Datenschutz-Zertifizierung – auf der sicheren Seite

Eine Zertifizierung ist immer eine „Konformitätsbewertungsaussage“. Gemeint ist damit: eine Bescheinigung, mit der ein qualifizierter, unabhängiger Prüfer bestätigt, dass die Datenschutzmaßnahmen eines Unternehmens ausreichend, angemessen und in Ordnung sind. So weit, so einfach.

Seit dem 25. Mai 2018 ist die EU-DSGVO (Datenschutz-Grundverordnung) europaweit maßgeblich. Deshalb muss eine Datenschutz-Zertifizierung den Vorgaben der DSGVO genügen. Und damit wird es schwierig. Denn die DSGVO sieht in Art. 42 zwar Zertifizierungen sowie entsprechende Siegel und Prüfzeichen vor, macht aber keinerlei Angaben dazu, wie das geschehen soll. Es gibt hierzu keine Standards, keine Prozesse, keine offiziellen Prüfstellen. Was also tun?

Schwierige Vorgaben, praktische Lösungen

Versierte Datenschutzexperten haben früh erkannt, dass Datenschutz-Zertifizierungen eigene Initiative erfordern, und entsprechende Lösungen vorgeschlagen. Die gute Nachricht: Es gibt tatsächlich praktikable Datenschutz-Zertifizierungen – und zwar nicht nur für große Konzerne mit eigener Rechtsabteilung. Wir sprechen hier von realistischen Lösungen auch für kleine und mittlere Unternehmen (KMU), also von Zertifizierungen, die

notwendig und sinnvoll
verhältnismäßig und
finanzierbar sind

Als eine der ersten Stellen hat die IITR Cert GmbH auf eigene Initiative konkrete Datenschutz-Standards erarbeitet, die den betrieblichen Bedürfnissen mittelständischer Unternehmen entgegenkommen. Um den Aufwand in Grenzen zu halten und um möglichst stabile, einfache Datenschutz-Zertifizierungen zu schaffen, haben die IITR-Experten außerdem einsatzfertige Datenschutz-Managementsysteme geschaffen, die Unternehmen die Einhaltung und Dokumentation der DSGVO-Vorschriften in der Praxis erleichtern.

Mehr dazu: Certified Privacy Standards

Was leistet eine Datenschutz-Zertifizierung?

Jede Zertifizierung ist zunächst eine Frage des Vertrauens: Anhand des Zertifikats erkenne ich, dass der Anbieter wohldefinierte Standards einhält. Das gilt für die TÜV-Plakette am Auto genauso wie für den Blauen Engel auf dem Büromaterial.

In der Praxis wird diese Vertrauensfrage durch gesetzliche Vorgaben verschärft. Zum Beispiel müssen fast alle Produkte, bevor man sie in Verkehr bringt, eine ganze Reihe von Nachweisen erfüllen. Im Datenschutz ist es außerdem noch umgekehrt, denn die DSGVO nimmt Auftraggeber und Auftragsverarbeiter in die Pflicht: Wer etwa personenbezogene Daten im Auftrag verarbeiten lässt – und das geschieht öfter und eher, als die meisten denken –, muss sich seinerseits vergewissern, dass der Anbieter die Vorgaben des Datenschutzes einhält. Mit anderen Worten:

Wer Daten verarbeiten lässt, verlangt sinnvollerweise von seinem Anbieter einen solchen Nachweis, sprich: ein Datenschutz-Zertifikat.
Wer Daten selbst verarbeitet, bietet seinen Kunden am besten ein Datenschutz-Zertifikat an. Auf dieser Grundlage kommen Sie sicher ins Geschäft.

Dieser Aspekt hat auch ganz handfeste Folgen für das Gefüge der Wirtschaft. Zum Beispiel werden Großunternehmen von den beteiligten Unternehmen ihrer Lieferketten ein Datenschutz-Zertifikat verlangen (müssen). Wer dann keines hat, ist übel dran. Vor allem kleine und mittlere Unternehmen, die in DSGVO-Dingen auf Unterstützung angewiesen sind, wären ohne einfache, erschwingliche Verfahren der Datenschutz-Zertifizierung praktisch vom Markt ausgeschlossen.

Hintergrund: Artikel 42 DSGVO und die Haftungsfrage

Standards und Audit – die wichtigsten Punkte

An dieser Stelle schleichen sich die meisten Missverständnisse ein. Es geht hier nicht um zertifizierte Produkte oder Dienstleistungen. Es geht darum, die Verfahren und Prozesse, mit denen ein Unternehmen (personenbezogene) Daten verarbeitet, für DSGVO-konform zu erklären.

Sehen wir uns an, was dazu notwendig ist:

1
Audit
Es muss jemand die Prozesse der Datenverarbeitung prüfen und für angemessen befinden.
2
Qualifikation
Dieser Jemand muss dazu ausgebildet und befugt sein.
3
Integrität
Er soll außerdem unabhängig von der Stelle sein, die das Zertifikat ausgibt.
4
Standards
Er muss dabei nach einem einheitlichen Prüfschema vorgehen.
5
Information
Zur Prüfung der Verfahren braucht er verlässliche Auskünfte und Befunde.

Besonders bei den Punkten 4 und 5 ist derzeit Eigeninitiative gefordert. Offizielle Standards gibt es schlicht (noch) nicht. Es hängt an Fachleuten wie den Datenschutzbeauftragten der IITR Cert GmbH, die Datenschutzvorgaben in konkrete Prüfkriterien umzusetzen.

Von Art und Umfang der Information, die im Zertifikatsverfahren zur Verfügung steht, hängt wiederum wesentlich die Reichweite des Zertifikats ab:

Ein Unternehmen, das im Audit nicht mehr Auskunft geben kann als „Wir machen das derzeit so“, wird maximal auf DSGVO-Konformität zum Zeitpunkt der Prüfung zu zertifizieren sein. In vielen Fällen reicht das bereits aus.
Ein Unternehmen, das darlegen kann, dass es für konkrete Prozesse der Datenverarbeitung dauerhaft konkrete Verfahrensweisen festgelegt und dokumentiert hat, ist umfassender zu zertifizieren. (Auch in diesen Fällen sieht die DSGVO eine Neuzertifizierung spätestens nach drei Jahren vor.)

Das ist der Grund, warum größere Unternehmen ein Informationssicherheitsmanagement (ISMS) aufsetzen, eine ebenso aufwendige wie kostspielige ISO-27001-Zertifizierung anstreben und daran ISO-27701-Konformität anschließen – allerdings ist dies ohne Verfahrensdokumentation ein Ding der Unmöglichkeit. Diese Nachweis- und Rechenschaftspflichten sind wiederum genau der Grund, warum Unternehmen zusätzlich zur ISMS-Lösung ein Datenschutz-Managementsystem (DSMS) einsetzen.

 

Datenschutz-Managementsystem (DSMS)

Datenschutz-Management ist schlicht dazu da, die Umsetzung der DSGVO-Vorgaben organisiert, strukturiert und kontrolliert sicherzustellen. Dazu gehört nicht zuletzt auch eine saubere Dokumentation. Für die Datenschutz-Zertifizierung heißt das: Im Audit stehen nachweislich und ohne Umstände alle erforderlichen Informationen und Nachweise zur Verfügung.

Ein Datenschutz-Managementsystem ist in aller Regel bereits für kleine und mittlere Unternehmen eine sinnvolle Investition. Die Kosten halten sich durchaus im Rahmen: Das zertifizierte Compliance-Kit 2.0 der IITR Datenschutz GmbH schafft prüfbare DSGVO-Compliance schon für 30 Euro im Monat. Das Datenschutz-Kit mit Mustervorlagen, Online-Schulungen und einem externen Datenschutzbeauftragten schlägt mit 32,50 Euro zu Buche.

Entscheidend bleibt, dass ein Datenschutz-Managementsystem die stabile Basis der Datenschutz-Zertifizierung ist – und der einfachste Weg dorthin. Tatsächlich ist es im besten Fall so, dass das Audit die Anwendung des DSMS prüft. Denn damit liegen dem Auditor gebündelt bereits alle Informationen vor, die er zur Bewertung benötigt.

Eine belastbare Erst- oder Einmal-Analyse, mit der Sie den Datenschutzstatus Ihres Unternehmens analysieren und beurkunden lassen können, leistet IITR Cert mit der Privacy Status Evaluation (PSE).

Mehr dazu: Privacy Status Evaluation

Der kurze Weg zum Datenschutz-Zertifikat

Man darf sich noch einmal vergegenwärtigen, welche komplexe Kette des Vertrauens im Hintergrund erforderlich ist, wenn ein Unternehmen seine Datenverarbeitungsverfahren zertifizieren lässt:

Das Unternehmen lässt seine Datenschutzprozesse zertifizieren, und zwar
in einem an akzeptierten Standards ausgerichteten Audit
eines seinerseits zertifizierten Sachverständigen, der sich dabei auf
die Dokumentation des Datenschutz-Managementsystems stützt, das wiederum
von zertifizierten Fachleuten offiziell testiert ist.

Und jetzt dürfen Sie sich im Vergleich dazu vor Augen führen, wie überschaubar – und entsprechend kostenfreundlich – das in der IITR-Praxis wird:

Das Unternehmen lässt seine Datenschutzprozesse zertifizieren, und zwar
indem IITR Cert die Datenschutzumsetzung durch das Compliance Kit 2.0 zertifiziert.

Einfacher kann eine Datenschutz-Zertifizierung derzeit nicht sein.