Fit für die DSGVO Zertifizierungen
In wenigen Tagen gilt die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich für alle europäischen Unternehmen. Im Rahmen unserer DSGVO-Serie zeigen wir Euch heute auf, wie Ihr Euch mithilfe von Zertifizierungen vor den horrenden Bußgeldern schützt und euch weitere Vorteile sichert.
DSGVO Zertifizierungen erhalten neue Bedeutung
Mit der DSGVO erlangen Datenschutz-Zertifizierungen neue Bedeutung. Einige Beispiele verdeutlichen:
- Bußgelder reduzieren: Kommt es einmal zu einer Datenschutzverletzung, wirken sich Datenschutz-Zertifikate positiv auf etwaige Sanktionen aus. Diese werden mit der DSGVO existenzvernichtend, da der Gesetzgeber „empfindlich treffen“ möchte: bis zu 20 Millionen oder 4 % des weltweiten Jahresumsatzes können fällig werden – je nachdem, was höher ist. Das Gesetz drückt sich in Art. 83 DSGVO deutlich aus: „Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: Unter Abs. (j) heißt es weiter: „Einhaltung von genehmigten Verhaltensregeln […] oder genehmigten Zertifizierungsverfahren nach Artikel 42 […]“.
- Auftragsverarbeitung: Künftig werden, um das Datenschutz-Niveau eines Auftragsverarbeiters, etwa dem Cloud-Anbieter zu überprüfen, Datenschutz-Zertifikate genutzt. So erklärt Art. 28 DSGVO Abs. (5): „Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien […] nachzuweisen.“
- Übermittlung von Daten in Drittstaaten: Geht es um die Rechtsgrundlage für die Übermittlung von Daten in Drittstaaten, gibt Artikel 46 DSGVO Auskunft: Zu den möglichen Garantien für ein gutes Datenschutz-Niveau gehören Datenschutz-Zertifikate.
Verglichen zum bisherigen Recht stellt die DSGVO neue Pflichten auf, darunter zahlreiche Dokumentations- und Nachweispflichten. Verantwortliche und Auftragsverarbeiter selbst müssen eben diesen Nachweispflichten nachkommen. Das Gesetz drückt sich eindeutig aus (Art. 5 Abs. 2 DSGVO): „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Wenngleich der Auftragsverarbeiter in diesem Artikel nicht ausdrücklich genannt wird, ist seine Rechenschaftspflicht aus anderen Artikeln ableitbar.
Die DSGVO (Art. 32) verpflichtet den Verantwortlichen und den Auftragsverarbeiter dazu, technische sowie organisatorische Maßnahmen zur Datensicherheit zu ergreifen. Das ist nichts Neues, jedoch geht das Gesetz über bisherige Maßnahmen hinaus: Benötigt wird „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
Die Nachweispflicht wird in Art. 32 Abs. 3 DSGVO noch einmal explizit herausgestellt: „Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“
Nachweispflichten erfüllen
Es ist bereits herausgeklungen: Ihr habt nach der DSGVO zwei Wege, um Euren Nachweispflichten nachzukommen. Zum einen könnt Ihr auf genehmigte Verhaltensregeln setzen, zum anderen auf Zertifizierungen.
Art. 40 DSGVO erläutert die genehmigten Verhaltensregeln. Diese können durch Verbände oder andere Interessenvertretungen ausgearbeitet werden. Verhaltensregeln dieser Art bilden einen Nachweis darüber, den Anforderungen ans Verarbeiten personenbezogener Daten nachgekommen zu sein. Verantwortlich für die Genehmigung der Verhaltensregeln ist die zuständige Aufsichtsbehörde.
Zertifizierungen sind die Alternative zu den Verhaltensregeln. Mithilfe eines akkreditierten Zertifizierers durchlauft Ihr einen Prozess, der Eure Organisation auf den Weg zum datenschutzfreundlichen Unternehmen lenkt. Es gibt verschiedene Arten der Zertifizierung; einige eignen sich speziell für KMU, andere für Großunternehmen. Im Folgenden stellen wir Euch entsprechende Optionen vor.
Bestandsaufnahme: Erster Schritt
Der erste Schritt, bevor weitere Maßnahmen unternommen werden, muss immer eine Analyse des Ist-Zustands sein. Auch wenn Ihr Euch entscheidet, Eure Nachweispflichten mithilfe von Verhaltensregeln zu erfüllen, steht diese Ist-Analyse vor jedem weiteren Schritt.
Mittels einer Ist-Aufnahme findet Ihr beispielsweise heraus, wo Euer Unternehmen im Bereich Datenschutz überhaupt steht. In der Analyse identifiziert ein Berater datenschutzrelevante Stärken und Schwächen im Unternehmen und zeigt konkrete sowie individuelle Handlungsempfehlungen auf.
VdS 10010: Zertifizierung für den Datenschutz
Zertifizierungen werden mit der DSGVO eine ganz neue Bedeutung bekommen: Mit ihnen erhalten Unternehmen die Möglichkeit, ihren Datenschutz zertifizieren zu lassen. Auf diese Weise entsprechen sie den Regelungen der DSGVO und können die existenzvernichtenden Bußgelder, die bei Datenschutzverstößen anfallen, umgehen.
Eine solche Zertifizierung, die speziell für kleine und mittelständische Unternehmen entwickelt wurde, ist VdS 10010. Ziel ist es, ein Datenschutzmanagementsystem zu implementieren und aufrechtzuerhalten. Das Augenmerk liegt dabei darauf, den KMU eine klare Handlungsanweisung an die Hand zu geben. Mit einer Zertifizierung nach VdS 10010 entsprecht Ihr den Anforderungen aus der DSGVO und legt den ersten Grundstein in Richtung Informationssicherheit, welchen Ihr mit einer Umsetzung der Richtlinie VdS 3473 vertiefen könnt. Wenn Ihr VdS 3473 umgesetzt habt, ist es übrigens nur noch ein kleinerer Schritt zur ISO 27001-Zertifizierung. Unternehmen, die nach diesen Richtlinien zertifiziert sind, können zu Recht von sich sagen, aktuellen Sicherheitsstandards zu entsprechen und den Schutz von sensiblen Daten sehr ernst zu nehmen.
Die Königsklasse der Zertifizierungen: ISO 27001
Die ISO 27001 ist ein weltweit anerkannter Standard für Informationssicherheit; sie ist sogar die führende Norm für Informationssicherheits-Management-Systeme (ISMS). Um Eure Organisation fit für die DSGVO und die Zukunft zu machen und um etwaige Sicherheitslücken in Eurem Unternehmen zu schließen, können wir, die Experten der PSW GROUP, Informationssicherheit nach ISO 27001 bei Euch etablieren. Weitere Informationen erhaltet Ihr an dieser Stelle.
Ob Eure Organisation gemeinnützig agiert, ob Ihr aus der Privatwirtschaft oder dem öffentlichen Sektor kommt: ISO 27001 ist der Standard! Konkret definiert die ISO 27001 alle Anforderungen für die Einführung, die Umsetzung, die Überwachung und die Optimierung eines ISMS in Eurer Organisation. Ihr erhaltet einen strukturierten und systematisch aufgebauten Ansatz, wie Ihr vertrauliche Informationen schützt, wie Ihr die Integrität Eurer Daten wahrt und wie Ihr die Verfügbarkeit Eurer IT-Infrastruktur optimiert.
Wir haben bereits zahlreiche Unternehmen bei der ISO 27001-Zertifizierung unterstützt. Damit schöpfen wir aus einem Pool an Kenntnissen aus verschiedensten Branchen. Profitiert auch Ihr davon und von unserer jahrelangen praktischen Erfahrung.
Zertifizierungen für die DSGVO
Die DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern zahlreiche Nachweise und Dokumentationen. Wisst Ihr bereits, wie Ihr diesen mit dem Start der DSGVO am 25. Mai 2018 nachkommt? Wenn nicht, wäre eine Ist-Analyse eine Erleichterung. So entdeckt Ihr, wo Ihr bereits gut aufgestellt seid und welche Defizite Ihr noch angehen müsst.
Dann habt Ihr zwei weitere Wege zur Nachweisbarkeit: Ihr könnt Verhaltensregeln genehmigen lassen oder entscheidet Euch für eine Zertifizierung. Selbstverständlich könnt Ihr auch ergänzend zu einer Zertifizierung Verhaltensregeln aufstellen.
Die Königsklasse der Zertifizierungen ist die ISO 27001-Zertifizierung. Sie ist ein international anerkannter Standard, mit dessen Unterstützung Ihr allen Nachweispflichten nachkommt. So senkt Ihr Bußgelder und seid nach außen hin als Datenschutz-orientiertes Unternehmen erkennbar. Das stärkt die Sicherheit und das Vertrauen von direkten Kunden, aber auch von Unternehmen, die Ihr als Dienstleister unterstützt.
Für kleine und mittelständische Unternehmen könnte der Aufwand der ISO 27001-Zertifizierung personelle und finanzielle Ressourcen übersteigen. Für den Einstieg in die zertifizierte Informationssicherheit eignet sich die Umsetzung der Richtlinie VdS 3473. Wenn Ihr VdS 3473 umgesetzt habt, ist es übrigens nur noch ein kleinerer Schritt zur ISO 27001-Zertifizierung. So kommt Ihr ebenfalls den in der DSGVO geforderten Nachweispflichten nach.
Habt Ihr Fragen zum Thema Zertifizierungen und DSGVO? Unsere Experten stehen Euch gerne mit Rat und Tat zur Seite – kontaktiert uns einfach!