priventum - das Zertifikat für Datenschutz-Management
Zertifizierung eines "vorbildlichen Datenschutzes"
Intention: Warum ein Datenschutz-Zertifikat?
In das Ende 2009 novellierte Bundesdatenschutzgesetz (BDSG) ist das zuvor intensiv und kontrovers diskutierte Bundesdatenschutzauditgesetz nicht aufgenommen worden. Damit gibt es noch immer kein bundesweit einheitliches Auditierungsverfahren für Datenschutz, obwohl - insbesondere nach den vielen Datenschutzskandalen - ein solches Audit dringend notwendig erscheint und für viele Unternehmen und öffentliche Stellen von Interesse ist. Denn ein Datenschutzaudit - freiwillig, von Experten durchgeführt und von einer unabhängigen Zertifizierungsstelle bescheinigt - stärkt das Vertrauen von Kunden bzw. Bürgern in die geprüfte und zertifizierte Institution.
Die datenschutz cert GmbH bietet die Auditierung und Zertifizierung eines Datenschutz-Managements an: mit dem priventum-Zertifikat. Zertifiziert wird eine Institution dahingehend, ob ein vorbildlicher Datenschutz etabliert und umgesetzt wird und ob die einschlägigen datenschutz-rechtlichen Anforderungen erfüllt sind. Die Grundidee zur Realisierung eines vorbildlichen Datenschutzes ist dabei, Datenschutz in der Institution nachhaltig zu etablieren und die Umsetzung kontinuierlich aufrechtzuerhalten - kurz gesagt, ein Datenschutz-Management zu betreiben.
Mit diesem priventum-Zertifikat für "vorbildlichen Datenschutz" können Sie zeigen, dass Datenschutz gesamtheitlich in Ihrer Organisation etabliert ist und "gelebt" wird.
Zertifikat ist nicht gleich Zertifikat
Prüfsiegel gibt es viele - als unabhängige und sachverständige Zertifizierungsstelle garantieren wir daher die Nachhaltigkeit unserer Zertifikate.
Unsere Anforderungen an ein Datenschutz-Management, das mit einem priventum-Zertifikat ausgezeichnet werden kann, stellen wir öffentlich zur Verfügung (Zertifizierungsschema). Damit geben wir transparent an, wofür ein priventum-Zertifikat steht und worauf sich die Kunden einer zertifizierten Institution verlassen können.
Wir sind bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle für ISO 27001-konforme Informationssicherheits-Managementsysteme und setzen unser Zertifizierungsschema auch für das Zertifikat für Datenschutz-Management ein. Unsere technischen und juristischen Experten haben langjährige Erfahrungen mit der Auditierung von Rechenzentren, IT-Produkten und EDV-Verfahren.
Was ist ein Datenschutz-Management?
Das Datenschutz-Management sorgt für die Etablierung und nachhaltige Umsetzung der datenschutz-rechtlichen Anforderungen in einer Institution. Es umfasst alle Regelungen, die für die Steuerung und Lenkung (Planung, Umsetzung, Überwachung, Verbesserung) für die Zielerreichung der Institution zur Realisierung eines vorbildlichen Datenschutzes sorgen.
Grob orientiert sich ein solches Management an der für Managementsysteme üblichen Vorgehensweise in Form eines PDCA (Plan-Do-Check-Act)-Zyklus, vgl. etwa dazu die internationale Norm ISO 27001 oder ISO 9000. Es enthält zudem eine strukturierte Herangehensweise, um zunächst alle relevanten Anforderungen zusammenzustellen und diese anschließend umzusetzen:
Etablieren des Datenschutz-Managements
Notwendig ist zunächst die Etablierung eines betrieblichen/ behördlichen Datenschutzbeauftragten (bDSB) und entsprechender Managementstrukturen durch die Institution, damit ein vorbildlicher Datenschutz realisiert werden kann. Datenschutz ist als integraler Bestandteil der zu zertifizierenden Institution zu verstehen.
Istaufnahme
Sodann erfolgt eine Istaufnahme durch die Institution (z.B. in Form eines internen Audits) mit einer Identifikation und Darstellung des Untersuchungsgegenstands sowie der einschlägigen gesetzlichen Rahmenbedingungen, woraus anschließend Anforderungen abgeleitet werden, so dass sich die Möglichkeit bietet, Einzelaspekte zu gruppieren, Redundanzen aufzulösen oder spezielle Aspekte zu verdeutlichen. In diesem Kontext werden die für Datenschutz typischen Begriffe angesprochen: Vertraulichkeit, Anonymität, Transparenz, etc.
Anschließend wird von der Institution daraus ein konkreter Anforderungskatalog erstellt, der als Prüfmaßstab dient. Damit orientiert sich die Vorgehensweise an anderen Kriterienwerken zur Prüfung und Bewertung von Sicherheitseigenschaften, bei denen typischerweise vor der eigentlichen Überprüfung ein Anforderungskatalog zusammengestellt, der den eigentlichen Prüfungsmaßstab definiert.
Zur Aufstellung eines Anforderungskatalogs können sogenannte Datenschutzprofile (Zertifizierungsschema) verwendet werden. Diese stellen quasi einen Baukasten von Anforderungen zu verschiedenen Themenkomplexen dar, aus dem - abhängig vom konkreten Untersuchungsgegenstand - relevante Aspekte zum Anforderungskatalog herangezogen werden können, die damit den für den jeweiligen Untersuchungsgegenstand anwendbaren Prüfmaßstab darstellen.
Um möglichst effizient und effektiv diesen Anforderungskatalog aufstellen und um eine weitestgehende Vollständigkeit relevanter Einzelanforderungen sicherstellen zu können, wird - soweit möglich - auf anerkannte Kriterienwerke Bezug genommen, wie etwa auf die internationalen Normen ISO 27001 und ISO 27002, die einen umfangreichen Erfahrungsschatz an wichtigen Aspekten zur Informationssicherheit enthalten. Alternativ ist auch eine Nutzung der IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) möglich
Umsetzung/Dokumentation und regelmäßige Checks
Sodann prüft die Institution die Umsetzung der Anforderungen lt. Anforderungskatalog samt entsprechender Dokumentation, in denen dargelegt wird, wie die relevanten Aspekte des Anforderungskatalogs erfüllt werden, z.B. in Verfahrensverzeichnis, Datenschutzkonzept, Sicherheitskonzept, etc. Der betriebliche/behördliche Datenschutzbeauftragte checkt zudem die Umsetzung durch Kontrollen und interne Audits. Falls beim Check Defizite auffallen, werden diese im Rahmen des Prozesses zum Datenschutz-Management behoben und die Dokumentation aktualisiert.
Dieses Modell stellt für die Institution eine strukturierte Herangehensweise dar, um die relevanten Einzelanforderungen zusammenzustellen, deren Umsetzung für die Erfüllung der zuvor abgeleiteten Anforderungen wichtig ist und was Voraussetzung für das sich anschließende Audit darstellt.
Wie wird auditiert und zertifiziert?
Jedes Zertifikat ist (i.d.R.) drei Jahre gültig. Jedes Zertifizierungsverfahren besteht aus folgenden Phasen:
- Erst-Zertifizierungsaudit;
- 1. Überwachungsaudit (max. 12 Monaten nach Zertifikatserteilung);
- 2. Überwachungsaudit (max. 24 Monaten nach Zertifikatserteilung);
- Re-Zertifizierungsaudit (max. 36 Monaten nach Zertifikatserteilung).
Es wird ein zwei-stufiges Zertifizierungsverfahren mit Auditierung und Zertifizierung eingesetzt.
Auditierung
Die vom der datenschutz cert GmbH lizenzierten Auditoren prüfen das Datenschutz-Management auf höherer "Meta"-Ebene. In diesem Zusammenhang wird der Auditor insbesondere den Prozess dahingehend begutachten und beurteilen, ob die Zulässigkeit hinreichend geprüft wurde.
Die Prüfung und Bewertung erfolgt in den drei Phasen Vorbereitung, Preaudit und Audit. Das Datenschutzaudit umfasst alle bestehenden Prozesse des Datenschutz-Managements. Die Bewertung berücksichtigt, ob Maßnahmen getroffen werden, die über das gesetzlich geforderte Maß an Datenschutz-Management hinausgehen (diese werden als vorbildlich bewertet) oder ob "angemessene" / "adäquate" oder "gesetzeskonforme" Maßnahmen getroffen oder nicht umgesetzt werde. Die Ergebnisse werden in einem aussagekräftigen Auditreport dokumentiert und der Zertifizierungsstelle vorgelegt.
Zertifizierung
Die Zertifizierungsstelle prüft auf Grundlage des Auditreports sowie weiterer relevanter Informationen, ob das Audit gemäß den Vorgaben durchgeführt wurde und trifft final die Entscheidung, ob das Datenschutz-Management konform zu unseren Anforderungen betrieben wird und erteilt dann ein Zertifikat.
Das nach ISO 27006 aufgestellte Zertifizierungsschema der datenschutz cert GmbH, welches eine Grundlage für die Akkreditierung als Zertifizierungsstelle darstellt, wird auch für diese Zertifizierung genutzt.
Zertifizierungsschema und Datenschutzprofile
Weitere Informationen zu unserem Zertifizierungsschema und zu den verfügbaren Datenschutzprofilen, aus denen der konkrete Anforderungskatalog erstellt werden kann, können Sie unserem Zertifizierungsschema entnehmen.
Lizenzierung
Um die Aussagekraft eines priventum-Zertifikates sicherstellen zu können, müssen die Anforderungen an ein Datenschutz-Management - das, wofür das Zertifikat letztlich steht - öffentlich gemacht sein. Wir haben dies getan: Sie finden unser Zertifizierungsschema, in dem unsere Anforderungen an ein Datenschutz-Management sowie die Datenschutzprofile normiert sind, hier: Zertifizierungsschema.
Damit können Sie sich jederzeit überzeugen, wofür ein ausgestelltes priventum-Zertifikat steht und welche Anforderungen an die zertifizierte Institution gestellt werden.
Sofern Sie Interesse daran haben, auf Grundlage unseres Zertifizierungsschemas ein Datenschutz-Management zu auditieren oder zu zertifizieren, sprechen Sie uns bitte vorher an! Eine Nutzung unseres Zertifizierungsschemas für das Datenschutz-Management ist ohne vorherige schriftliche Zustimmung untersagt!
Zertifikatsliste
Eine Liste unserer Zertifizierungen können Sie hier abrufen: Zertifikatslisten.
Kosten/Gebühren
Die Kosten für die Zertifizierung mit Auditierung sind abhängig vom Umfang der zu auditierenden Institution. Für ein konkretes Angebot sprechen Sie uns bitte einfach an!
Das Zertifikat für Datenschutz-Management beinhaltet selbstverständlich:
- Prüfung und Bewertung durch einen Auditor (Vorbereitung, Preaudit und Audit);
- Erstellung eines ausführlichen und aussagekräftigen Auditreports;
- Zertifizierung mit Ausstellung des Zertifikats;
- Listung des Zertifikats; über die Laufzeit des Zertifikats (i.d.R. 3 Jahre).
Jährliche Überwachungsaudits zur Aufrechterhaltung mit dem Auditor werden separat berechnet; alternativ können wir diese gerne in die Kalkulation aufnehmen, so dass wir Ihnen ein Angebot zur Auditierung und Zertifizierung über die gesamte Laufzeit des Zertifikats unterbreiten können.
Akkreditierung
Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle für ISO 27001-konforme Informationssicherheits-Managementsysteme.
Stärken Sie das Vertrauen Ihrer Kunden in den Datenschutz - durch ein Zertifikat für Datenschutz-Management!
Weitere Informationen
Sie möchten ein Zertifikat erwerben oder sich konform zum Datenschutz aufstellen? Dann sprechen Sie uns gerne an.
|
Kontakt
