Zertifizierungen gem. DSGVO – information privacy standard

Was ist ein DSGVO-Zertifikat?

Die Europäische Datenschutzgrundverordnung (DSGVO) sieht in Art. 42 Abs. 1 die Einführung von datenschutz-spezifischen Zertifizierungsverfahren vor, „die dazu dienen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.“ Die allgemeinen Pflichten an Verantwortliche und Auftragsverarbeiter werden in Art. 24 bzw. Art. 28 DSGVO definiert; in diesen Artikeln wird auch ausgeführt, dass ein „genehmigtes Zertifizierungsverfahren gem. Art. 42“ als „Gesichtspunkt herangezogen werden [kann], um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen“ bzw. „als Faktor herangezogen werden [kann], um hinreichende Garantien“ des Auftragsverarbeiters nachzuweisen.

Die datenschutz cert GmbH hat einen solchen Zertifizierungsstandard erarbeitet, der von den zuständigen Behörden zugelassen wurde: DSGVO – information privacy standard.

Die datenschutz cert GmbH strebt für 2025 die Akkreditierung nach DSGVO – information privacy standard an. 

Ihre Vorteile

  • Wettbewerbsvorteil durch Vorlage eines unabhängigen Zertifikats
  • Erfüllung gesetzlicher Anforderungen als Marktzutrittsvoraussetzung
  • Reduktion von Haftungsrisiken
  • leichter durchsetzbare Datenschutz-Anforderungen
  • besserer Datenschutz

Was kann gem. Art. 42 DSGVO zertifiziert werden?

Gem. Art. 42 DSGVO können Verarbeitungsvorgänge zertifiziert werden. DSGVO – information privacy standard folgt hierbei einem sogenannten generischen Ansatz, wonach er für Verarbeitungsvorgänge mit IT-Bezug sowohl bei Verantwortlichen als auch bei Auftragsverarbeitern anwendbar ist. Der Standard gilt für alle Branchen, etwa Banken und Versicherungen, Energie- und Wasserversorgung, Gesundheits- und Sozialwesen, Industrie und Handel, Marketing und Werbung, EDV, Informationstechnologie und Telekommunikation, Institute und Verbände, Kultureinrichtungen, öffentliche Stellen und öffentliche Verwaltung, Transport, Verkehr und Logistik, Schule, Bildung und Wissenschaft oder Ernährung.

Wie läuft eine Zertifizierung ab und wie lange ist ein Zertifikat gültig?

Ein Zertifikat gem. DSGVO – information privacy standard ist drei Jahre gültig, nach der Erst-Zertifizierung sind jährliche Überwachungen vorgesehen. Es ist ein klassisches Zwei-Stufen-Verfahren etabliert, wonach ein Evaluationsteam – bestehend aus Juristen und Technikern – den Verarbeitungsvorgang in allen Facetten untersucht, bevor die Zertifizierungsstelle ein Zertifikat erteilen kann. Die Dauer und die Kosten für die Zertifizierung hängen stark vom Bewertungsgegenstand und dem Umfang und der Anzahl der Verarbeitungsvorgänge, der Anzahl der Mitarbeiter, der verwendeten Apps und der Standorte ab.

Ablauf eines Zertifizierungsverfahrens

Schema Ablauf eines Zertifizierungsverfahrens nach dem DSGVO – information privacy standard

Ihr Weg zur Zertifizierung

Wenn Sie direkt mit einer Zertifizierung starten möchten, füllen Sie bitte unser Anfrageformular aus und schicken es an office@datenschutz-cert.de. Sie erhalten dann von uns ein unverbindliches detailliertes Angebot für die Auditierung und Zertifizierung. 

Anfrageformular

Anwendung des Zertifizierungsstandards

Die DSGVO – information privacy standard-Vorgehensweise sieht drei zentrale Bestandteile vor:

  • Scope-Beschreibung
  • Statement of Applicability (SoA)
  • Realisierungsbeschreibung

Scope-Beschreibung

Zur Anwendung des Zertifizierungsstandards DSGVO – information privacy standard ist zunächst der Bewertungsgegenstand – also die zu zertifizierende Datenverarbeitung – exakt zu bestimmen. Dazu muss eindeutig beschrieben sein, welche Verarbeitungsvorgänge exakt zum Bewertungsgegenstand gehören, an welchen Standorten diese Tätigkeiten erbracht werden, welche externen Dritte (z. B. Dienstleister, Auftragsverarbeiter, Behörden, Schwestergesellschaften oder Holding) ggf. einbezogen sind, welche IT-Komponenten erforderlich sind und auch welche Prozesse in einer Organisation etabliert sind, um die Datenverarbeitung insgesamt darstellen zu können. Diese eindeutige Festlegung ist nicht nur für die Organisation wichtig, sondern auch für die Evaluatoren und die Zertifizierungsstelle.
Aus diesem Grund muss die Datenverarbeitung (der Bewertungsgegenstand) – die „IT-gestützte Verarbeitung personenbezogener Daten“ – durch folgende Elemente (Zielobjektkategorien) charakterisiert werden:

  • Verarbeitungsvorgänge (VV) zur Konkretisierung der zu zertifizierenden Datenverarbeitung;
  • Datenschutz-Managementsystem (DSMS) mit den internen Prozessen zur Steuerung der Datenschutz-Konformität;
  • Prozesse (PRZ) mit den Tätigkeiten, die für die konkrete Datenverarbeitung (DV) benötigt werden; Prozesse (PRZ) werden definiert als eine Reihe von in Wechselbeziehung oder Wechselwirkung miteinander stehenden Tätigkeiten, die Eingaben nutzen, um ein angestrebtes Ergebnis zu liefern, die für die zu zertifizierende Datenverarbeitung erforderlich sind;
  • physische Infrastruktur (INFRA) mit Standorten und Räumen;
  • IT-Infrastruktur (IT) mit allen relevanten Komponenten, z.B. Servern, Clients, Netzkomponenten, Datenbanken, Speichersystemen und Schnittstellen;
  • Applikationen (APPL), über die die Datenverarbeitung realisiert wird;
  • externe Dritte (DL), z. B. Dienstleister, Auftragsverarbeiter, Behörden, Schwestergesellschaften oder Holding, die für die Realisierung der Datenverarbeitung benötigt werden oder an die personenbezogene Daten übermittelt werden, sofern relevant.
     

Statement of Applicability (SoA)

Der generische Ansatz von DSGVO – information privacy standard erfordert, dass nach der Festlegung des Bewertungsgegenstand die Freiheitsgrade soweit eliminiert werden, dass der konkrete Maßstab feststeht. Das sogenannte „Statement of Applicability (SoA)“ wird durch sieben Fragen erstellt:

  • Frage 1: Auf welcher Rechtsgrundlage werden die einzelnen Verarbeitungsvorgänge der zu zertifizierenden Datenverarbeitung durchgeführt? Hierüber wird die konkrete gesetzliche Grundlage festgelegt, beispielsweise Art. 6 Abs. 1 DSGVO. Aber auch eine Verarbeitung im Auftrag als Auftragsverarbeitung oder die Verarbeitung von Art. 9- oder Art. 10-Daten wird hierüber fixiert.
  • Frage 2: Werden externe Dritte (DL) im Geltungsbereich eingesetzt?
  • Frage 3: Besteht für den Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, einen Datenschutzbeauftragten (DSB) zu bestellen?
  • Frage 4: Besteht für den Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, ein „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) vorzuhalten?
  • Frage 5: Besteht die Notwendigkeit, eine „Datenschutz-Folgenabschätzung“ (DSFA) durchzuführen?
  • Frage 6: Erfolgt eine Datenübermittlung in Drittstaaten? Ist der Antragsteller außerhalb der EU/EWR niedergelassen und hat einen Vertreter innerhalb der EU bestimmt?
  • Frage 7: Erfolgt eine automatisierte Entscheidung bzw. Profiling? 

Durch die Beantwortung kommen sodann die relevanten Anforderungselemente aus dem Kriterienkatalog zur Anwendung. 

DSGVO – information privacy standard-Kriterienkatalog

Der „Kriterienkatalog zur Zertifizierung einer IT-gestützten Verarbeitung personenbezogener Daten gem. Art. 42 DSGVO (DSGVO – information privacy standard)“ stellt die verbindlichen inhaltlichen Anforderungen für die Prüfung und Bewertung einer IT-gestützten Verarbeitung personenbezogener Daten gem. Art. 42 DSGVO dar. Er enthält neben den Kriterien auch die Vorgehensweise, um die Kriterien für eine konkrete Verarbeitungsvorgang optimal anzuwenden. Der Kriterienkatalog sieht 50 Kriterien vor, die in acht Bereichen gruppiert sind:

P.1 Zulässigkeit der Datenverarbeitung

  • P.1.1 Identifikation Grundlagen
  • P.1.2 Rechtsgrundlage Vertrag
  • P.1.3 Rechtsgrundlage berechtigtes Interesse
  • P.1.4 Rechtsgrundlage Einwilligung
  • P.1.5 Rechtsgrundlage rechtliche Verpflichtung
  • P.1.6 Rechtsgrundlage lebenswichtige Interessen
  • P.1.7 Rechtsgrundlage öffentliches Interesse
  • P.1.8 Verarbeitung bei besonderen Kategorien personenbezogener Daten
  • P.1.9 Verarbeitung bei strafrechtlichen Verurteilungen und Straftaten
  • P.1.10 Datenverarbeitung im Auftrag

P.2 Grundsätze

  • P.2.1 Privacy-by-Design (Datenschutz durch Technikgestaltung)
  • P.2.2 Privacy-by-Default (Datenschutzfreundliche Voreinstellungen)
  • P.2.3 Zweckbindung
  • P.2.4 Datenminimierung
  • P.2.5 Richtigkeit
  • P.2.6 Speicherbegrenzung
  • P.2.7 Treu und Glauben

P.3 Pflichten des Kunden

  • P.3.1 Informationspflichten des Kunden

P.4 Auftragsverarbeitung

  • P.4.1 Vertrag zur Auftragsverarbeitung (AV-Vertrag)
  • P.4.2 Umsetzung der Maßnahmen gem. AV-Vertrag
  • P.4.3 Audit

P.5 Technisch-organisatorische Maßnahmen

  • P.5.1 Festlegung geeigneter Maßnahmen
  • P.5.2 Zutrittskontrolle (Vertraulichkeit und Integrität auf Ebene der physischen Zutritte)
  • P.5.3 Zugangskontrolle (Vertraulichkeit und Integrität auf Ebene der Systemzugänge)
  • P.5.4 Zugriffskontrolle (Vertraulichkeit und Integrität auf Ebene der Anwendungszugriffe)
  • P.5.5 Transportkontrolle (Vertraulichkeit und Integrität auf Transport-Ebene)
  • P.5.6 Trennungskontrolle
  • P.5.7 Eingabekontrolle
  • P.5.8 Verfügbarkeitskontrolle
  • P.5.9 Pseudonymisierung / Anonymisierung
  • P.5.10 Überprüfung, Bewertung und Evaluierung

P.6 Datenschutz-Management

  • P.6.1 Fortlaufende Datenschutz-Kontinuität
  • P.6.2 Datenschutzbeauftragter
  • P.6.3 Verpflichtung auf Vertraulichkeit / Schulungen
  • P.6.4 Verzeichnis von Verarbeitungstätigkeiten
  • P.6.5 Datenschutz-Folgenabschätzung
  • P.6.6 Meldung von Datenschutzverletzungen
  • P.6.7 Zusammenarbeit mit Aufsichtsbehörden

P.7 Datenverarbeitung außerhalb der EU

  • P.7.1 Datenübermittlung in Drittstaaten
  • P.7.2 Vertreter innerhalb der EU

P.8 Betroffenenrechte

  • P.8.1 Recht auf Auskunft
  • P.8.2 Recht auf Berichtigung
  • P.8.3 Recht auf Löschung ("Recht auf Vergessenwerden")
  • P.8.4 Recht auf Einschränkung
  • P.8.5 Mitteilungspflicht
  • P.8.6 Recht auf Datenübertragbarkeit
  • P.8.7 Recht auf Widerspruch
  • P.8.8 Recht auf Widerruf bei Einwilligung
  • P.8.9 Automatisierte Entscheidungen / Profiling
  • P.8.10 Beschwerde-Management

Jedes Anforderungselement enthält neben der konkreten Anforderung auch den Verweis auf die gesetzliche Grundlage. Zusätzlich werden typische Nachweise dargestellt.

Kriterienkatalog

Zertifizierungsstellen

DSGVO – information privacy standard soll von mehreren Zertifizierungsstellen angeboten werden. Die DSGVO sieht für die Zertifizierungsstellen eine Akkreditierung durch die zuständige Akkreditierungsstelle – in Deutschland die DAkkS – sowie eine Befugniserteilung durch die zuständige Datenschutz-Aufsichtsbehörde vor. Die Akkreditierung muss gem. ISO/IEC 17065 sowie einem zugelassenen Kriterienkatalog erfolgen – etwa dem Zertifizierungsstandard DSGVO – information privacy standard. Profitieren Sie als Zertifizierungsstelle von diesem Standard für DSGVO-Zertifikate, den Sie lizenzieren können: von den Behörden abgenommen, universell einsetzbar, bei Verantwortlichen und Auftragsverarbeitern, in allen Branchen, allgemein bekannt und anerkannt.

Zertifizierungsstelle werden

Sie haben noch offene Fragen?

In unserem Glossar finden Sie Erklärungen für viele Begriffe aus der Fachsprache des Prüf- und Zertifizierungswesens. Häufig gestellte Fragen werden in unseren FAQ ausführlicher erläutert. Natürlich stehen wir Ihnen zur Beantwortung weiterer Fragen gerne auch per E-Mail oder Telefon zur Verfügung.

Zum Glossar

Zertifizierte Videosprechstunde

Sie benötigen einen Zertifizierung für Ihre Videosprechstunde? Wir können Ihnen weiterhelfen.

Mehr erfahren

DSGVO-Zertifizierungsstelle werden

Sie sind selber Zertifizierungsstelle und haben Interesse an unserem Programm? Hier finden Sie weitere Informationen für Zertifizierungsstellen, die DSGVO-Zertifikate erteilen möchten.

Mehr erfahren

Ihre Ansprechpartnerin

Katja Starke

Teamassistentin |
Zertifizierungsmanagement

Jetzt kontaktieren