Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

05. August 2019

Quo vadis, „DSGVO-Zertifizierung“?

DP+
Quo vadis, „DSGVO-Zertifizierung“?
Bild: iStock.com / cnythzl
0,00 (0)
Verarbeitungsvorgang vs. Managementsystem
Für Zertifizierungsverfahren bietet die ISO-Welt bereits Blaupausen. Derzeit sind Managementsysteme als Zertifizierungsgegenstand nach DSGVO aber ausgeschlossen, obwohl gute Argumente dagegen sprechen.

Die Möglichkeit, sich offiziell bestätigen zu lassen, dass personenbezogene Daten gemäß den Vorgaben der Datenschutz-Grundverordnung (DSGVO) verarbeitet werden, bietet für Betroffene, Verantwortliche und Auftragsverarbeiter gleichermaßen Vorteile:

  • Betroffene erkennen im Idealfall anhand eines Zertifikats, Siegels oder Prüfabzeichens schnell, dass die Datenverarbeitung im Produkt oder in der Dienstleistung „offiziellen Datenschutzanforderungen“ gerecht wird.
  • Der Verantwortliche, insbesondere im direkten (Online-)Kundenkontakt mit Privatpersonen bzw. Verbrauchern, kann Datenschutz als zusätzliches Qualitätskriterium und Unterscheidungsmerkmal im Rahmen der Kundengewinnung und -betreuung nutzen.
  • Und der Auftragsverarbeiter hätte mit einem offiziellen Siegel weniger Aufwand, seine DSGVO-Compliance gegenüber Kunden zu beweisen. Das erfolgt derzeit typischerweise manuell durch das Ausfüllen von Fragebögen und über Kontrollen der technisch-organisatorischen Maßnahmen.

Ausdrücklich kein Managementsystem zertifizierbar

Die Akkreditierung von Zertifizierungsstellen baut auf der ISO-Norm 17065 auf.

Diese Vorgaben betreffen insbesondere die organisatorische Struktur von Zertifizierungsstellen samt ihrer Unabhängigkeit, ihre Ressourcen, ihre Prozesse sowie das betriebene Managementsystem.

Datenschutzrechtliche Vorgaben der Datenschutzkonferenz (DSK) ergänzen und konkretisieren diese allgemeinen Anforderungen (siehe https://ogy.de/dsk-anforderungen-akkreditierung).

Das Ergänzungspapier der DSK stellt gleich zu Beginn auf Seite 3 klar, dass sich nur solche Zerti…

Peer Lambertz
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Peer Lambertz
Peer Lambertz
Peer Lambertz ist Rechtsanwalt und Datenschutz-Experte.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.