Warum eine Datenschutz-Zertifizierung?

Ganz einfach: Weil Sie am Ende haftbar sind. Es gibt drei gute Gründe für eine Datenschutz-Zertifizierung im Zuge der Auftragsverarbeitung:

1
Transparenz
Auftraggeber brauchen verlässliche Angaben zum Datenschutzniveau des Auftragnehmers. Auftragnehmer müssen diese Angaben liefern können.
2
Vertrauen
Eine Zertifizierung ist eine solide und verlässliche Basis für beide Seiten der Auftragsverarbeitung und die weitere Zusammenarbeit.
3
Haftung
Auftraggeber müssen sich vergewissern, dass das beauftragte Unternehmen über ein angemessenes Datenschutzniveau verfügt.

Ganz besonders gilt dies bei der Verarbeitung von personenbezogenen Daten.

IITR_Cert Siegel

Wege zur Zertifizierung: ISO, Audit und PSE

Die Faustregel zu Datenschutzkonformität  lautet: Es ist nicht wichtig, wer den Nachweis erbringt, wichtig ist nur, wer ihn braucht – und das sind immer Sie. Es gibt drei Wege, sicherzustellen, dass der Auftragnehmer tatsächlich das geforderte Datenschutzniveau aufweist:

1
Der Auftraggeber bezahlt und organisiert einen Auditor, der das Datenschutzniveau des Auftragnehmers begutachtet und für ausreichend befindet.
2
Der Auftragnehmer führt selbst ein solches Audit durch – und zwar rechtzeitig vor der Auftragsannahme.
3
Der Auftragnehmer legt einen glaubwürdigen Nachweis über das erforderliche Datenschutzniveau vor, zum Beispiel eine Zertifizierung auf Basis unserer Datenschutz-Standards CPS. Das geht am schnellsten und einfachsten.
4
Für Großunternehmen besteht außerdem die Möglichkeit einer ISO-Zertifizierung gemäß ISO 27001 in Verbindung mit der den Anforderungen der ISO 27701. Das ist ein relativ aufwendiges und kostspieliges Verfahren, es lohnt sich letztlich nur für größere Unternehmen oder für Firmen, die ihren Schwerpunkt in der Verarbeitung personenbezogener Daten haben.

Webbasierte Datenschutz-Analyse: PSE – Privacy Status Evaluation

Das erste Werkzeug zur Datenschutzkonformität ist eine belastbare Analyse der Ist-Situation im Unternehmen. Die IITR Cert GmbH hat für diesen Zweck das handliche Audit-Tool PSE (Privacy Status Evaluation) entwickelt: ein webbasiertes System, das abfragt, inwieweit Ihr Unternehmen die Datenschutzanforderungen erfüllt. Ihre Selbstauskünfte werden auf Plausibilität geprüft und abschließend von Fachleuten mit einem Testat bestätigt.

PSE eignet sich insbesondere für den einfachen Konformitätsnachweis und die Überprüfung der unternehmensinternen Prozesse von Auftragsverarbeitern.

Standards der Zertifizierung: CPS – Certified Privacy Standard

Die DSGVO sieht in Artikel 42 eine Datenschutz-Zertifizierung vor, die aber bislang noch nicht in konkrete DSGVO-Prüfstandards überführt worden ist. Darum hat die IITR Cert GmbH die vielfältigen Datenschutzanforderungen in einem eigenen praktischen Prüfkatalog abgebildet und als umsetzbaren Standard etabliert: Mit dem Certified Privacy Standard (CPS) können Sie Datenschutzkonformität sowohl herstellen als auch bescheinigen.

Der CPS hat drei Ausprägungen, die nach Unternehmensgröße und Intensität der Datenverarbeitung unterscheiden und welche durch ihre Konformitätsbewertungen spezifiziert sind:

CPS 100 für mittelständische
Unternehmen

Der Standard CPS 100 bestätigt Datenschutzkonformität zum Zeitpunkt der Überprüfung.

Mehr...

CPS 600 für
kleine Unternehmen

Der Standard CPS 600 bestätigt Konformität mit den Empfehlungen des Leitfadens für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht.

Mehr...

CPS 300 Auftragsverarbeiter
nach Art. 28 DSGVO

Der Standard CPS 300 ermöglicht eine Zertifizierung, die speziell auf den Bereich der Auftragsverarbeitung zugeschnitten ist.

Mehr...

Grundlage der Zertifizierung: Datenschutz-Management

Unternehmen müssen nicht nur datenschutzkonform handeln, es ist gemäß EU-DSGVO auch erforderlich, dass sie die eigene Datenschutzkonformität jederzeit nachweisen können. Die besten Bedingungen für ein Audit und jede Prüfung schafft ein Datenschutz-Managementsystem mit Vorlagen, Checklisten und Nachweisen, das alle relevanten Aufzeichnungen umfasst.

Das Compliance-Kit 2.0 ist das offiziell testierte, qualifizierte Datenschutz-Managementsystem (DSMS) der IITR Datenschutz GmbH für mittlere und große Unternehmen, die ihre Datenschutzprozesse strukturiert aufsetzen müssen. Mit seinen geprüften Dokumenten und Vorlagen ermöglicht das Compliance-Kit 2.0 bei Hinterlegung der entsprechenden Nachweise die erforderliche Dokumentation gemäß EU-DSGVO. Das Compliance-Kit 2.0 wurde von staatlich befugten Datenschutz-Ziviltechnikern umfassend geprüft und ist seit August 2019 als DSGVO-konform zertifiziert.

Mehr dazu: Datenschutz-Management und Compliance-Kit 2.0

Sie haben eine Frage?

Firma