Update DSGVO-Zertifizierung: Künftiges Instrument für Datentransfers?
Datentransfers ins Nicht-EU-Ausland – etwa in die USA – spielen für die Wirtschaft hierzulande eine immense Rolle: Cloud-Dienste oder Tools für die Website wie Analyse-Werkzeuge kommen in aller Regel aus den USA. Mittlerweile kennt jeder die bestehende Problematik: Nach dem Schrems II-Urteil ist das Übermitteln personenbezogener Daten in die USA kaum rechtskonform möglich. Der mögliche Nachfolger – das Trans-Atlantic Data Privacy Framework – lässt noch auf sich warten. Und so haben die Datenschutzaufsichtsbehörden jüngst dargelegt, dass auch eine DSGVO-Zertifizierung als Rechtsgrundlage für Datentransfers möglich wäre. Im heutigen Beitrag werfen wir erst einen Blick auf DSGVO-Zertifizierungen, schlagen dann die Brücke zu möglichen Datentransfers in unsichere Drittstaaten, geben Euch konkrete Handlungsempfehlungen und blicken in die Zukunft der DSGVO-Zertifizierung und deren Änderungen.
DSGVO-Zertifizierung könnte noch dieses Jahr kommen
Sie wurde lange diskutiert – und bald, womöglich noch in diesem Jahr, könnte sie kommen: Die DSGVO-Zertifizierung. Die DSGVO-Zertifizierung kann helfen, aktuell bestehende Probleme mit dem Datenschutz zu lösen: Datenschutzvorfälle dürften seltener passieren, da ausschließlich IT-Produkte und Dienstleistungen zertifiziert werden, die die Vorgaben des Datenschutzrechts erfüllen. Eine DSGVO-Zertifizierung gemäß Art. 42 DSGVO hat viele Vorteile:
- Organisationen mit DSGVO-Zertifizierung können die Einhaltung der DSGVO nachweisen.
- Ein solcher Nachweis unterstützt bei der Rechenschaftspflicht gem. 5 Abs. 2 DSGVO.
- Die DSGVO-Zertifizierung kann als Gütesiegel betrachtet werden, sodass sie zur Imagepflege bzw. im Marketing genutzt werden kann.
Weitere Vorteile und Informationen zu den Planungen rund um die DSGVO-Zertifizierung findet Ihr in unserem Beitrag „DSGVO-Zertifizierung: Datenschutz-Alleinstellungsmerkmal für Unternehmen“.
Neben den eben genannten Vorteilen könnte sich ein weiterer Vorteil dazugesellen:
DSGVO-Zertifizierung als Basis für Datentransfers?
Der Europäische Datenschutzausschuss (EDSA) hat die DSGVO-Zertifizierung als potenzielles Instrument für Datentransfers beurteilt und hierzu Leitlinien veröffentlicht. Hintergrund ist, dass Unternehmen derzeit kaum rechtssicher agieren können, wenn sie US-Dienste nutzen möchten oder – in Ermangelung von Alternativen – zum Teil sogar nutzen müssen. Wenngleich es bereits die Ankündigung zum Privacy Shield-Nachfolger Trans-Atlantic Data Privacy Framework (TADPF) gab, folgten dieser Ankündigung noch keine spürbaren Taten. Somit herrscht seit mehr als zwei Jahren Rechtsunsicherheit bei Datentransfers in unsichere Drittländer wie den USA.
Mit den neu aufgelegten „Leitlinien über die Zertifizierung als Instrument für den Transfer“ verfolgt der EDSA das Ziel, die DSGVO-Zertifizierung als Datentransfer-Instrument so auszuarbeiten, dass die praktische Anwendung endlich möglich wird und so zeitnah wie möglich eine Alternative zum Schließen der EU Standarddatenschutzklauseln mit zusätzlichen Sicherungsmechanismen – wie Pseudonymisierung, Anonymisierung und Verschlüsselung und der obligatorischen Riskoanalyse (Transfer Impact Assessment/TIA). Als stellvertretender EDSA-Vorsitzender findet Ventsislav Karadjov die Leitlinien „bahnbrechend, da sie die allererste praktische Anleitung zur Zertifizierung als Instrument für Übermittlungen bieten – ein neues Übermittlungsinstrument, das durch die DSGVO eingeführt wurde. Die Leitlinien geben Hinweise, wie dieses Instrument in der Praxis eingesetzt werden kann und wie es dazu beitragen kann, ein hohes Datenschutzniveau bei der Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in Drittländer aufrechtzuerhalten.“
DSGVO-Zertifizierung als Transferinstrument
Damit sich die DSGVO-Zertifizierung als Instrument für Datentransfers eignet, müssen zusätzliche Kriterien erfüllt werden. Dazu gehört beispielsweise, dass Rechtsvorschriften in Drittländern bewertet werden müssen, aber auch allgemeine Pflichten von Datenexporteuren und –importeuren. Weiter müsse es Vorschriften zur Weiterleitung von Daten geben, außerdem Rechtsbehelfe und Möglichkeiten der Durchsetzung, Verfahren, aber auch Maßnahmen für bestimmte Situationen.
Das allein genügt immer noch nicht: Zusätzlich gilt es, den Bedarf für ergänzende Schutzmaßnahmen zu prüfen. Das kennt Ihr bereits aus den Standardvertragsklauseln (SCC) der EU und dem Transfer Impact Assessment (TIA) (zum Weiterlesen: „Drittlandübermittlung: TIA und neue Standardvertragsklauseln“). Auch in Zukunft müssen Datentransfers mit den dazugehörigen Bedingungen also ausgiebig geprüft werden.
Handlungsempfehlungen und Ausblick zur DSGVO-Zertifizierung
Der Einführung der DSGVO-Zertifizierung kann durchaus mit Optimismus begegnet werden – erst recht, nachdem der EDSA darin ein Werkzeug für Datentransfers sieht. Durch die Zertifizierung dürfte das Datenschutzniveau insgesamt ansteigen, während Unternehmen herausgefordert werden, Datenschutz noch mehr als positiven Wettbewerbsfaktor wahrzunehmen.
Dass eine DSGVO-Zertifizierung Basis von Datentransfers werden könnte, ist weiter positiv zu bewerten: Der rechtliche Rahmen wird ein Stück weit klarer als bisher. Als Allheilmittel für Datentransfers sollte die DSGVO-Zertifizierung jedoch nicht bewertet werden, denn auch in Zukunft wird eine Risikoanalyse unabdingbar sein.
Der EDSA erlaubt noch bis 30. September 2022 Kommentare zu den neuen Leitlinien, bevor diese konsolidiert werden, sodass die finale Fassung noch in diesem Jahr fertig werden könnte. Auch mit den DSGVO-Zertifizierungen ist noch in diesem Jahr zu rechnen. Deshalb: Bleibt diesbezüglich auf dem Laufenden und prüft Eure Datenströme. Für die DSGVO-Zertifizierung lohnt es, sich über Konformitätsbewertungsprogramme wie dem Zertifizierungsprogramm „information privacy standard“ zu informieren. Erste Prüfkataloge erblicken gerade das Licht der Welt – es wird also konkret! Wenn Ihr Unterstützung auf dem Weg zur DSGVO-Konformität und damit zur DSGVO-Zertifizierung braucht oder wenn Ihr Fragen zu Datentransfers habt, nehmt einfach Kontakt mit uns auf. Wir unterstützen Euch – passgenau und immer auf Augenhöhe!