utah778 - stock.adobe.com
GDPR: Wer darf Datenschutz-Zertifikate nach DSGVO vergeben?
Die DSGVO regelt die Datenschutz-Zertifizierung. Dazu gehören auch Vorgaben, die die Zertifizierungsstellen erfüllen müssen. Die Aufsichtsbehörden nennen weitere Details.
Das Vertrauen in Datensicherheit ist auf einem Fünf-Jahres-Hoch, berichtet der Digitalverband Bitkom. Fast ein Viertel der Internetnutzer (23 Prozent) meint, dass ihre persönlichen Daten im Internet sicher sind. Im Vorjahr war es jeder Fünfte (20 Prozent) und im Jahr 2014 sagte dies sogar nur jeder siebte Internetnutzer (13 Prozent). Das klingt erst einmal positiv. Doch die große Mehrheit der Onliner (75 Prozent) findet derzeit, dass ihre persönlichen Daten im Internet nicht sicher sind.
Das ist ein Problem für viele Unternehmen: Ob beim Online-Banking, im Webshop oder in sozialen Netzwerken, Datensicherheit entscheidet für viele Internetnutzer über das Vertrauen in Online-Dienste, betont Bitkom.
Entsprechend wichtig ist es, die eigene Datensicherheit und den eigenen Datenschutz nachweisen zu können. Die Datenschutz-Grundverordnung (DSGVO/GDPR) sieht hierfür insbesondere die Datenschutz-Zertifizierung als Instrument vor.
Datenschutz-Zertifikate sind entscheidend für das Business
Für Unternehmen sind Datenschutz-Zertifikate noch aus einem anderen Grund wichtig: Nicht nur die eigenen Kunden wollen einen Nachweis über den Datenschutz, auch jedes Unternehmen selbst braucht dies, zum Beispiel bei der Beauftragung von Dienstleistern, da dann die Vorgaben für eine Auftragsverarbeitung (Artikel 28 DSGVO) erfüllt sein müssen.
Die Nutzung externer Dienste gehört zunehmend zum Betriebsalltag. Drei von zehn Unternehmen (29 Prozent) nutzen eine Cloud-Lösung, die in ein zertifiziertes Rechenzentrum ausgelagert ist. Weitere zehn Prozent planen dies, 28 Prozent diskutieren darüber. Das zeigt der Digital Office Index 2018 von Bitkom.
Da zunehmend auf eine Zertifizierung von Datenschutz und Datensicherheit geachtet wird, sind Datenschutz-Zertifizierungen ein durchaus interessantes Geschäftsmodell. Entsprechend viele Anbieter für Zertifizierungen gibt es, eine deutliche Zunahme ist noch zu erwarten.
Zertifizierer müssen selbst spezielle Vorgaben nach DSGVO erfüllen
Die DSGVO macht nicht nur Vorgaben für die Datenschutz-Zertifizierung (Artikel 42 DSGVO), sondern auch für die Zertifizierungsstellen (Artikel 43 DSGVO). Die Vorgaben müssen Zertifizierer beachten, auch Unternehmen, die sich zertifizieren lassen wollen oder die Zertifikate ihrer Dienstleister überprüfen wollen, sollten die Anforderungen kennen.
Aufsichtsbehörden beziehungsweise nationale Akkreditierungsstellen akkreditieren Zertifizierungsstellen nur unter bestimmten Voraussetzungen, und nur akkreditierte Zertifizierer können DSGVO-konforme Zertifikate an Unternehmen erteilen.
Die Vorgaben der DSGVO zur Akkreditierung von Zertifizierungsstellen sind insbesondere:
Zertifizierungsstellen müssen
- ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben
- Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt haben
- Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und
- zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Ob eine Zertifizierungsstelle akkreditiert ist oder nicht, können Unternehmen in Zukunft einsehen: Der Europäische Datenschutzausschuss (EDPB) nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.
Aufsichtsbehörden nennen Details zu Anforderungen an Zertifizierer
Die Datenschutzkonferenz, bestehend aus den Datenschutzbehörden des Bundes und der Länder in Deutschland, haben inzwischen „Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DSGVO i.V.m. DIN EN ISO/IEC 17065“ veröffentlicht, die weitere Details zu den Anforderungen an Zertifizierungsstellen enthalten.
Es versteht sich, dass Dienstleister, die als Zertifizierungsstelle akkreditiert werden wollen, diese Anforderungen kennen und erfüllen müssen. Aber auch Unternehmen, die zertifiziert werden wollen oder Zertifikate zu prüfen haben, sollten die Anforderungen anschauen, denn dadurch erhalten sie einen Überblick über den Wert einer Datenschutz-Zertifizierung nach DSGVO.
Als Beispiele seien hier zwei Punkte mit näheren Anforderungen genannt, die aufzeigen, was Zertifizierer unter anderem vorweisen können müssen:
Die Zertifizierungsstelle muss über Ressourcen mit Kenntnissen in folgenden Bereichen verfügen und diese nachweisen können:
- Kenntnisse der relevanten Normen zur Konformitätsbewertung (insbesondere ISO-Normen, Gesetze etc.)
- Kenntnisse in den für den Zertifizierungsbereich relevanten Management-Systemen (beispielsweise ISO 9001 /27001 /27017 /27018 / IT-Grundschutz)
- Kenntnisse im Datenschutzrecht (DSGVO/BDSG/einschlägige Landesdatenschutzgesetze)
- Kenntnisse im Telekommunikationsrecht sowie dem Recht der Dienste der Informationsgesellschaft beziehungsweise der ePrivacy-Verordnung
- Gegebenenfalls Kenntnisse in weiteren relevante Datenschutznormen, deren Einschlägigkeit sich aus dem eingesetzten Zertifizierungsprogramm ergibt.
Zahlreiche Prozesse müssen im eigenen Management der Zertifizierungsstelle umgesetzt werden. Dazu gehören:
- Verwaltung der Zertifizierungskriterien und entsprechender Genehmigungsverfahren
- Überwachung, Kontrolle, Evaluierung und Verbesserung der Struktur der internen Abläufe der Zertifizierungsstelle mit Fortschreibung der entsprechenden intern geführten Nachweise,
- Verwaltung des Beschwerde-Managements,
- Aussetzung und Zurückziehung der Zertifizierung und Dokumentation der Gründe,
- Vertrags-Management,
- Sicherstellung der Unabhängigkeit (Unparteilichkeit/finanzielle Stabilität) und Management der entsprechenden Nachweise,
- Veröffentlichung von Zertifizierungskriterien/Zertifizierungsentscheidungen etc.,
- Ressourcen (Personalkompetenz und externe Ressourcen),
- Antrags-Management,
- Überwachung von Änderungen mit Auswirkungen auf Zertifizierungen und
- Überwachung der Verwendung von Zertifizierungen.
Völlig zu Recht sind somit die Anforderungen an die Zertifizierungsstellen hoch, denn nur dann können die Datenschutz-Zertifikate auch den Wert haben, der für die Vertrauensbildung in Datensicherheit und Datenschutz notwendig ist.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!