Certified Privacy Standard (CPS) passgenau datenschutzgerecht

Die vielleicht größte Hürde auf dem Weg zu einer Datenschutz-Zertifizierung ist bereits genommen: Anhand der Kriterien des Certified Privacy Standard (CPS©) lässt sich problemlos prüfen und bescheinigen, dass ein Unternehmen DSGVO-konform verfährt.

Standards sind Fluch und Segen der Digitalisierung. Einerseits sichern sie Kompatibilität, andererseits hinkt ihre Entwicklung dem rasanten technologischen Wandel meist beträchtlich hinterher. So war es auch bei Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) ein Problem, dass es keine verbindlichen Schemata gab, wenn ein Unternehmen seinen Umgang mit (personenbezogenen) Daten prüfen und als datenschutzkonform bestätigen lassen wollte. Die DSGVO sieht in Artikel 42 zwar eine Datenschutz-Zertifizierung vor, gibt aber keine Hinweise zum Verfahren oder zu Standards.

Datenschutzkonformität herstellen und bescheinigen

Die IITR Cert GmbH hat darum mit dem markenrechtlich geschützten Standard CPS© (Certified Privacy Standard) praktische Kriterien entwickelt, nach denen ein Audit prüfen und bescheinigen kann, dass ein Unternehmen datenschutzkonform verfährt. Ein Schwerpunkt liegt dabei auf der Nachweisbarkeit von Datenschutzmaßnahmen. Genauer gesagt leistet CPS sogar zweierlei:

  1. CPS ist umsetzbar und kann Datenschutzkonformität herstellen: indem das Unternehmen den Kriterienkatalog durchgeht und für sämtliche relevanten Prüfpunkte DSGVO-gerechte Prozesse aufsetzt.
  2. CPS ist prüfbar und kann Datenschutzkonformität bescheinigen: indem ein unabhängiger Auditor anhand des Kriterienkatalogs die DSGVO-Umsetzung prüft und zertifiziert.

Datenschutzkonformität nach Größe und Schwerpunkt

Es gibt den Certified Privacy Standard mittlerweile in drei unterschiedlichen Ausprägungen, je nach Unternehmensgröße und Schwerpunkt der Datenverarbeitung:

  • CPS 100 ist für mittelständische Unternehmen mit einem versionierenden Datenschutz-Managementsystem wie dem Compliance-Kit 2.0 gedacht, das lückenlos und laufend dokumentiert, wann welche Dokumente geändert wurden. Damit ist die aktuelle Dokumentenlage jederzeit nachvollziehbar und Datenschutzkonformität sichergestellt. Das CPS-100-Prüfschema bestätigt dementsprechend DSGVO-Konformität zum Zeitpunkt der Überprüfung. Die Zertifizierung erfolgt durch eine unabhängige Stelle. Das CPS-100-Zertifikat dient insbesondere der Erfüllung der Rechenschaftspflicht und dem Nachweis der DSGVO-Konformität gegenüber Kunden und Geschäftspartnern.
  • CPS 600 richtet sich an kleine Unternehmen mit höchstens 20 Mitarbeitern und einem Tätigkeitsschwerpunkt, der nicht in der Verarbeitung sensibler personenbezogener Daten liegt. Bescheinigt wird mit dieser Konformitätsbewertung die Übereinstimmung mit den Handreichungen für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht, umgesetzt im Datenschutz-Kit mit seinem Datenschutz-Managementsystem. Auch das Datenschutz-Kit arbeitet versionierend. Es dokumentiert also stets die aktuelle Dokumentenlage des Unternehmens.
  • CPS 300 konzentriert sich auf Auftragsverarbeiter gemäß 28 DSGVO. Im CPS-300-Prüfschema stehen entsprechend die Modalitäten der Auftragsverarbeitung im Fokus: Vertrag und Erfüllungsort, Verarbeitungstätigkeiten, Regelungen für Subunternehmen etc. Dieser Standard zertifiziert gezielt die Konformität mit den Bestimmungen von Art. 28 DSGVO.

Mehr dazu: Datenschutz-Management für kleine und mittlere Unternehmen

Im Fokus Auftragsverarbeitung nach Art. 28

Ein genauerer Blick auf CPS 300 zeigt, dass der Certified Privacy Standard für beide Seiten der Auftragsverarbeitung sinnvoll ist: für Auftragnehmer wie für Auftraggeber.

  • Die DSGVO verpflichtet Sie als Auftraggeber dazu, sich vor Auslagerung der Verarbeitung von Daten zu vergewissern, dass der Auftragnehmer datenschutzgerecht mit den anvertrauten Daten umgeht. Das gilt ganz besonders bei der Verarbeitung personenbezogener Daten. Zusätzliche Schärfe bekommt diese Pflicht dadurch, dass die DSGVO mit der gesamtschuldnerischen Haftung erstmals die Auftraggeber mit in die Pflicht nimmt: Geschäftsführer halten als Auftraggeber für Verfahrensverstöße des Auftragnehmers den Kopf mit hin. Da ist ein Datenschutz-Zertifikat sicher nicht zu viel verlangt.
  • Die DSGVO verpflichtet Sie als Auftragnehmer ohnedies zu strengen Datenschutzvorkehrungen und zur genauen Dokumentation. Dies auch zertifizieren zu lassen, ist der geringste Aufwand. Dafür gewinnen Sie durch ein sichtbares Datenschutz-Zertifikat sofort Vertrauen und ermöglichen potenziellen Kunden einen raschen Vertragsabschluss.

Mehr dazu: Datenschutz-Zertifizierung für den Mittelstand

Tatsächlich wurde insbesondere CPS 300 aus einem dringenden Bedarf aus der Wirtschaft heraus entwickelt. Kaum ein modernes Unternehmen kommt heutzutage ganz ohne Auftragsverarbeitung aus. So einfach wie in Zeiten von Cloud Computing die Auslagerung der Datenverarbeitung ist, so einfach sollten sich auch die Haftungsrisiken eingrenzen lassen. Ein Datenschutz-Zertifikat auf CPS-Grundlage ist der einfachste Weg dorthin.