22. Februar 2016 - EU-US Privacy Shield

Datenübermittlungen prüfen: Was bringen Zertifikate?

Die Diskussion rund um den EU-US Privacy Shield zeigt, wie wichtig es ist, dass Sie sich über das tatsächliche Datenschutzniveau Klarheit verschaffen, bevor Datenübermittlungen stattfinden. Können Ihnen Datenschutz-Zertifikate hierbei helfen?

Datenübermittlung: Was sagen Zertifikate aus? Nicht jedes Zertifikat sind wirklich aussagekräftig (Bild: hunur / iStock / Thinkstock)

Das Datenschutzniveau muss stimmen

Die Rechtsunsicherheit nach dem Safe-Harbor-Urteil dauert an, so lautet zum Beispiel eine Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Ob das „EU-US- Privacy Shield“ die notwendige Rechtssicherheit schaffen kann, überprüfen die Aufsichtsbehörden noch. Das Privacy Shield wird sich streng an den Kriterien der Transparenz, der Erforderlichkeit und Verhältnismäßigkeit, der unabhängigen und robusten Überprüfbarkeit sowie wirksamer Rechtsmittel zu orientieren haben, so der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern.

Eine der zentralen Fragen ist, wie Sie gewährleisten und kontrollieren können, dass eine Datenübermittlung in die USA oder andere Drittstaaten nur dann erfolgt, wenn beim Datenempfänger ein angemessenes Datenschutzniveau herrscht. Allein die Selbstauskunft des Datenempfängers ist unzureichend. Das hatten die Aufsichtsbehörden bereits im Hinblick auf die Safe-Harbor-Entscheidung angemahnt.

Zertifikat als möglicher Nachweis

Nicht nur in Verbindung mit geplanten Datenübermittlungen, sondern auch bei Auftragsdatenverarbeitung in einer Cloud muss sich die verantwortliche Stelle von den Datenschutzmaßnahmen und vom Datenschutz-Niveau überzeugen. Das ist bekanntlich selbst dann nicht einfach, wenn es sich um eine Cloud handelt, die der Anbieter innerhalb der EU betreibt:

  • Eine Vor-Ort-Kontrolle ist kaum möglich.
  • Zudem fehlt oft das Know-how, um den Cloud-Datenschutz kritisch prüfen zu können.

Deshalb ist die Idee interessant, Zertifikate als Nachweis des Datenschutzniveaus vorzusehen. Auch bei Datenübermittlungen in Drittstaaten könnten sie die Prüfung vereinfachen – unter bestimmten Voraussetzungen, versteht sich.

Überprüfen Sie die Zertifikate

Ein Zertifikat ist allerdings nicht automatisch aussagekräftiger als die Selbstauskunft der Datenempfänger, wie sie bei Safe Harbor üblich war. Die Datenschutzaufsichtsbehörden haben schon 2010 darauf hingewiesen, dass sich übermittelnde Unternehmen von den Datenempfängern nachweisen lassen müssen, dass sie die Grundsätze auch einhalten.

Ein Zertifikat lässt sich daher nur als Datenschutz-Nachweis nutzen, wenn bestimmte Voraussetzungen erfüllt sind:

  • Unter anderem haben die Aufsichtsbehörden in ihrer Orientierungshilfe zum Cloud Computing gefordert, dass Anwender die Möglichkeit haben müssen, die Seriosität der Cloud-Anbieter zu überprüfen, indem unabhängige Stellen Zertifikate für datenschutzkonforme Anbieter erteilen dürfen.
  • Entsprechend ist der Hinweis wichtig, auch für Datenübermittlungen generell unabhängige Zertifikate zu fordern.
  • Hinterfragen Sie als Datenschutzbeauftragter im Anwenderunternehmen deshalb Datenschutz-Zertifikate grundsätzlich. Gleich ob bei Auftragsdatenverarbeitung oder bei einer Datenübermittlung in Drittstaaten.

Auch ein Datenschutz-Zertifikat braucht ein definiertes Niveau

Damit Datenschutz-Zertifikate dabei helfen können, das Datenschutz-Niveau beim Datenempfänger zu beurteilen, muss das Zertifikat selbst ein Mindestniveau an Anforderungen erfüllen. Welche Punkte neben der Unabhängigkeit der Zertifizierungsstelle dazu gehören, stellt die Checkliste zusammen:


Download: Checkliste: Anforderungen an Datenschutz-Zertifikate


Hinterfragen Sie als Datenschutzbeauftragter also immer, welche Aussagekraft ein Datenschutz-Zertifikat hat, das Ihnen ein Unternehmen vor einer Datenübermittlung vorlegt. So manches Zertifikat setzt nämlich nur eine Selbstauskunft voraus und ist nicht besser als eine Selbst-Zertifizierung.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Die Zeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln