DSGVO Zertifizierung

DSGVO-Zertifizierung – schon jetzt oder später?

 

Ob Industriebetrieb oder Arztpraxis, viele Unternehmen in Deutschland sind nach einem oder mehreren national oder international etablierten und anerkannten Standards zertifiziert. Besonders häufig begegnen wir dabei der Zertifizierung des Qualitätsmanagements nach der ISO 9001; Rechenzentren sind ohne eine Zertifizierung der Informationssicherheit nach ISO 27001 kaum denkbar.

Diese internationalen Normen setzen Standards für ihr jeweiliges Regelungsgebiet. Wenn sich ein Unternehmen danach zertifizieren lassen möchte, muss es die Einhaltung dieser Standards nachweisen und durch den Zertifizierer überprüfen lassen. Erhält es dann das Zertifikat, können andere Unternehmen oder auch Verbraucher darauf vertrauen, dass gewisse Standards eingehalten werden, ohne sich selbst ein Bild davon machen zu müssen.

 

Was hat das nun mit dem Datenschutz zu tun?

Auch die DSGVO sieht in Art. 42 Abs. 1 Satz 1 vor, dass die Mitgliedsstaaten, Aufsichtsbehörden und die Europäische Kommission die Schaffung von Zertifizierungsverfahren und Prüfsiegeln bezüglich der Einhaltung der Verordnung fördern sollen. Auch für die DSGVO gelte dann, dass ein Unternehmen mit der Zertifizierung gegenüber seinen Vertragspartnern und Kunden schnell nachweisen könnte, sich an die Vorgaben des Datenschutzes zu halten und so das entsprechende Schutzniveau für die personenbezogenen Daten zu bereiten. Grundsätzlich kann man über den Sinn und Unsinn einer solchen Zertifizierung sicherlich streiten; jedenfalls ist der Verantwortliche aber ohnehin nach Art. 5 Abs. 2 DSGVO verpflichtet, die Einhaltung der Verordnung nachweisen zu können. Eigentlich müsste der Schritt zu einer Bestätigung durch eine Zertifizierung dann nur noch klein sein. Soweit die Theorie.

 

Doch was hat die Praxis bis hierher erreicht?

Bis heute bestehen noch keine Zertifizierungsverfahren, obgleich die DSGVO seit Mai 2018 in Kraft ist. Zunächst einmal musst Du wissen, dass nicht jeder ohne weiteres ein selbst erdachtes Zertifizierungsverfahren anbieten kann. Erforderlich ist vielmehr eine offizielle Akkreditierung, die in Deutschland von der Deutschen Akkreditierungsstelle (DAkkS) vergeben wird. Diese ist von Bund und Ländern für diese Aufgabe beliehen. Die Akkreditierung selbst basiert dann auch wieder auf einer ISO, nämlich der ISO/IEC 17000. Im Datenschutz gilt zwar ebenfalls, dass die DAkkS mit der Akkreditierung befasst ist; darüber hinaus müssen aber auch die zuständigen Aufsichtsbehörden eingebunden werden.

Darin liegt sodann auch das Problem: beide Stellen, also DAkkS und die Aufsichtsbehörden (von denen es in Deutschland insgesamt 18 gibt), mussten ihre Zusammenarbeit zunächst abstimmen. Darüber hinaus muss aber wegen der europaweiten Geltung der DSGVO sichergestellt werden, dass eine europäische Harmonisierung durchgeführt wird. Erforderlich war also auch noch der Austausch auf Ebene der EU. Diese ganzen Verfahren sind aber nun abgeschlossen.
Jetzt sind die zuständigen Stellen damit befasst, die von den Anbietern entworfenen Zertifizierungsprogramme zu prüfen. Es dürfte also nun nicht mehr allzu lange dauern, bis Unternehmen eine Zertifizierung ihres Datenschutzmanagements anstreben können.

 

Solltest Du für Dein Unternehmen eine solche dann anstreben?

Das ist eine Frage, die sich sicher nicht pauschal beantworten lässt. Je vielfältiger die Datenverarbeitung in Deinem Unternehmen und je sensibler die verarbeiteten personenbezogenen Daten, desto eher wirst Du vermutlich schon jetzt großen Aufwand im Datenschutz in Kauf nehmen. Dann lohnt sich die Zertifizierung umso mehr, da Deine Bemühungen dadurch honoriert werden und die Rechtskonformität unabhängig bestätigt wird. Und wenn Du einmal in Konflikt mit einer Aufsichtsbehörde gerätst, wird Dir die Bestätigung durch die Zertifizierung die nötige Ruhe und Sicherheit geben, um den Verfahren souverän entgegenzugehen.

Kontaktiere Uns