MH - Fotolia
Datenschutz: Was kann nach der EU-DSGVO zertifiziert werden?
Datenschutz-Zertifikate erhalten durch die DSGVO eine hohe Bedeutung. Doch nicht alles kann nach GDPR zertifiziert werden. Die Aufsichtsbehörden veröffentlichen Leitlinien dazu.
Nicht nur aus Gründen der Compliance und zur Vermeidung möglicher Sanktionen und Bußgelder ist es wichtig, die Konformität mit der Datenschutz-Grundverordnung (DSGVO/GDPR) sicherzustellen und nachweisen zu können. Auch für das Marketing und den Unternehmenserfolg spielt dies eine entscheidende Rolle.
Umfragen ergeben regelmäßig, dass Kunden die Unternehmen „abstrafen“ wollen, die die Betroffenenrechte der Kunden nach DSGVO nicht einhalten. Mehr noch: Für Cloud Computing ergab der Cloud-Monitor 2018 von BITKOM und KPMG zum Beispiel, dass für 97 Prozent die Konformität mit der Datenschutz-Grundverordnung bei Cloud-Lösungen unverzichtbar ist, wenn sie einen Cloud-Anbieter auswählen.
Wer die Konformität nach DSGVO nachweisen kann, hat also ein bedeutendes Kriterium für den Erfolg am Markt erfüllt. Entsprechend wichtig sind Datenschutz-Zertifizierungen nach DSGVO als Nachweis der Konformität.
Datenschutz-Zertifikate müssen Bedingungen erfüllen
Wenn man die Konformität mit der DSGVO nachweisen will, geht dies jedoch nicht mit jedem beliebigen Zertifikat, das sich dem Datenschutz widmet. Das ist einerseits leicht verständlich, denn Konformität mit der DSGVO kann nur nachgewiesen werden, wenn das Zertifikat selbst der Datenschutz-Grundverordnung genügt.
Andererseits gibt es eine Vielzahl von Datenschutz-Zertifikaten am Markt, mit denen sich ein hoher Datenschutz bescheinigen lassen soll. Das Problem ist nur: Die Konformität mit der DSGVO kann nicht mit jedem beliebigen Datenschutz-Zertifikat nachgewiesen werden, auch wenn Datenschutz darauf steht.
Bedingungen nennen DSGVO und die Aufsichtsbehörden
Im Gegensatz zum alten Bundesdatenschutzgesetz (BDSG-alt) finden sich in der DSGVO genauere Vorgaben zur Zertifizierung, in Artikel 42 DSGVO (Zertifizierung) und Artikel 43 DSGVO (Zertifizierungsstellen).
Zum einen wird darin geklärt, dass die Zertifizierung freiwillig sein muss, dass sie widerrufen werden kann, dass die Gültigkeit zeitlich befristet ist und dass die Zertifizierungsstellen selbst auch bestimmte Kriterien erfüllen müssen, um akkreditiert zu werden. Nur entsprechend akkreditierte Zertifizierungsstellen (nach Artikel 43 DSGVO) und die Aufsichtsbehörden selbst können Zertifikate ausstellen, die eine Konformität mit der DSGVO nachweisen können.
Der Europäische Datenschutzausschuss (EDPB) und die nationalen Aufsichtsbehörden arbeiten an den Kriterien, die Zertifizierungsstellen und Zertifikate erfüllen müssen. Die Vorgaben der DSGVO werden dadurch weiter spezifiziert.
Nicht alles kann nach DSGVO zertifiziert werden
Eine Reihe von Punkten wird durch die Aufsichtsbehörden noch klarer gemacht werden, dazu gehört es auch, den genauen Gegenstand einer Zertifizierung nach DSGVO zu erläutern. Klar ist bereits unter anderem:
Die Datenschutz-Grundverordnung sieht keine Personenzertifikate vor. Es wird also nach dem Verfahren, dass die Aufsichtsbehörden gerade erarbeiten, keine Datenschutzbeauftragten oder Datenschutzexperten geben, die eine Zertifizierung nach Artikel 42 DSGVO bekommen können.
Das hat einen einfachen Grund: Die DSGVO sagt, dass sich Verantwortliche und Auftragsverarbeiter einer Zertifizierung unterziehen können. Damit sind aber die Rollen gemeint, nicht die natürlichen Personen. Selbstverständlich sind wie bisher andere Datenschutz-Zertifikate für natürliche Personen möglich, die zum Beispiel Expertise in Sachen DSGVO nachweisen. Diese werden aber nicht im Rahmen des Artikels 42 DSGVO entstehen.
Zertifiziert werden können hingegen zum Beispiel Prozesse und Verfahren, wenn es sich dabei um die Verarbeitung personenbezogener Daten handelt. Somit können auch solche Prozesse und Verfahren nicht zertifiziert werden, die eigentlich gar nichts mit personenbezogenen Daten zu tun haben. Das klingt logisch, aber durch den Marketing-Effekt einer Datenschutz-Zertifizierung nach DSGVO ist es nicht unwahrscheinlich, dass manche Anbieter geneigt sein könnten, auch solche Dienste als DSGVO-konform zu bewerben, die nichts mit Datenschutz zu tun haben.
Es bleibt also spannend im Bereich der Datenschutz-Zertifizierung, und es bleibt wichtig, sich mögliche Datenschutz-Zertifikate genau anzusehen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!