Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier

Zertifizierung

Die Zertifizierung im Datenschutz

Zertifizierungen im Rahmen des Datenschutzes, wie z.B. Datenschutzsiegel, dienen dazu, betroffenen Personen oder Vertragspartnern einen schnellen Überblick über das Datenschutzniveau von Produkten und Dienstleistungen oder über die Einhaltung des Datenschutzes in einem Unternehmen zu bieten.

Zertifizierungen nach der Datenschutz-Grundverordnung (DSGVO) dienen der Transparenz und sollen die Einhaltung datenschutzrechtlicher Regelungen verbessern.

➜ Wer zertifiziert was? Wie läuft eine Zertifizierung ab?

Im Gespräch mit Marit Hansen

Art. 42 ist wie der „Rest“ der DSGVO im Mai 2018 in die Anwendungsphase eingetreten. Jedoch lässt die erste Zertifizierung – Stand Anfang 2022 – noch immer auf sich warten. Einer der wichtigsten Impulsgeber zum Thema Zertifizierung ist das ULD Schleswig-Holstein mit seiner Leiterin Marit Hansen, der Landesbeauftragten für Datenschutz Schleswig-Holstein. Ein Interview zum aktuellen Stand der Entwicklung.

Wie kann die Sicherheit informationstechnischer Systeme erhöht werden? Diese Frage steht im Zentrum des neuen IT-Sicherheitsgesetzes, das der Bundestag am 23. April 2021 beschlossen hat – trotz massiver Kritik von Opposition und Sachverständigen.

Zertifizierungen

Die DSGVO sieht ausdrücklich die Möglichkeit vor, die Einhaltung der Datenschutzvorschriften durch ein Zertifikat zu dokumentieren. Ein wichtiger Schritt in Richtung Zertifizierungsstellen ist durch die Kooperation der Aufsichtsbehörden mit der Deutschen Akkreditierungsstelle getan.

DP+
Quo vadis, „DSGVO-Zertifizierung“?
Bild: iStock.com / cnythzl
Verarbeitungsvorgang vs. Managementsystem

Für Zertifizierungsverfahren bietet die ISO-Welt bereits Blaupausen. Derzeit sind Managementsysteme als Zertifizierungsgegenstand nach DSGVO aber ausgeschlossen, obwohl gute Argumente dagegen sprechen.

Datenschutz-Zertifizierung

Ein nachweisbarer Datenschutz ist entscheidend für das Vertrauen der Kunden und oft die Voraussetzung für einen Auftrag. Entsprechend hoch ist das Interesse an Datenschutz-Zertifikaten, entsprechend viele Datenschutz-Siegel gibt es. Doch wie unterscheiden sich gegenwärtige Datenschutz-Zertifikate von Zertifikaten nach DSGVO?

DP+
IT-Sicherheitskennzeichnung: Was bringt‘s dem Datenschutz?
Bild: denizbayram / iStock / Thinkstock
Datenschutz und IT-Sicherheit

Nicht nur im Datenschutz warten wir auf einheitliche Gütesiegel und Zertifizierungen. Auch die IT-Sicherheit von Produkten ist noch nicht transparent genug. Die aktuellen Arbeiten an einem IT-Sicherheitskennzeichen helfen dem Datenschutz gleich mehrfach.

1 von 1

Zertifizierungs-Verfahren

Die DSGVO sieht in Art. 42 sogenannte genehmigte Zertifizierungsverfahren vor. Dies soll die Verfahren vereinheitlichen. Bisher bereits vorhandene Verfahren, z.B. aus der ISO-Gruppe, decken datenschutzrechtliche Aspekte nämlich nur teilweise ab. Sie eignen sich nicht als Zertifizierung nach DSGVO.

Eine Zertifizierung erfolgt freiwillig über ein transparentes Verfahren. Die  Zertifizierung erteilt eine Zertifizierungsstelle nach Art. 43 DSGVO oder die zuständige Aufsichtsbehörde für den Datenschutz.

Die Voraussetzungen der Erteilung ergeben sich entweder durch Festlegungen der zuständigen Aufsichtsbehörde, oder der Datenschutzausschuss (Europäischer Datenschutzausschuss) legt entsprechende Kriterien fest.


Hören Sie zu den zentralen Fragen der Zertifizierung im Datenschutz auch unseren Datenschutz-PRAXIS-Podcast mit Marit Hansen vom ULD.


Ein Unternehmen, das sich zertifizieren lassen will, muss der zuständigen Behörde die dafür erforderlichen Informationen zur Verfügung stellen und ihr Zugang zu seinen Verarbeitungstätigkeiten verschaffen.

Wie lange gilt ein Zertifikat?

Eine Zertifizierung, ein Prüfzeichen oder ein Datenschutzsiegel gilt nach Erteilung für maximal drei Jahre. Liegen danach die Erteilungsvoraussetzungen weiterhin vor, kann eine Verlängerung erfolgen.

Werden – auch vor Ablauf von drei Jahren – die Voraussetzungen für die Erteilung einer Zertifizierung nicht mehr erfüllt, so widerruft die zuständige Aufsichtsbehörde die erteilte Zertifizierung.

Der Europäische Datenschutzausschuss führt und veröffentlicht ein Register der Zertifizierungsmechanismen.

Was lässt sich zertifizieren?

Zertifizierte Unternehmen haben den Vorteil, mithilfe der Zertifizierung die Einhaltung bestimmter Anforderungen der DSGVO nachweisen zu können. Dazu gehören:

  • Einhaltung der Pflichten des Verantwortlichen
  • Sicherheit der Verarbeitung
  • Erfüllung der Anforderungen an Technikgestaltung und datenschutzfreundliche Voreinstellungen
  • Garantien des Auftragsverarbeiters
  • Datenschutz-Folgenabschätzung
  • Datenübermittlungen in Drittländer

Ein vorhandenes Datenschutzzertifikat ist daneben auch ein gutes Werbemittel. Denn es signalisiert, dass das Unternehmen den Datenschutz ernst nimmt.

Wie steht es mit der Zertifizierung außereuropäischer Unternehmen?

Unter bestimmten Voraussetzungen können Verantwortliche oder Auftragsverarbeiter, die nicht den Regelungen der DSGVO unterliegen, mittels genehmigter Zertifizierungsverfahren den Nachweis erbringen, dass sie den Schutz der Rechte betroffener Personen gewährleisten.

Diese Möglichkeit betrifft Unternehmen außerhalb der EU, die weder Waren noch Dienstleistungen an betroffene Personen in der EU anbieten noch an Personen innerhalb der EU Verhaltensbeobachtungen durchführen (siehe auch Marktortprinzip).

Zertifizierungsstellen

Zertifizierungsstellen müssen zuvor akkreditiert werden (Art. 43 Abs. 1 DSGVO) von der Deutschen Akkreditierungsstelle (DAkks, www.dakks.de) in Zusammenarbeit mit den Aufsichtsbehörden. Das regelt § 39 (Akkreditierung) des neuen BDSG.

Hierzu gibt es eine Kooperationsvereinbarung zwischen den deutschen Datenschutzaufsichtsbehörden und der DAkks. Diese besagt, dass die DAkks die Akkreditierung von Zertifizierungsstellen im Einvernehmen mit den Aufsichtsbehörden durchführt und das gesamte Akkreditierungsverfahren von den Aufsichtsbehörden mehr oder weniger gemeinsam mit der DAkks durchgeführt wird:

https://www.datenschutz.saarland.de/fileadmin/user_upload/uds/PM/2020/Kooperationsvereinbarung_Akkreditierung_DAkkS.pdf
Den Ablauf eines Akkreditierungsverfahrens stellt die DAkks auf ihrer Internetseite ausführlich dar:
https://www.dakks.de/sites/default/files/2_paw_ablauf_akkverf.pdf

Vorläufige ergänzende Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO hat die Datenschutzkonferenz (DSK) veröffentlicht. Hierzu liegt mit Datum 25. Mai 2020 die Stellungnahme des Europäischen Datenschutzausschusses vor, der einige Änderungsvorschläge macht. Auf diese ist eine Reaktion der Datenschutzkonferenz (DSK) notwendig. Die Datenschutzkonferenz (DSK) hat daraufhin ihre „Anforderungen zur Akkreditierung“ mit Datum vom 8. Oktober 2020 ergänzt. Sie sind zu finden unter:
https://www.datenschutzkonferenz-online.de/media/ah/20201008_din17065_Ergaenzungen_deutsch_nach_opinion.pdf

Die Akkreditierung einer Zertifizierungsstelle nach den Anforderungen der Datenschutzkonferenz (DSK) wird in sechs Phasen verlaufen:

  1. Antragsphase/Programmprüfung
  2. Programmprüfung und Genehmigung der Kriterien
  3. Antragsphase Akkreditierung/Befugniserteilung
  4. Begutachtungsphase
  5. Akkreditierungsphase/Befugniserteilung
  6. Überwachungsphase

Anforderungen an datenschutzrechtliche Zertifizierungsprogramme stellt die Datenschutzkonferenz (DSK) zur Verfügung unter:
https://www.datenschutzkonferenz-online.de/media/ah/DSK_Anwendungshinweis_Zertifizierungskriterien.pdf

Andrea Gailus

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.