Artikel 42 DSGVO – Zertifizierung ohne Zertifikate?
Wie genau die Einhaltung des Datenschutzes zu zertifizieren ist, lässt die DSGVO komplett offen. Kleine und mittelständische Unternehmen mindern ihre Haftungsrisiken am einfachsten durch privatrechtliche Zertifizierungen, die ihnen zugleich die Marktteilnahme sichern.
Die europäische Datenschutz-Grundverordnung beginnt das Thema Datenschutz-Zertifizierung in Artikel 42 mit einem Versprechen:
„Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.“
Das klingt zunächst gut. Doch was folgt, ist eine peinliche Lücke – und zwar genau bei den mittleren bis kleinen Unternehmen (KMU), die in Deutschland 99,3 % aller Unternehmen ausmachen. Sie sind aufgrund ihrer Größe regelmäßig darauf angewiesen, (personenbezogene) Daten im Auftrag verarbeiten zu lassen, Cloud Computing und die digitale Infrastruktur machen es möglich. Nur lässt die DSGVO im Unklaren, wie die Datenschutzeinhaltung einer solchen Auftragsverarbeitung zu zertifizieren ist.
Die Alternative: Zertifizierung aus eigener Kraft
Es ist bisher weder entschieden, welche Behörde einen Zertifizierer akkreditieren sollte, noch wie eine Zertifizierung aussähe und unter welchen Voraussetzungen sie stattfinden müsste. Fast scheint es, als solle der Weg der Vertrauensbildung gar nicht beschritten werden. Demzufolge werden keine Standards genannt oder auch nur in Aussicht gestellt, mit denen Unternehmen nachweisen könnten, dass ihre Verfahren datenschutzgerecht sind. Das wiegt umso schwerer, wenn man die mit der DSGVO eingeführte Mithaftung des Auftraggebers bei der Auftragsverarbeitung personenbeziehbarer Daten bedenkt.
Die IITR Cert GmbH adressiert dieses Problem. Wo die Möglichkeit einer offiziellen Zertifizierung fehlt, setzt sie auf privatrechtliche Zertifizierungen und hat selbst Instrumente zur Zertifizierung und Haftungserleichterung entwickelt: Standards, Zertifikate für passgenaue Datenschutz-Managementsysteme (DSMS) und praktische Schnellhilfen wie die Privacy Status Evaluation (PSE).
Sie dienen zum einen dem unkomplizierten und raschen Nachweis der eigenen, datenschutzkonformen Aufstellung, zum anderen sind sie ein Instrument der Haftungsreduzierung für den Fall einer Datenpanne im eigenen Unternehmen oder bei einem Unterauftragnehmer.