Derzeitiger Zertifizierungsstand

Für die Zielgruppe der mittleren bis kleineren Unternehmen, um die es hier gehen soll, verbleibt eine durch staatliche Zertifizierung nicht abgedeckte Angebotslücke. Dies löst Schwierigkeiten aus, sofern eine Verarbeitung personenbezogener Daten stattfinden soll und man dabei auf Auftragsverarbeitung zurückgreifen will oder gar angewiesen sein sollte.

Es ist bisher nicht entschieden, welche Behörde eine Akkreditierung eines Zertifizierers durchzuführen hat. Darüberhinaus wird weder die Zertifizierung noch ihre Voraussetzungen für die Unternehmen dargelegt. Anscheinend soll der Weg einer gegenseitigen Vertrauensbildung für Unternehmen gar nicht beschritten werden. Lediglich Produkte und Dienstleistungen unterliegen einer Zertifizierung. Demzufolge werden keine Standards genannt oder in Aussicht gestellt, um Unternehmen eine Möglichkeit des Nachweises zu eröffnen, den Anforderungen der nunmehr eingeführten Mithaftung eines Auftraggebers bei der Verarbeitung personenbeziehbarer Daten zu entsprechen.

Anstelle der ausbleibenden Möglichkeit einer offiziellen Zertifizierung vor allem von kleinen Unternehmen wird es unabwendbar, privatrechtliche Zertifizierungen in den Markt einzuführen.

Diese dienen sowohl dem Nachweis einer eigenen, datenschutzkonformen Aufstellung und stellen zusätzlich ein Instrument der Haftungsreduzierung für den Fall dar, dass man von einer Datenpanne bei sich, oder bei seinem Unterauftragnehmer betroffen sein könnte.

Diese Zertifizierung dient weiterhin der Vermeidung eines ansonsten drohenden Marktausschlusses von kleinen Unternehmen.

Da keine amtliche Zertifizierung von Unternehmen angeboten wird, verbleibt nur noch das Instrument einer Auditierung, welches vor einer Auftragsvergabe erfolgen müsste.

Bei fehlenden Zertifizierungs-Angeboten wird eine Auditierung erforderlich, weil jeder Geschäftsführer eines Unternehmens sich zukünftig vor Auftragsvergabe aus persönlichen Haftungsgründen von dem angemessenen Datenschutzniveau seines Auftragnehmers überzeugt haben muss. Die erfolgreiche Vergewisserung muss begründbar sein und vor Auftragsvergabe schriftlich niedergelegt werden.

Der Aufwand einer vorherigen Auditierung ist umständlich und könnte zum Marktausschluss all jener kleiner Unternehmen führen, die sich die ansonsten nur für Groß-Unternehmen gedachte, langwierige, aufwendige und kostenintensive ISO 27001 / ISO 27552- Zertifizierung schlichtweg nicht leisten können.

IITR Cert GmbH bietet ein Instrument zur Zertifizierung und Haftungserleichterung für Unternehmen. Damit wird eine schnelle und effiziente Teilnahme am Markt für Unternehmen jeder Größenordnung gewährleistet.

Artikel 42 – Zertifizierung

1
Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizie­rungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nach­zuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunter­nehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
2
Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsver­arbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Über­mittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Ver­antwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger recht­lich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Per­sonen.
3
Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
4
Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verant­wortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und be­rührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind.
5
Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Auf­sichtsbehörde gemäß Artikel 58 Absatz 3 oder - gemäß Artikel 63 - durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
6
Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verar­beitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Ar­tikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätig­keiten.
7
Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifi­zierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizie­rung nicht oder nicht mehr erfüllt werden.
8
Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzei­chen in ein Register auf und veröffentlicht sie in geeigneter Weise.
Link zur DSGVO

Auslegung

Kurzpapier Nr. 9 Zertifizierung nach Art. 42 DS-GVO Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) zur ersten Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses

Dokument im Volltext

14. Dezember 2018 EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679) – Annex 1

Start Date: 14 December 2018
End Date: 01 February 2019

Guidelines accreditation certification bodies
Accreditation annex - public consultation