Grund, dass es noch keine weitreichende Zertifizierung auf dem derzeitigen Markt gibt.

Nachweis über die Einhaltung der DSGVO

Jedes Mitgliedsland der Europäischen Union hat die DSGVO umzusetzen und einzuhalten. Dies trifft unmittelbar auch deutsche Unternehmen. Um den gesetzlichen Bestimmungen der DSGVO gerecht zu werden, müssen verantwortliche Stellen zudem einen Nachweis über die Einhaltung der DSGVO erbringen und sicherstellen. Dies ergibt sich aus dem Grundsatz Art. 5 Abs. 2 DSGVO.

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht’).“

Um dem Grundsatz der Rechenschaftspflicht Rechnung zu tragen, muss die verantwortliche Stelle noch weiteren Regelungen der DSGVO nachkommen. Die Dokumentationspflicht spiegelt sich insbesondere in Art. 30 DSGVO wider. Das Verzeichnis von Verarbeitungstätigkeiten muss von jedem Verantwortlichen sorgfältig gepflegt werden und jederzeit zur Verfügung stehen. Die an das Verzeichnis gestellten Anforderungen ergeben sich aus dem Katalog gem. Art. 30 Abs. 1 S. 2 lit a) bis lit. g) DSGVO. Hierzu gehören beispielsweise die Zwecke der Verarbeitung, Kategorien der Datenempfänger und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Und auch hier wird die Ganzheitlichkeit der DSGVO erneut deutlich. Die technischen und organisatorischen Maßnahmen werden nicht nur im Verzeichnis von Verarbeitungstätigkeiten aufgeführt, sondern besitzen selbst ebenfalls einen Dokumentationscharakter vgl. Art. 32 DSGVO. Durch technische Maßnahmen soll der Schutz der Datenverarbeitung durch physische Maßnahmen umgesetzt werden. Beispiele hierfür sind Alarmanlagen, Benutzerkonten sowie Passwörter. Organisatorische Maßnahmen regeln die Umsetzung von bestimmten Vorgehensweisen durch Mitarbeiter eines Unternehmens. Hierzu zählen beispielsweise die Verpflichtung auf das Datengeheimnis und Richtlinien zur IT-Nutzung.

Ein Datenschutzaudit hilft Unternehmen dabei die technischen und organisatorischen Maßnahmen (TOM) zu wählen, die eine höchstmögliche Informationssicherheit und Datensicherheit gewährleistet und diese ebenfalls dokumentiert zur Verfügung zu haben. Vollständig umgesetzte und dokumentierte TOMs lassen das Unternehmen bereits einen hohen datenschutzrechtlichen Standard erreichen, auch ohne Zertifizierung.

Datenschutz Audit als Vorbereitung zur Zertifizierung

Es empfiehlt sich in jedem Fall die Vorgaben der DSGVO bestmöglich einzuhalten, nicht nur wegen der sonst drohenden Strafen und Bußgelder, auch wegen der damit einhergehenden Kundenorientierung und Qualitätsstandards. Um Risiken wie Datenverlust und Datenpannen zu minimieren, sollten Kontrollmechanismen wie externe Audits eingeführt werden. Bei einem Audit werden datenschutzrechtliche Vorgänge einer ausführlichen Prüfung unterzogen und daraufhin praxisorientierte Lösungen vorgeschlagen. Zunächst erfolgt eine Ist-Analyse, wobei jegliche relevanten Informationen aufgenommen werden. Auf dieser Grundlage findet sodann eine TOM-Prüfung statt. Die derzeitig herrschenden Schutzmaßnahmen werden einer Wirksamkeitsprüfung unterzogen, welche im Ergebnis als angemessen oder nicht angemessen im Sinne des Art. 32 DSGVO definiert werden. Die dritte Phase des Audits ist die Erstellung einer Agenda für die schnellstmögliche Umsetzung der Anforderungen. Zuletzt die wichtigste Phase des Audits, der Audit-Bericht. Eine umfassende Aufklärung über die datenschutzrechtliche Situation im Unternehmen mit praxisorientierten Lösungen zur direkten Umsetzung. Besonders hervorzuheben ist hierbei, dass der Audit-Bericht auch als Erfüllung der Rechenschaftspflicht gegenüber Aufsichtsbehörden verwendet werden kann. Darüber hinaus gewährleisten externe Audits eine objektive und neutrale Grundlage, da keine Interessenkonflikte vorliegen. Zudem können externe Auditoren auf eine langjährige Praxiserfahrung zurückgreifen und verfügen zumeist über juristische Ausbildungen und Zertifizierungen.

Profitieren auch Sie von der externen Auditierung und datenschutzrechtlicher Beratung Ihres Unternehmens.

Sebastian Feldmann

Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.

„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz