Für den Datenschutz gibt es mittlerweile praktische Management-Tools, aber eine ISO-Zertifizierung bleibt letztlich ressourcenstarken Großunternehmen vorbehalten. Wenn sich Auditor und Unternehmen online die Arbeit teilen, ist ein Nachweis der Datenschutzkonformität aber auch für kleine und mittlere Unternehmen realistisch.
Auf die Haftungsfrage bei Verstößen gegen die DSGVO gibt es nur eine Antwort: Es ist immer Ihr Kopf, der in der Schlinge steckt. Das gilt, wie man es auch dreht und wendet: Wer Daten verarbeitet, muss der DSGVO genügen. Wer Datenverarbeiter beauftragt, muss sich vergewissern, dass dort der Datenschutz eingehalten wird – und nachweisen, dass er das geprüft hat. Wer im Gegenzug Daten im Auftrag verarbeitet, muss garantieren können, dass dies DSGVO-konform geschieht.
ISO-Zertifizierungen nützen für kleine Unternehmen wenig
Wohlgemerkt: Datenschutz ist gut und sinnvoll. Doch die Wirksamkeit der eigenen Datenschutzmaßnahmen nachzuweisen, fällt nicht so leicht. Auf der einen Seite liegen sämtliche – oft teure – Maßnahmen, die den Datenschutz sicherstellen sollen, vom Cookie-Vermerk auf der Website über die IT-Grundschutz-Empfehlungen des BSI bis hin zu Informationssicherheitsmanagementsystemen (ISMS) bzw. Datenschutz-Managementsystemen (DSMS) und Penetrationstests vor Ort. Auf der anderen Seite brauchen Sie ein Zertifikat, auf dem steht: Jawohl, ist geprüft und datenschutzkonform.
Die Datenschutz-Grundverordnung selbst sieht in Art. 42 derartige Zertifizierungen vor. Leider lässt sich der Praxis bislang nichts Genaueres zum Zertifizierungsverfahren entlocken. Die bisherige Erfahrung hat gezeigt, dass der Aufwand meist beträchtlich ist, ebenso wie etwa die Audit-Kosten einer ISO-27001-Zertifizierung. Bedenken Sie außerdem, dass Normen wie die ISO 27701 (Datenschutz für ISMS) tatsächlich keine DSGVO-Zertifizierung ermöglichen. Generell: Zertifizierungen von Managementsystemen gelten nicht als offizielle DSGVO-Nachweise! Kurzum: Für kleine, mittlere und selbst gestandene Unternehmen aus dem Mittelstand sind ISO-Zertifizierungen kein gangbarer Weg. Sie sind zu teuer, zu umständlich, obendrein meist überdimensioniert und am Ende nur die halbe Lösung. Was gibt es stattdessen?
Rasche DSGVO-Zertifizierung in Reichweite
Kleine und mittlere Unternehmen (KMU) stehen in der Praxis meist vor einer der folgenden beiden Aufgaben:
Am besten – und schnellsten – funktioniert dann eine privatrechtliche Zertifizierung über Dienstleister wie IITR Cert. Die externen Datenschutzbeauftragten in Gröbenzell bei München haben ein Verfahren entwickelt, um Unternehmen im Umgang mit Daten auf Datenschutzkonformität zu prüfen und zu zertifizieren. Außerdem haben sie eine Möglichkeit entwickelt, das erforderliche Audit weitgehend zu automatisieren: Privacy Status Evaluation (PSE) heißt das Online-System, das Ihnen im einfachsten Fall binnen acht Tagen ein gültiges Datenschutz-Zertifikat verschafft. An Kosten kommen dabei 1.500 bis 2.000 Euro auf Sie zu – vergleichen Sie das ruhig einmal.
Wie funktioniert die Privacy Status Evaluation?
PSE ist eine intelligente Online-Plattform, die Sie zunächst vor eine umfangreiche Fragenreihe stellt. Mindestens einen halben Tag sollten Sie dafür in jedem Fall einkalkulieren. Welche Fragen es im Einzelnen sind, richtet sich u. a. nach Ihrer Branche, Ihren bereits eingegebenen Antworten und nicht zuletzt Ihrer angestrebten Konformitätsbewertung (CPS 100, CPS 600 oder CPS 300).
Certified Privacy Standard
Mit CPS (Certified Privacy Standard) hat die IITR Cert GmbH konkret umsetzbare Standards als Konformitätsbewertungsprogramme geschaffen, durch die sich
-
- Datenschutzkonformität herstellen und
- Datenschutzkonformität bescheinigen
lässt. Die konkrete CPS-Ausgestaltung unterscheidet je nach Unternehmensgröße und Art der Datenverarbeitung zwischen CPS 100 (Nachweis für mittelständische Unternehmen), CPS 600 (Nachweis für kleine Unternehmen) und CPS 300 (Nachweis für Auftragsverarbeiter nach Art. 28 DSGVO).
Sobald Sie alle Fragen der Privacy Status Evaluation beantwortet haben, erhalten Sie eine direkte Bestätigung und die Nachricht, dass die Ergebnisse ausgewertet werden. Da jedes Unternehmen etwas anders tickt und das Risiko einfach zu groß ist, nehmen sich die Datenschutzfachleute von IITR Cert nun jeden einzelnen Antwortsatz persönlich vor.
Diese manuelle Datenschutz-Analyse dauert je nach Aufwand etwa ein bis zwei Wochen. Das Ergebnis ist ein präziser Auditbericht, der Ihnen Datenschutzkonformität bescheinigt. Und falls die Auditoren Datenschutzmängel feststellen, erhalten Sie praktische Hinweise, wie die Defizite am ehesten zu beseitigen sind. Binnen vier Wochen können Sie dann eine Nachprüfung mit Preisnachlass anfordern.
Kurzübersicht: PSE-Ablauf
Die drei Schritte des PSE-Online-Audits sind:
- Kontakt aufnehmen und Zugang anfordern,
- Fragen beantworten, dann einige Tage Geduld haben und
- Auditbericht und Datenschutz-Konformitätsnachweis erhalten.
Praktische Punkte der PSE-Abfrage
Die Fragen des PSE-Audits sind in gut verständlicher Sprache formuliert – soweit das Juristendeutsch dies zulässt – und heben den jeweils wesentlichen Punkt deutlich hervor. Die Erläuterungen dazu gehen kurz auf den Hintergrund der Frage ein und nennen praktischerweise auch die relevanten Artikel der Datenschutz-Grundverordnung.
Der Aufbau unterscheidet sich je nach gewählter CPS-Variante. In jedem Fall dürfen Sie davon ausgehen, dass Ihre Datenschutzumsetzung aus unterschiedlichen Blickwinkeln auf Herz und Nieren geprüft wird. Das beginnt bei den Verarbeitungstätigkeiten, dem Ort der Verarbeitung sowie der Art der Daten (von Kunden, Beschäftigten, Lieferanten etc.) und reicht bis zu nachgelagerten Dienstleistern und Subunternehmen, die möglicherweise Zugriff haben. Als Stichpunkte für abgefragte Themenkomplexe seien beispielhaft genannt:
1
Datenweitergabe (automatisiert oder manuell)
Cloud-Systeme, VPNs (Virtual Private Networks), BYOD (Bring Your Own Device, also Smartphones und ähnliche Geräte, die Beschäftigte oder Besucher selbst mitbringen), Festplattenverschlüsselung, Ende-zu-Ende-Verschlüsselung, MDM (Mobile Device Management), USB-Anschlüsse etc.
2
Datenschutzbeauftragte (intern oder extern) und Compliance-Verantwortliche
Tätigkeit, Schulung, mögliche Interessenskonflikte, Handbuch etc.
3
Beschäftigte
Geheimhaltungsverpflichtung, Unterweisung und Schulungen (mit Nachweisen!).
4
Vertraulichkeit
Mandantenfähigkeit, Trennung von Test- und Echtdaten u. Ä.
5
Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle
Maßnahmen zum physischen Schutz von Gebäuden, Büro- und Serverräumen sowie -schränken, also Videoüberwachung, Schließsysteme, Einbruchmeldeanlage, Berechtigungen und Rollen, Netzwerksicherheit, Passwortregeln, Multi-Faktor-Authentifizierung, Logfiles, SIEM (Security Information and Event Management), Need-to-know-Prinzip und mehr.
6
Datenverarbeitungsanlagen (vor allem Serverräume)
Klimatisierung und Temperaturüberwachung, Monitoring und Wartung, USV (unterbrechungsfreie Stromversorgung), Redundanz und räumliche Trennung (Internet-Anbindung, Stromversorgung), Überspannungsschutz, Security-Vorkehrungen, Zurück-ups und Verfügbarkeit (mit Tests und Wiederanlaufübungen!), IT-Betriebshandbuch, Notfallhandbuch, Patch-Management etc.
7
Betroffenenrechte
Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Mitteilungspflicht bei Berichtigung und Löschung sowie Recht auf Datenübertragbarkeit.
Die Datenschützer interessiert außerdem, wie Sie mit eventuellen Datenschutzverletzungen umgehen, welche Verfahren dafür vorgesehen sind und wie Sie den gesetzlichen Meldepflichten genügen. Falls Sie Daten im Auftrag verarbeiten, spielt es auch eine Rolle, wie eine Löschung oder die Rückgabe der Daten geregelt ist.
Datenschutzumsetzung – und Dokumentation
Natürlich fragt PSE im Einzelnen ab, welche Datenschutzmaßnahmen Sie getroffen haben. Machen Sie sich aber außerdem darauf gefasst, dass das System meist auch wissen will, wie die Dokumentation dazu aussieht und wo sie liegt. Es empfiehlt sich, bereits im Vorfeld zu prüfen, ob Sie auf diese Fragen eine gute Antwort parat haben. Ratsam ist zudem, dass der Datenschutzbeauftragte Ihres Unternehmens in dieser Phase greifbar ist, falls Sie Rückfragen haben. Generell gilt: Lieber gründlich als nur irgendwie.
Die PSE ist allerdings keine fixe Sammlung von Fragen, sondern ein dynamisches System, das Ihre Eingaben auf Plausibilität prüft und Unstimmigkeiten erkennt. Aus diesem Grund folgt die Eingabe auch einer strikten Reihenfolge, eine Rückwärtskorrektur bereits beantworteter Fragen ist nicht möglich. Das klingt hart, ergibt aber Sinn: Es geht schließlich nicht darum, den Ist-Zustand im PSE gut aussehen zu lassen. Unstimmigkeiten sollen vielmehr bei den Datenschutzmaßnahmen selbst behoben werden. Sie dürfen dennoch beruhigt sein: Reine Fangfragen gibt es nicht. Sie können die Arbeit auch jederzeit unterbrechen und zu einem späteren Zeitpunkt fortsetzen.
Zeitaufwand und Kostenerwägung
Zugegeben, ein halber Tag ist für Firmenverantwortliche viel Zeit. Doch was wäre die Alternative? Auf die Datenschutz-Zertifizierung zu verzichten, ist keine Lösung. Und einem Datenschutz-Auditor vor Ort können Sie auch nicht einfach die Schlüssel in die Hand drücken. Im Gegenteil: Diese Variante erfordert weit mehr persönlichen Einsatz von Ihrer Seite, einen größeren Zeitaufwand und ziemlich viel Geduld.
Tatsächlich ist es so, dass Sie mit der PSE das Audit online so effizient wie möglich abarbeiten können. Das schlägt sich nicht zuletzt auch in den extrem überschaubaren Kosten dieses Vorgehens nieder. Ein Audit, das im Rahmen von 1.500 bis 2.000 Euro bleibt, werden Sie sonst vergeblich suchen – sofern Sie überhaupt verlässliche Auskunft bekommen.
Und mehr als nötig müssen Sie gar nicht prüfen lassen: PSE funktioniert auch für einzelne Abteilungen (HR, Vertrieb, Marketing etc.) und sogar für klar abgegrenzte Datenverarbeitungstätigkeiten (Bewerbermanagement, Personalakten, Videoüberwachung etc.). Besonders praktisch: Nach Abschluss können Sie das eigene Datenschutzniveau mit dem anderer Betriebe und Organisationen vergleichen.
Andererseits ist die PSE ein System, das auch mehr kann. Entwickelt wurde es ursprünglich für die Auftragsverarbeitung gemäß Art. 28 DSGVO. Die Nachfrage hat aber gezeigt, dass es ein ebenso praktisches Werkzeug ist, um etwa die Umsetzung des eigenen Datenschutz-Managementsystems zu testen oder um die besonderen Problemstellungen einzelner Branchen zu prüfen (Gastronomie, Personaldienstleister, Stadtwerke etc.).
Nachweisbar datenschutzkonform
Die DSGVO nimmt bei der Auftragsverarbeitung immer auch den Auftraggeber in die Pflicht. Dafür hat die Datenschutz-Grundverordnung die sogenannte gesamtschuldnerische Haftung vorgesehen: Verantwortlicher und Auftragsverarbeiter haften für Schäden Dritter jeweils auf die volle Summe. Allein aus diesem Grund müssen sich Firmenverantwortliche vorsehen und von ihren datenverarbeitenden Auftragnehmern – also bei Cloud-Diensten, Hosting und letztlich den meisten IT-Services – einen belastbaren Nachweis der Datenschutzkonformität verlangen. Parallel dazu leistet die PSE freilich den Nachweis der eigenen, datenschutzkonformen Aufstellung.
Die Gesetzgeber haben bis dato noch nicht festgelegt, welche Stellen eine förmliche DSGVO-Zertifizierung durchführen sollen und dürfen. Ebenso offen ist noch, wie diese Zertifizierung aussehen soll und wo wiederum die Zertifizierer akkreditiert sein sollen. Bereits etablierte offizielle Standards? Fehlanzeige. Die DSGVO hat damit eine echte Zwickmühle geschaffen: Sie müssen nachweisen, dass Sie datenschutzgerecht handeln, erfahren aber nicht, wie das genau geschehen soll.
In diese Bedarfslücke tritt die PSE-Lösung. Mit der Privacy Status Evaluation wählen Sie eine pragmatische und zugleich die derzeit sicherste Lösung: Ausgebildete Datenschutzexperten, die selbst Datenschutzbeauftragte sind, begutachten Ihre Datenverarbeitung und bescheinigen Ihnen Datenschutzkonformität. Weil Sie dabei mit den Fragereihen selbst einen Gutteil der Erhebungsarbeit übernehmen, kann dieses Online-Audit sogar deutlich unter den üblichen Marktpreisen bleiben.
Das ist nicht nur erfreulich, sondern eine netzpolitisch vernünftige Notwendigkeit. Denn Großunternehmen verlassen sich vielfach auf ISO-zertifizierte konkrete Produkte und Lösungen und mindern auf diese Weise ihr Risiko. Kleine und mittlere Unternehmen haben hingegen kaum die Chance, ihre Verantwortung auf einzelne Lösungsanbieter abzuwälzen. Das hat in der Praxis zur Folge, dass sie ohne eigene Beurkundung eines angemessenen Datenschutzniveaus im Endeffekt vom Markt ausgeschlossen wären: Ohne entsprechenden Nachweis wird jeder Geschäftspartner nur freundlich abwinken. Mit einer PSE-Zertifizierung dagegen bleiben Sie weiter erfolgreich im Geschäft.
