Quo vadis, „DSGVO-Zertifizierung“?

Die Möglichkeit, sich offiziell bestätigen zu lassen, dass personenbezogene Daten gemäß den Vorgaben der Datenschutz-Grundverordnung (DSGVO) verarbeitet werden, bietet für Betroffene, Verantwortliche und Auftragsverarbeiter gleichermaßen Vorteile:
- Betroffene erkennen im Idealfall anhand eines Zertifikats, Siegels oder Prüfabzeichens schnell, dass die Datenverarbeitung im Produkt oder in der Dienstleistung „offiziellen Datenschutzanforderungen“ gerecht wird.
- Der Verantwortliche, insbesondere im direkten (Online-)Kundenkontakt mit Privatpersonen bzw. Verbrauchern, kann Datenschutz als zusätzliches Qualitätskriterium und Unterscheidungsmerkmal im Rahmen der Kundengewinnung und -betreuung nutzen.
- Und der Auftragsverarbeiter hätte mit einem offiziellen Siegel weniger Aufwand, seine DSGVO-Compliance gegenüber Kunden zu beweisen. Das erfolgt derzeit typischerweise manuell durch das Ausfüllen von Fragebögen und über Kontrollen der technisch-organisatorischen Maßnahmen.
Ausdrücklich kein Managementsystem zertifizierbar
Die Akkreditierung von Zertifizierungsstellen baut auf der ISO-Norm 17065 auf.
Diese Vorgaben betreffen insbesondere die organisatorische Struktur von Zertifizierungsstellen samt ihrer Unabhängigkeit, ihre Ressourcen, ihre Prozesse sowie das betriebene Managementsystem.
Datenschutzrechtliche Vorgaben der Datenschutzkonferenz (DSK) ergänzen und konkretisieren diese allgemeinen Anforderungen (siehe https://ogy.de/dsk-anforderungen-akkreditierung).
Das Ergänzungspapier der DSK stellt gleich zu Beginn auf Seite 3 klar, dass sich nur solche Zerti…