DSGVO-Zertifizierung: Datenschutz-Alleinstellungsmerkmal für Unternehmen
Kaum ein Tag vergeht, an dem die mediale Berichterstattung nicht von neuen Datenpannen dominiert wird. In der Folge dieser zahlreichen Missgeschicke im Umgang mit personenbezogenen Daten gewinnt der Datenschutz bei vielen Menschen an Bedeutung. Doch wie lässt sich beurteilen, ob Organisationen datenschutzkonform agieren? Eine DSGVO-Zertifizierung könnte ein gangbarer Weg sein – und genau die wird noch in diesem Jahr möglich sein. Deshalb blicken wir im heutigen Beitrag auf die aktuelle Situation und konkrete Pläne, zeigen die Vorteile eines DSGVO-Zertifikats auf und geben Ihnen einen Ausblick darauf, wie Zertifizierungen ablaufen können.
Was ist eine DSGVO-Zertifizierung?
Es sind nicht zuletzt zahlreiche Datenpannen, die das Thema Datenschutz in den Fokus der Menschen rückte. Ob Sie im B2C- oder B2B-Bereich tätig sind: Datenschutz zählt! In einigen Branchen existieren bereits spezifische Zertifizierungen, wie TISAX® in der Automotive-Branche. Doch abseits von branchenspezifischen Standards ist es schwer, das Datenschutzniveau zu prüfen: Kund:innen, Partner:innen, Lieferant:innen oder Dienstleister:innen müssen sich auf das verlassen, was Organisationen ihnen sagen, objektive Bewertungen existieren derzeit nicht.
Diese Lücke kann durch eine DSGVO-Zertifizierung geschlossen werden: Eine neutrale Prüfung der DSGVO-Konformität von unabhängiger Stelle. So können Interessierte über ein Zertifikat Auskunft einholen, inwieweit geprüfte IT-Produkte sowie Dienstleistungen den Anforderungen der Datenschutz-Grundverordnung genügen. Dies hat der Gesetzgeber in der DSGVO festgehalten: Gemäß Art. 42 DSGVO stellt ein DSGVO-Zertifikat den Nachweis dar, „dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen und Auftragsverarbeitern eingehalten wird.“
Zertifizierungsverfahren sind – so sieht es Art. 42 DSGVO vor – ausschließlich durch akkreditierte Zertifizierungsstellen durchzuführen. Damit ist die DSGVO das erste gesetzliche Rahmenwerk, das ein gesetzliches Datenschutz-Zertifikat, also ein Gütesiegel vorsieht.
Für wen eignet sich eine DSGVO-Zertifizierung?
Zertifizieren lassen sich sämtliche IT-gestützten Verarbeitungsvorgänge von personenbezogenen Daten – sowohl bei Verantwortlichen selbst als auch bei Auftragsverarbeitenden. Bei einer Datenschutz-Zertifizierung könnten außerdem spezielle Themen relevant sein: Das Übermitteln personenbezogener Informationen in Drittstaaten beispielsweise oder besondere Geheimhaltungspflichten wie im Gesundheitswesen oder bei Berufsgeheimnisträgern.
Mit welchen Vorteilen geht eine DSGVO-Zertifizierung einher?
Erhalten Unternehmen ein DSGVO-Zertifikat, gehen damit zahlreiche Vorteile einher:
- Nachweis DSGVO-Konformität: Das DSGVO-Zertifikat weist nach, dass Sie die europäischen Datenschutzgesetze einhalten. Das ist gerade in Hinblick auf die Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO für Auftragsverarbeitende interessant: Anstelle einer möglichen Prüfung eignet sich die Datenschutz-Zertifizierung als Nachweis.
- Optimierter Datenschutz: Die Datenschutz-Zertifizierung übernimmt eine neutrale und unabhängige Zertifizierungsstelle. Durch die Prüfung steigt das Datenschutzniveau in der Organisation. Weiter steigt die interne Motivation dafür, DSGVO-Konformität zu erreichen, da die Zertifizierung davon abhängt.
- Erfüllte Voraussetzungen bei Ausschreibungen: Auch bei Ausschreibungen zählt der Datenschutz immer mehr. Nur Organisationen, die die Auflagen erfüllen, haben überhaupt eine Chance. Wenn die DSGVO-Zertifizierung hierzulande möglich ist, wird auch sie immer häufiger vorausgesetzt.
- Image-Optimierung – Marketingeffekt durch Gütesiegel: Gütesiegel schaffen Vertrauen. Da das Bewusstsein für den Datenschutz steigt, ergibt sich aus der DSGVO-Zertifizierung für Unternehmen ein Image-Gewinn, weil ein Wettbewerbsvorteil gegenüber nicht-zertifizierten Mitbewerbenden besteht.
- Marktzutrittsvoraussetzung: Es gibt Bereiche, in denen verschiedene Qualitätsnachweise vorgeschrieben sind. So sind Datenschutz-Zertifikate für Anbietende von Videosprechstunden nach § 5 Anlage 31b BMV-Ä (PDF) erforderlich.
- Haftungsreduktion: Nachweise zum Einhalten der DSGVO können Haftungsreduktionen mit sich bringen. So kann das DSGVO-Zertifikat bei einem Datenschutz-Vorfall die Haftung erheblich erleichtern.
- Geringere Geldbußen: Auch beim Kalkulieren von etwaigen Geldbußen bei Datenschutz-Vorfällen können sich DSGVO-Zertifikate positiv auswirken. Gem. Art. 83 Abs. 2 lit. j) DSGVO wird die „Einhaltung von […] genehmigten Zertifizierungsverfahren nach Artikel 42“ beim Verhängen von Geldbußen „gebührend berücksichtigt“.
- Datenschutz-Vorfälle werden unwahrscheinlicher: Da der DSGVO-Zertifizierung eine ausgiebige Prüfung vorausgeht, in der etwaige Mängel deutlich werden, steigt das Datenschutz-Niveau und Datenschutz-Vorfälle werden unwahrscheinlicher.
- Aufsichtsbehörden: Prüfen Aufsichtsbehörden den Stand der Umsetzung der DSGVO, kann durch die DSGVO-Zertifizierung nachgewiesen werden, dass alle Anforderungen erfüllt sind.
- Wettbewerbsvorteile: Transparenz und Datenschutz sind in der heutigen Welt Wettbewerbsvorteile, die es zu nutzen gilt. Produkte und Dienstleistungen können austauschbar sein – ob Verbrauchende bei Ihnen oder bei Mitbewerbenden kaufen, ist nicht zuletzt Sympathiefrage. Und die können Sie steigern: Dadurch, dass Sie transparent agieren und durch die DSGVO-Zertifizierung nachweisen, dass die persönlichen Daten Ihrer Kund:innen und Interessent:innen bei Ihnen sicher sind.
Wann kommt die DSGVO-Zertifizierung?
Fast sechs Jahre, nachdem die DSGVO im Europäischen Parlament verabschiedet wurde, existiert auch heute noch keine akkreditierte Zertifizierungsstelle für die DSGVO-Zertifizierung. Weder europaweit noch auf nationaler Ebene gibt es bislang einen rechtssicheren Nachweis zur „DSGVO-Compliance“. Warum? Weil zunächst festgelegt werden musste, welche Anforderungen Zertifizierungsstellen zu erfüllen haben. Erst als Anforderungen an datenschutzrechtliche Zertifizierungsprozesse definiert waren, konnte der Akkreditierungsprozess starten.
Am Prozess der DSGVO-Zertifizierung selbst sind immer drei Akteure beteiligt: Ein zu zertifizierendes Unternehmen, welches das DSGVO-Zertifikat mit samt den oben erwähnten Vorteilen nutzen möchte. Ein:e unabhängige:r Gutachter:in, die das zu zertifizierende Unternehmen auf DSGVO-Konformität prüft. Und nicht zuletzt die Zertifizierungsstelle, die nach erfolgreicher Prüfung das Gütesiegel ausstellt. Die DSGVO fordert in Art. 42, dass die DSGVO-Zertifizierung eine maximale Gültigkeitsdauer von drei Jahren hat. Im Anschluss wird der Prüfprozess wiederholt. Dies ist der dynamischen Lage zu verdanken: Technologien entwickeln sich weiter, Verarbeitungsprozesse werden angepasst, Mitarbeitende kommen oder gehen – und so müssen Prüfungen in regelmäßigen Intervallen wiederholt werden.
Konkret: Wie läuft die DSGVO-Zertifizierung ab?
Noch in diesem Jahr soll die DSGVO-Zertifizierung möglich werden. Um ein DSGVO-Zertifikat zu erhalten, müssen Organisationen ein Zertifizierungsverfahren („Audit“) durchlaufen. Dieses Audit erfolgt anhand eines einheitlichen Anforderungskatalogs. Ist ein Datenschutzbeauftragter im Unternehmen benannt, wird dieser für gewöhnlich in diesen Prozess mit einbezogen; er kennt das Unternehmen gut und kann bei diesem ersten Überblick bestens unterstützen.
Meist beginnt der Prüfprozess mit Fragen allgemeiner Natur: Ist ein Datenschutzbeauftragter vorhanden? Werden Mitarbeitende im Datenschutz geschult? Dann folgen intensive Prüfungen relevanter Bereiche, beispielsweise die Abläufe im Unternehmen, die Sicherheit von Computersystemen, die Sicherung der Serverräume oder Zugänge zu Geräten und Räumen.
Wurden sämtliche Datenschutz-Anforderungen gemäß des Prüfkatalogs überprüft, wird ein Datenschutz-Gutachten erstellt. Dieses bildet die Basis für die Ausstellung des DSGVO-Zertifikats durch die Zertifizierungsstelle.
Datenschutz-Zertifizierung für KMU
Großkonzerne agieren unter anderen Bedingungen als kleine und mittelständische Unternehmen (KMU) – sie haben unterschiedliche personelle und finanzielle Möglichkeiten. Der Gesetzgeber betont in der DSGVO immer wieder die Verhältnismäßigkeit – und so soll auch das Verfahren zur DSGVO-Zertifizierung verhältnismäßig ausgestaltet sein: Laut Art. 42 Abs. 1 DSGVO soll „den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen […] Rechnung getragen“ werden.
Über die möglichen Kosten für die DSGVO-Zertifizierung lässt sich noch keine Aussage treffen – zu verschieden sind die zu prüfenden Organisationen. Es werden sich darüber hinaus verschiedene Zertifizierungsstellen und Gutachter am Markt etablieren – je nach Lokalität, etwaiger Branchenspezialisierung und weiteren Parametern sind auch hier verschiedene Preise zu erwarten.
DSGVO-Zertifizierung voraussichtlich noch in diesem Jahr
Zertifizierungsstellen werden hierzulande von der Deutschen Akkreditierungsstelle GmbH (DAkkS) und den unabhängigen Datenschutz-Aufsichtsbehörden akkreditiert (§ 39 BDSG). Den langwierigen Prozess der Akkreditierung sollen erste Stellen noch in diesem Jahr durchlaufen haben – erste positive Rückmeldungen auf Prüfkataloge hat es bereits gegeben.
Es haben sich bereits Organisationen zusammengeschlossen und das Zertifizierungsprogramm „information privacy standard“ erarbeitet. Dieses Konformitätsbewertungsprogramm soll weiteren Zertifizierungsstellen angeboten werden: So könnte ein Standard entstehen, auf dessen Basis möglichst viele Zertifizierungsstellen ihre Akkreditierung gem. Art. 42 DSGVO durchführen. Dadurch gelänge es, DSGVO-Zertifikate gemäß einheitlichem „information privacy standard“ am Markt zu etablieren.