5 Schritte zu Ihrem DSGVO-Zertifikat

Sie haben Interesse an einem offiziellen Art. 42 DSGVO-Zertifikat? Hier erläutern wir Ihnen den direkten Weg zu Ihrem Zertifikat nach DSGVO – information privacy standard.

Im ersten Schritt sollten Sie die Datenverarbeitung, die für Sie besonders wichtig ist und für die Sie ein DSGVO-Zertifikat anstreben, identifizieren und abgrenzen. 
Das sog. „Scoping“ meint, den Geltungsbereich – also den Umfang der Zertifizierung – klar zu benennen, um zu definieren, was im Rahmen der Zertifizierung geprüft wird und was außerhalb der Betrachtungsgrenzen liegt. 

Ausgangspunkt ist Ihre Datenverarbeitung, die Sie gem. Art. 42 DSGVO zertifizieren lassen möchten. Es muss sich um eine relevante Datenverarbeitung handeln, beispielsweise ein wichtiger Geschäftsprozess. Etwaige Randbereiche, die für die Erbringung dieser konkreten Datenverarbeitung nicht direkt erforderlich sind, können zunächst außen vor gelassen werden. Achtung: Ein DSGVO-Zertifikat ist ausschließlich für konkrete Datenverarbeitungen vorgesehen. Nicht zertifiziert werden können Unternehmen, Datenschutz-Managementsysteme, Personen (Datenschutzbeauftragte o.ä.) oder reine Produkte.

Beispiel: Wenn die Rechnungsstellung für die Erbringung Ihrer Datenverarbeitung nicht direkt erforderlich ist, muss die Rechnungsstellung nicht zwingend Bestandteil des Scopes sein. Sie können diese natürlich einbeziehen, im Sinne einer Reduktion der Komplexität lässt sich dies aber begründet ausschließen.

Wichtig: Ausgehend von Ihrer Datenverarbeitung sind alle Zielobjekte, die für diese Datenverarbeitung erforderlich sind, einzubeziehen. Auch die Zielobjekte, die bei einem externen Dritten (Dienstleister) betrieben werden, können Bestandteil des Scopes sein. Das bedeutet jedoch nicht zwingend, dass all Ihre Dienstleister geprüft werden müssen. Liegen Zertifikate vor, kann auf Doppelprüfungen verzichtet werden.

Scoping ist ein iterativer Prozess. Im Laufe des Zertifizierungsprozesses kann sich immer wieder herausstellen, dass der ein oder andere Bereich doch mit aufgenommen werden muss. 

Tipp: Starten Sie mit einem möglichst kleinen Scope, also mit einer relativ kleinen Datenverarbeitung. Später den Scope zu erweitern, ist erfahrungsgemäß sehr viel einfacher. 

Für das Scoping gibt es von Seiten der datenschutz cert mehrere Hilfsmittel: 

• Zunächst einmal gibt es den Kriterienkatalog, in dem auch die Vorgehensweise beschrieben ist. Der Kriterienkatalog ist öffentlich verfügbar. Dort in Kapitel 3 finden Sie die Vorgaben zum Scoping.
• Ferner leitet Sie unser Referenzdokument (mehr dazu in Schritt 3) durch das Scoping. Das Referenzdokument ist als Word-Dokument oder Excel-Tabelle verfügbar.
   

Wie unser Zertifizierungsstandard DSGVO – information privacy standard funktioniert, können Sie auf Website zum Zertifizierungsstandard oder direkt im Kriterienkatalog nachlesen.

Zunächst ist es aus unserer Sicht wichtig, ein Gefühl zu entwickeln, wie der Standard funktioniert und wie die Kriterien wirken und anzuwenden sind. Von daher empfehlen wir, 

• zuerst die Anwendung des Standards im Kriterienkatalog in Kapitel 3 durchzulesen,
• sich dann einen Überblick über die Kriterien zu verschaffen (Kapitel 4) – die vertiefende Lektüre der Kriterien können Sie auf einen späteren Zeitpunkt verschieben – und
• sich in Kapitel 5 darüber zu informieren, wie der Zertifizierungsprozess abläuft.

Nachdem Sie den Scope definiert und sich in den Zertifizierungsstandard eingelesen haben, wenden Sie sich an uns, um ein Angebot für eine Zertifizierung gem. DSGVO – information privacy standard zu erhalten.

Die Kosten für ein DSGVO-Zertifikat orientieren sich an der Komplexität und dem Umfang der Datenverarbeitung, die im Scope ist. Daher benötigen wir von Ihnen einige Information, um den Aufwand zu kalkulieren. Da Sie im 1. Schritt bereits das „Scoping“ durchgeführt haben, bedeutet die Zusammenstellung dieser Informationen nur noch einen geringen Aufwand. 

Im Download Center finden Sie unser Anfrageformular. Füllen Sie dieses Formular bitte vollständig aus und senden es uns zu. Wir erstellen Ihnen dann ein individuelles Angebot für die Zertifizierung. Wenn Sie Fragen zum Formular haben, sprechen Sie uns gerne an.

Das Angebot wird neben der Darstellung des Zertifizierungsprozesses insbesondere die Kosten für die Zertifizierung und die beiden jährlichen Überwachungen ausweisen – also für den gesamten Zyklus, der über 3 Jahre läuft. Die Kosten werden die Evaluierungstätigkeiten sowie die Zertifizierungsgebühr zzgl. Reisenebenkosten umfassen. 
 

Nach der Beauftragung zur Zertifizierung Ihrer Datenverarbeitung gem. DSGVO – information privacy standard stimmen wir mit Ihnen Termine für die folgenden Meilensteine der Evaluierung ab:

• Übergabe der Referenzdokumentation
• Basisprüfung
• Prüfung (rechtl.)
• Prüfung (techn.)
• Auditierung/Inspektion als Site Visit

Für die Referenzdokumentation benötigen wir von Ihnen:

• die Scope-Beschreibung, die Sie bereits in Schritt 1 erstellt haben,
• das Statement of Applicabilty (SOA) sowie
• die Realisierungsbeschreibung.

Es gibt 50 Anforderungselemente im Kriterienkatalog. Aufgrund des generischen Ansatzes unseres Zertifizierungsstandards sind nicht immer alle Elemente anzuwenden. Mittels gezielter Fragen in unserem Referenzdokument (Word / Excel) arbeiten Sie die für Sie anwendbaren Anforderungen heraus. So werden Sie Schritt für Schritt zu Ihrem individuellen Statement of Applicabilty (SOA) geleitet.

Die Realisierungsbeschreibung ist der größte Teil der Arbeit. Denn zu allen Anforderungskriterien – je nach SOA max. 50 an der Zahl – benötigen wir von Ihnen eine ausführliche Dokumentation, wie Sie die Anforderungen des Kriterienkatalogs erfüllen. 

Was ist hierbei die Herausforderung? Es muss zu jedem der anwendbaren Kriterien für alle anwendbaren Zielobjekte ausgeführt werden – und zwar ausführlich –, wie das Kriterium umgesetzt wird. Sie können selbstverständlich auf andere Dokumente verweisen, diese sind dann aber beizufügen und entsprechend zu referenzieren. Jedes Kriterium weist im Kriterienkatalog eine Beschreibung dessen auf, was genau gefordert wird; damit enthält jedes Anforderungselement eine oder mehrere Einzelanforderungen. Die Menge an Anforderungen kann sich also von 50 Kriterien auf 50*x Einzelanforderungen vervielfältigen. 

Die Kriterien selbst sind direkt aus der DSGVO abgeleitet, stellen also im Wesentlichen keine neue Anforderung dar. Einige Formulierungen sind präziser oder konkreter gefasst als in der DSGVO beschrieben. Dies ergibt sich durch die Berücksichtigung der Interpretationen der Datenschutz-Aufsichtsbehörden – sowohl in Deutschland als auch auf europäischer Ebene durch den EDSA –, die den Kriterienkatalog abgenommen haben. 

Wichtig: Nehmen Sie die Einzelanforderungen ernst! Beantworten Sie bitte für jedes dem Kriterienkatalog zugeordnete Zielobjekt alle Einzelaspekte hinreichend präzise und ausführlich. Nichts ist ärgerlicher, als wenn im Rahmen der Evaluierung festgestellt wird, dass ein Prüfpunkt nicht positiv bestätigt werden kann, weil Informationen nicht vollständig vorliegen und eine weitere Runde absolviert werden muss. 

Ihre Referenzdokumentation reichen Sie zur Basisprüfung bei uns ein. Nach Abschluss der Basisprüfung beginnt unser Evaluationsteam mit der technischen und rechtlichen Prüfung Ihrer Datenverarbeitung. Die Evaluierung umfasst auch ein Audit bzw. eine Inspektion als Site Visit bei Ihnen im Hause.

Wenn alle Evaluierungsschritte absolviert sind und Ihre Datenverarbeitung sämtliche relevanten Anforderungselemente erfüllt, erstellen die Evaluatorinnen und Evaluatoren ihre Berichte und reichen die gesamte Dokumentation in der Zertifizierungsstelle ein. 

Wenn die Zertifizierungsstelle zu dem Schluss kommt, dass alle Anforderungen unseres Kriterienkatalogs angemessen umgesetzt sind, wird eine positive Zertifizierungsentscheidung getroffen. 
Und dann – nach einer kurzen behördlichen Wartezeit von 7 Tagen – erhalten Sie Ihr DSGVO-Zertifikat für Ihre Datenverarbeitung. 

Wir überreichen Ihnen feierlich Ihre Urkunde und sagen: Herzlichen Glückwunsch!

Und: Wir sehen uns in 12 Monaten wieder zur Überwachung. 
 

Wichtig, bei allen Schritten: Wir lassen Sie nicht allein. Sie haben immer Ansprechpartner zur Seite:

• zu Beginn unser Backoffice,
• zur Vorbereitung unsere Kolleginnen und Kollegen der Validierung,
• dann Ihr Evaluationsteam und natürlich
• die Zertifizierungsstelle.

Bei Fragen zögern Sie bitte nicht, uns anzusprechen. Als unabhängige Zertifizierungsstelle dürfen wir Sie zwar nicht beraten, wir dürfen aber selbstverständlich unsere Methodik erläutern und freuen uns, Ihre Fragen dazu zu beantworten.