Artikel 42 DSGVO – Zertifizierung ohne Zertifikate?

Wie genau die Einhaltung des Datenschutzes zu zertifizieren ist, lässt die DSGVO komplett offen. Kleine und mittelständische Unternehmen mindern ihre Haftungsrisiken am einfachsten durch privatrechtliche Zertifizierungen, die ihnen zugleich die Marktteilnahme sichern.

Die europäische Datenschutz-Grundverordnung beginnt das Thema Datenschutz-Zertifizierung in Artikel 42 mit einem Versprechen:

„Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.“

Das klingt zunächst gut. Doch was folgt, ist eine peinliche Lücke – und zwar genau bei den mittleren bis kleinen Unternehmen (KMU), die in Deutschland 99,3 % aller Unternehmen ausmachen. Sie sind aufgrund ihrer Größe regelmäßig darauf angewiesen, (personenbezogene) Daten im Auftrag verarbeiten zu lassen, Cloud Computing und die digitale Infrastruktur machen es möglich. Nur lässt die DSGVO im Unklaren, wie die Datenschutzeinhaltung einer solchen Auftragsverarbeitung zu zertifizieren ist.

Die Alternative: Zertifizierung aus eigener Kraft

Es ist bisher weder entschieden, welche Behörde einen Zertifizierer akkreditieren sollte, noch wie eine Zertifizierung aussähe und unter welchen Voraussetzungen sie stattfinden müsste. Fast scheint es, als solle der Weg der Vertrauensbildung gar nicht beschritten werden. Demzufolge werden keine Standards genannt oder auch nur in Aussicht gestellt, mit denen Unternehmen nachweisen könnten, dass ihre Verfahren datenschutzgerecht sind. Das wiegt umso schwerer, wenn man die mit der DSGVO eingeführte Mithaftung des Auftraggebers bei der Auftragsverarbeitung personenbeziehbarer Daten bedenkt.

Die IITR Cert GmbH adressiert dieses Problem. Wo die Möglichkeit einer offiziellen Zertifizierung fehlt, setzt sie auf privatrechtliche Zertifizierungen und hat selbst Instrumente zur Zertifizierung und Haftungserleichterung entwickelt: Standards, Zertifikate für passgenaue Datenschutz-Managementsysteme (DSMS) und praktische Schnellhilfen wie die Privacy Status Evaluation (PSE).

Sie dienen zum einen dem unkomplizierten und raschen Nachweis der eigenen, datenschutzkonformen Aufstellung, zum anderen sind sie ein Instrument der Haftungsreduzierung für den Fall einer Datenpanne im eigenen Unternehmen oder bei einem Unterauftragnehmer.

Teures ISO-Audit oder Ausschluss vom Markt

Notwendig erscheint dieser Schritt nicht zuletzt aus gesamtwirtschaftlichen Gründen. Rundheraus: Ohne taugliche Zertifizierung droht kleinen und mittleren Unternehmen de facto der Ausschluss vom Markt. Denn wo keine amtliche Zertifizierung angeboten wird, verbliebe nur noch das Instrument einer Auditierung. Diese Audits werfen jedoch unverhältnismäßige Kosten auf und müssten in grotesker Frequenz erfolgen: Denn jeder Geschäftsführer muss sich aus persönlichen Haftungsgründen vom angemessenen Datenschutzniveau seines Auftragnehmers überzeugt haben – und zwar vor der Auftragsvergabe. Die erfolgreiche Vergewisserung muss begründbar sein und vor Auftragsvergabe schriftlich niedergelegt werden.

Der Aufwand einer vorherigen Auditierung ist nicht nur umständlich. Er könnte in der Praxis zum Marktausschluss all jener kleiner Unternehmen führen, die sich die für Großunternehmen gedachte, langwierige, aufwendige und teure ISO-27001-Zertifizierung (IT-Sicherheit) mit ISO-27701-Ergänzung (Datenschutz-Management) schlichtweg nicht leisten können – sofern sie überhaupt einen Auditor finden.

Derzeit nehmen diverse Großunternehmen bereits Auditierungen ihrer Unterauftragnehmer vor. Die Folge: Wer jetzt keinen Auftrag hat, bekommt auch keinen mehr, es sei denn, er holt das Audit von sich aus nach. Manche Branchengrößen schließen bei ihren Auftragsverfahren kleine und mittlere Unternehmen bereits rigoros aus, wenn diese keine Zertifizierung nach ISO27001/27002 (IT-Sicherheit) oder vergleichbar vorlegen können. Derselbe Effekt dürfte mittelfristig auch im Datenschutz zu erwarten sein.

Zertifiziertes Datenschutz-Management

Angesichts der derzeitigen Entwicklung ist nicht zu erwarten, dass Datenschutz-Managementsysteme in absehbarer Zeit einem amtlichen hoheitlichen Zertifizierungsverfahren zugeführt werden. Es ist auch nicht erkennbar, dass amtlicherseits überhaupt die Notwendigkeit einer Zertifizierung von DSMS für kleine und mittlere Unternehmen erkannt würde.

KMU sind daher gut beraten, ihr Recht auf Marktteilnahme in eigener Initiative mit einem verlässlichen Zertifikat zu wahren und die eigenen Haftungsrisiken zu mindern. Die IITR Cert GmbH leistet eine solche Zertifizierung auf Basis bewährter Datenschutz-Managementsysteme nach dem privatrechtlichen Standard CPS (Certified Privacy Standard). Das ist heute, morgen und übermorgen das einzig Sinnvolle.