Zertifizierung nach Art. 42 DSGVO (DSK-Kurzpapier Nr. 9)

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Gibt es eine DSGVO-Zertifizierung? Wer darf eine Zertifizierung ausstellen und welche Voraussetzungen sind dafür nötig?

Warum ist eine Zertifizierung sinnvoll?

  • Einheitliche Lösung in Europa, um die datenschutzrechtlichen Anforderungen nachweisen zu können
  • Nach Art. 42 und Art. 43 DSGVO wurde eine rechtliche Grundlage für ein eineheitliches Zertifizierungsverfahren geschaffen

Was sind die Vorteile einer Zertifizierung?

Nach der DSGVO können in nachfolgenden Anwendungsbereichen eine Zertifizierung als Nachweis für die Einhaltung der DSGVO als Faktor einfließen:

  • Erfüllung der Pflichten des Verantwortlichen (Art. 24 Abs. 3)
  • Erfüllung der Anforderungen bei Privacy-by-Default und Privacy-by-design
  • Garantie des Auftragsverarbeiters nach Art. 28 DSGVO
  • Sicherheit der Datenverarbeitung (Art. 32 Abs. 3 DSGVO)
  • Datenübermittlung in ein Drittland (Art. 46 Abs. 2 lit. f DSGVO)
  • Datenschutz-Folgeabschätzung
  • Ein Zertifiakt kann auch für Marketingzwecke vorteilhaft sein
  • Auch bei Prüfungen durch die Aufsichtsbehörde kann ein Zertifikat positiv berücksichtigt werden

Wer ist zuständig für die Zertifizierung?

  • Akktreditierte Zertifizierungsstellen (in Deutschland z.B. Deutsche Akkreditierungsstelle GmbH)
  • Zuständige Aufsichtsbehörden
  • Die Aufsichtsbehörde bestimmt die Kriterien für die Zertifizierung
  • Die Kriterien beruhen meist auf ISO-Normen

Welche Voraussetzungen müssen für eine Zertifizierung erfüllt werden?

  • Der Zertifizierungsstelle müssen alle erforderlichen Informationen zur Verfügung stehen
  • Auch Zugang zu den Verarbeitungstätigkeiten werden benötigt, d.h. es ist von Vorteil die Verarbeitungsvorgänge genau zu kennen und transparent wiederzugeben

Wie ist der Ablauf des Zertifizierungsprozesses?

Die DSK veröffentlichte im März 2019 eine Orientierungshilfe für den Akkreditierungsprozess nach Art. 42 und Art. 43 DSGVO. Die grafische Orientierungshilfe kann sich am Ende heruntergeladen werden.

Wie lange ist die Zertifizierung gültig?

  • Die Zertifizierung ist höchsten für 3 Jahre gültig
  • Die Zertifizierung kann jedoch von der Aufsichtsbehörde bei Nichterfüllung der Voraussetzungen widerrufen werden

Anmerkung der Datenbeschützerin

Vor allem die Kosten für eine Zertifizierung sind für viele Unternehmer auch relevant. Wie hoch die Kosten für die Zertifizierung sind, wird im Papier nicht erwähnt und uns liegen auch keine Daten hierzu vor.

Update August 2019: Die ISO 27701 soll als Ergänzungsnorm für das Datenschutz-Management gelten. Allerdings ist die ISO 27701 keine Zertifizierungsnorm; als Basis dient die bereits bekannte ISO 27001.

Somit ist immer noch kein „offizielles“ DSGVO-Zertifikat vorliegend.

Update Oktober 2019: Im Gespräch mit einem Auditor, der regelmäßig Zertifizierungen durchführt, wurde auch das Thema der Datenschutz-Zertifizierung angesprochen. Dieser teilt mit, dass die Zertifizierungen nach ISO 27001 ein „Nice-to-have“ im Bezug auf das Datenschutz-Thema ist; diese Zertifizierung von der Aufsichtsbehörde jedoch nicht anerkannt wird. @Regina bitte prüfen

Damit eine „richtige“ Datenschutz-Zertifizierung durch die Aufsichtsbehörde anerkannt wird, ist es nötig, eine Dienstleistungszertifizierung anzustreben. @Regina bitte prüfen

DSK-Kurzpapier Nr. 9 und DSK-Orientierungshilfe

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_9.pdf

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/oh/20190315_oh_akk_sw.pdf

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.