Datenschutz-Zertifizierung im Zeitalter der neuen DSGVO
Für den Datenschutz werden Zertifikate wichtiger denn je. Die Datenschutz-Grundverordnung (DSGVO) sorgt hier für eine Belebung. Doch nicht jede Datenschutz-Zertifizierung erfüllt die Anforderungen.
Zertifizierer unter der Lupe
Zertifizierung und Zertifikate sind keine neuen Themen im Datenschutz. Schon seit vielen Jahren verleihen Zertifizierungsstellen Datenschutz-Zertifikate, präsentieren Unternehmen ihre jeweilige Zertifizierung auf ihrer Website und suchen Kunden nach Orientierung und Unterstützung, welcher Anbieter nachweislich über das notwendige Datenschutzniveau verfügt.
Die Fachzeitschrift „Computerwoche“ hat einmal den Markt der Zertifizierer für Datenschutz unter die Lupe genommen. Datenschutz-Zertifizierungen, die noch auf dem alten Bundesdatenschutzgesetz gründen, müssen demzufolge gemäß den Anforderungen der seit Mai geltenden DSGVO angepasst werden.
Umgang mit Datenschutz in Problembereichen
Bis 25. Mai 2018 galt das alte Bundesdatenschutzgesetz. Es ist seither ersetzt durch die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Verbindung mit dem neuen Bundesdatenschutzgesetz (BDSG). Bislang musste zum Beispiel im Fall einer Auftragsdatenverarbeitung der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen. Nicht nur im Fall von Cloud Computing, das in aller Regel eine Auftragsverarbeitung darstellt, war dies keine leichte Aufgabe.
Alte Datenschutz-Zertifikate ungültig
Das alte BDSG sah demnach aber auch eine Hilfe vor. Zur Verbesserung des Datenschutzes und der Datensicherheit konnten Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen. Sowie das Ergebnis der Prüfung veröffentlichen.
Das geplante Gesetz über Datenschutzaudits wurde jedoch nie erlassen. Trotzdem gab und gibt es eine Vielzahl an Datenschutz-Zertifikaten. Sie Stiftung Datenschutz ließ sie übersichtlich zusammen. Auch Aufsichtsbehörden wie das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) haben Datenschutz-Gütesiegel eingeführt.
Grundlage für Datenschutz-Zertifikate geändert
Mit der Datenschutz-Grundverordnung und dem neuen BDSG hat sich Grundlage für Datenschutz-Zertifikate geändert. Seit Mai 2018 können laut ULD aufgrund der veränderten Rechtslage das Datenschutz-Gütesiegel Schleswig-Holstein und das Audit-Verfahren in der bisherigen Form nicht mehr angeboten werden.
Für Organisationen in Schleswig-Holstein plane man, Zertifizierungen nach Datenschutz-Grundverordnung anzubieten. Alle bisher erteilten Zertifizierungen (Datenschutz-Gütesiegel und Audit) des ULD beruhten auf der Rechtslage vor Gültigkeit der Datenschutz-Grundverordnung.
Auch Prüfstandards wie das Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) würden auf die neue Rechtsgrundlage DSGVO umgestellt. Entsprechend erarbeitet das Forschungsprojekt „Auditor“ derzeit einen Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO.
DSGVO stärkt Datenschutz-Zertifizierung
Die gestärkte Bedeutung einer Datenschutz-Zertifizierung wird deutlich, wenn man sich ansieht, wo Datenschutz-Zertifikate überall in der DSGVO eine Erwähnung finden:
- Auftragsverarbeitung (Artikel 28 DSGVO): Geeignete Datenschutz-Zertifikate können als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
- Datenübermittlung in Drittstaaten (Artikel 46 DSGVO): Datenschutz-Zertifikate gehören zu den möglichen Garantien für ein angemessenes Datenschutz-Niveau, wenn es um die Rechtsgrundlage für die Datenübermittlung in einen Drittstaat geht.
- Allgemeine Bedingungen für die Verhängung von Bußgeldern (Artikel 83 DSGVO): Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall auch gebührend berücksichtigt: Einhaltung von genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO.
Zertifizierung kann Bußgeldhöhe verringern
Mit einem Datenschutz-Zertifikat lassen sich, so „Computerwoche“, also notwendige Nachweise bei Auftragsverarbeitung oder Datenübermittlung in Drittstaaten erbringen. Bei einer Datenschutzverletzung könnten mögliche Bußgeldhöhen „positiv beeinflusst“ werden, also Bußgelder niedriger ausfallen oder sogar entfallen.
Sonderausgabe „GmbH-Brief AKTUELL“ zur DSGVO
Den Unternehmer treffen durch die neue DSGVO vor allem umfassende Hinweis- und Auskunftspflichten. Besonders wichtig ist einem Bericht von „GmbH-Brief AKTUELL“ (10/2018) zufolge die Einholung einer ausdrücklichen Einwilligung des Kunden in die Datenverarbeitung.
Der Beratungsbrief für Steuervorteile, Haftungsschutz und Finanzsicherheit widmet der DSGVO eine Sonderausgabe. Er geht dabei explizit auf den Umgang mit Kundendaten, Mitarbeiterdaten sowie das Institut des Datenschutzbeauftragten in Unternehmen ein – jeweils ergänzt durch ausführliche Checklisten für die Praxis im Umgang mit den neuen Datenschutzregeln und ein Online-Seminar.
Empfehlung der Redaktion
Als GmbH-Geschäftsführer sind Sie zahlreichen Risiken ausgesetzt, die nicht nur Ihre berufliche, sondern auch Ihre private Existenz bedrohen können. „GmbH-Brief AKTUELL“ hilft Ihnen mit praxisnahen Handlungsempfehlungen die GmbH zu schützen sowie steuerliche Gestaltungsspielräume rechtssicher auszuschöpfen.
Lesen Sie jetzt 14 Tage kostenfrei eine Ausgabe des „GmbH-Brief AKTUELL“. Dabei haben Sie freien Zugriff auf das ganze Media-Paket! (Online-Zugangsdaten in der Ausgabe.) Incl. aller Ausgaben im Archiv, Video-Seminare und Downloads zu Checklisten, Mustern und anderen Arbeitshilfen!