svetazi - stock.adobe.com
Was jetzt bei der Datenschutz-Zertifizierung zu beachten ist
Die Meldungen über Datenschutz-Zertifizierungen und neue Datenschutz-Zertifikate reißen nicht ab. Dabei sollte man darauf achten, dass es sich nicht um DSGVO-Zertifikate handelt.
Datenschutz ist eine wesentliche Grundlage für das Vertrauen, wenn es um Digitalisierung geht. Das zeigen regelmäßig die Umfragen unter Internetnutzern, aber auch unter Unternehmen. So wichtig das Vertrauen aber für den Erfolg im digitalen Geschäft auch ist, das reine Vertrauen reicht nicht aus.
Man kann sich nicht auf sein Bauchgefühl verlassen, die Datenschutz-Grundverordnung (DSGVO/GDPR), die bereits seit Ende Mai 2018 anzuwenden ist, schreibt vor, dass Unternehmen vor der Auftragsvergabe an einen Dienstleister (Auftragsverarbeiter) wissen müssen, wie es um dessen Datenschutzniveau steht.
Genau hier setzen die Zertifizierungen im Datenschutz an. Datenschutz-Zertifikate sind nichts Neues, sie gibt es bereits seit vielen Jahren. Was jedoch durch die DSGVO neu geworden ist, ist der Stellenwert der Zertifizierung als möglicher Datenschutznachweis, ebenso neu sind die Anforderungen an Zertifizierungsstellen und Zertifikate.
In den letzten Wochen und Monaten gab es viele Meldungen über erfolgreiche Datenschutz-Zertifizierungen und über neue Datenschutz-Zertifikate. Da stellt sich die Frage, welche Bedeutung diese Zertifizierungen im Sinne der DSGVO haben und wie sie generell zu werten sind.
Gegenstand und Grundlage der Datenschutz-Zertifizierung beachten
Wie bei jedem Zertifikat sollten Unternehmen bei Interesse an einer Zertifizierung oder bei Prüfung eines vorgelegten Zertifikates auch im Bereich Datenschutz darauf achten:
- Was ist der Gegenstand der Zertifizierung? Geht es um eine Produktzertifizierung? Geht es um eine Personenzertifizierung? Oder wird die Verarbeitung von personenbezogenen Daten in einem Unternehmen zertifiziert?
- Auf welcher Basis erfolgt die Zertifizierung? Welches sind die Zertifizierungskriterien? Welches Regelwerk wird zugrunde gelegt?
- Wer ist die Stelle, die die Zertifizierung durchführt? Ist es eine anerkannte, akkreditierte Stelle? Ist im Unternehmen bekannt, wann eine Zertifizierungsstelle nach DSGVO akkreditiert ist und wer die Anerkennung oder Akkreditierung aussprechen darf?
In diesem Zusammenhang wird auf die Ausführungen verwiesen, wer Datenschutz-Zertifikate nach DSGVO vergeben darf und was nach der EU-DSGVO überhaupt zertifiziert werden kann.
Aktueller Stand beim Europäischen Datenschutzausschuss (EDPB)
Der Europäische Datenschutzausschuss (EDPB) hat im Dezember 2018 eine überarbeitete Fassung der WP29-Akkreditierungsrichtlinien einschließlich eines neuen Anhangs verabschiedet. Der Richtlinienentwurf wurde ursprünglich von der Datenschutzgruppe Artikel 29 angenommen und zur öffentlichen Konsultation vorgelegt. Der Europäische Datenschutzausschuss schloss nun die Analyse ab und gelangte zu der endgültigen Fassung.
Ziel der Leitlinien ist es, Richtlinien zur Auslegung und Umsetzung der Bestimmungen von Artikel 43 (Zertifizierungsstellen) der DSGVO zu geben. Sie zielen insbesondere darauf ab, Mitgliedstaaten, Aufsichtsbehörden und nationale Akkreditierungsstellen bei der Festlegung eines einheitlichen und harmonisierten Grundniveaus für die Akkreditierung von Zertifizierungsstellen zu unterstützen, die eine Zertifizierung gemäß der DSGVO ausstellen.
Die Leitlinien wurden nun durch einen Anhang ergänzt, der Leitlinien für die zusätzlichen Anforderungen enthält, die für die Akkreditierung von Zertifizierungsstellen von den Aufsichtsbehörden festzulegen sind. Dieser Anhang wird einer öffentlichen Konsultation unterzogen.
Dieser Statusbericht des EDPB zeigt: Die Vorbereitungen zur Akkreditierung von Zertifizierungsstellen laufen noch, es gibt noch keine akkreditierten Zertifizierungsstellen, es kann also noch keine Datenschutz-Zertifikate nach Artikel 42 und 43 DSGVO geben.
Die Deutsche Akkreditierungsstelle (DAkkS) schrieb im April 2018: Zertifikate, die eine Übereinstimmung (Konformität) mit den Anforderungen der EU-DSGVO bestätigen, können nur auf Grundlage genehmigter Kriterien und von akkreditierten privaten Zertifizierungsstellen ausgestellt werden. Zertifikate, die diesen Anforderungen genügen, tragen das Akkreditierungssymbol der DAkkS. Das gilt weiterhin.
Bedeutung einiger Datenschutz-Zertifikate
Was aber hat es dann mit den neuen Zertifizierungen und Zertifikaten im Datenschutz auf sich?
- Zertifikate wie „Datenschutzbeauftragter unter Einbeziehung der EU-DSGVO“ sollen die Datenschutz-Qualifikation einer Person nachweisen. Die Artikel 42 und 43 DSGVO haben keine Personenzertifizierungen als Gegenstand.
- Datenschutz-Zertifikate, die bereits seit Jahren erteilt werden und nun wiederholt oder erstmalig einem Unternehmen zuteilwerden, sind (noch) keine Zertifikate nach Artikel 42 und 43 DSGVO. Einige Zertifikatsanbieter schreiben auch entsprechend: „Das Zertifikat stellt kein akkreditiertes Zertifizierungsverfahren, Siegel oder Prüfzeichen im Sinne der Art. 42, 43 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) dar.“
- Aktuell geforderte Datenschutz-Prüfzeichen für Smart-Home-Produkte sind Produktzertifikate und keine Zertifikate nach Artikel 42 und 43 DSGVO.
- ISO-Zertifikate mit einem Datenschutz-Modul sind auch (noch) keine Zertifikate nach Artikel 42 und 43 DSGVO.
- Mit dem ersten zertifizierten Smart-Meter-Gateway wollen Bundeswirtschaftsministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigen, dass Digitalisierung auch bei hohen Vorgaben an Datenschutz und Informationssicherheit gelingt. Das Smart-Meter-Gateway-Zertifikat ist aber kein Zertifikat nach DSGVO.
- Das Unabhängige Landeszentrum Datenschutz (ULD) zum Beispiel schreibt: „Ab dem 25. Mai 2018 können aufgrund der veränderten Rechtslage das Datenschutz-Gütesiegel Schleswig-Holstein und das Audit-Verfahren in der bisherigen Form nicht mehr angeboten werden. Für Organisationen in Schleswig-Holstein planen wir zeitnah, Zertifizierungen nach Datenschutz-Grundverordnung anzubieten.“
Es gibt also eine Reihe von Datenschutz-Zertifikaten, die alle ihre Berechtigung und Bedeutung haben, doch sie sind (noch) nicht als Datenschutz-Zertifikate nach DSGVO einzustufen.