Derzeitiger Zertifizierungsstand

Für die Zielgruppe der mittleren bis kleineren Unternehmen, um die es hier gehen soll, verbleibt eine durch staatliche Zertifizierung nicht abgedeckte Angebotslücke. Dies löst Schwierigkeiten aus, sofern eine Verarbeitung personenbezogener Daten stattfinden soll und man dabei auf Auftragsverarbeitung zurückgreifen will oder gar angewiesen sein sollte.

Es ist bisher nicht entschieden, welche Behörde eine Akkreditierung eines Zertifizierers durchzuführen hat. Darüberhinaus wird weder die Zertifizierung noch ihre Voraussetzungen für die Unternehmen dargelegt. Anscheinend soll der Weg einer gegenseitigen Vertrauensbildung für Unternehmen gar nicht beschritten werden. Lediglich Produkte und Dienstleistungen unterliegen einer Zertifizierung. Demzufolge werden keine Standards genannt oder in Aussicht gestellt, um Unternehmen eine Möglichkeit des Nachweises zu eröffnen, den Anforderungen der nunmehr eingeführten Mithaftung eines Auftraggebers bei der Verarbeitung personenbeziehbarer Daten zu entsprechen.

Anstelle der ausbleibenden Möglichkeit einer offiziellen Zertifizierung vor allem von kleinen Unternehmen wird es unabwendbar, privatrechtliche Zertifizierungen in den Markt einzuführen.

Diese dienen sowohl dem Nachweis einer eigenen, datenschutzkonformen Aufstellung und stellen zusätzlich ein Instrument der Haftungsreduzierung für den Fall dar, dass man von einer Datenpanne bei sich, oder bei seinem Unterauftragnehmer betroffen sein könnte.

Diese Zertifizierung dient weiterhin der Vermeidung eines ansonsten drohenden Marktausschlusses von kleinen Unternehmen.

Da keine amtliche Zertifizierung von Unternehmen angeboten wird, verbleibt nur noch das Instrument einer Auditierung, welches vor einer Auftragsvergabe erfolgen müsste.

Bei fehlenden Zertifizierungs-Angeboten wird eine Auditierung erforderlich, weil jeder Geschäftsführer eines Unternehmens sich zukünftig vor Auftragsvergabe aus persönlichen Haftungsgründen von dem angemessenen Datenschutzniveau seines Auftragnehmers überzeugt haben muss. Die erfolgreiche Vergewisserung muss begründbar sein und vor Auftragsvergabe schriftlich niedergelegt werden.

Der Aufwand einer vorherigen Auditierung ist umständlich und könnte zum Marktausschluss all jener kleiner Unternehmen führen, die sich die ansonsten nur für Groß-Unternehmen gedachte, langwierige, aufwendige und kostenintensive ISO 27001 / ISO 27552- Zertifizierung schlichtweg nicht leisten können.

IITR Cert GmbH bietet ein Instrument zur Zertifizierung und Haftungserleichterung für Unternehmen. Damit wird eine schnelle und effiziente Teilnahme am Markt für Unternehmen jeder Größenordnung gewährleistet.