Beitrag

Forschungsprojekt DIRECTIONS: Datenschutzzertifizierungen von Bildungsprojekten Do 03.02.2022

DSGVO-Zertifizierungsprogramm vorläufig abgenommen

Wir sind einer DSGVO-Zertifizierung einen riesigen Schritt nähergekommen!

Gestern – am 2.2.22 – erreichte uns der positive Abschlussbericht der Fachprüfung der Datenschutz-Aufsichtsbehörde zu unserem eingereichten Art. 42 DSGVO-Zertifizierungsprogramm. Zusammen mit der bereits vorliegenden positiven Fachprüfung der Deutschen Akkreditierungsstelle (DAkkS) liegen damit alle vorläufigen Genehmigungen zu unserem DSGVO-Zertifizierungsstandard „information privacy standard“ vor.

Wieso vorläufig?

Da der Europäische Datenschutzausschuss (EDSA) auch alle nationalen DSGVO-Zertifizierungsprogramme abnehmen möchte, muss unser Zertifizierungsstandard noch nach Brüssel. Dazu haben wir sowohl unser Konformitätsbewertungsprogramm als auch unseren Kriterienkatalog übersetzt, sodass es jetzt zügig losgehen kann. Da wir aber unseren Standard auch als Europäisches Datenschutzsiegel („European Data Protection Seal“) angemeldet haben, steht dort sowieso diese Prüfung an.

Wie geht es dann weiter? 

Mit unserem abgenommenen DSGVO-Zertifizierungsstandard „information privacy standard“ steht nun die Akkreditierungsgrundlage bereit, auf der die datenschutz cert GmbH dann ihre bestehende Akkreditierung um den Bereich der Art. 42 DSGVO-Zertifikate erweitern will. Dann – erst dann – stehen hochoffizielle Art. 42 DSGVO-Zertifizierungen bereit.

Wozu sind Art. 42 DSGVO-Zertifikate gut? 

Nun, es gibt zwar keine Verpflichtung, ein solches Zertifikat vorzulegen, aber die DSGVO sieht ein solches Zertifikat als „Faktor“ an, etwa bzgl. der Umsetzung technisch-organisatorischer Maßnahmen gem. Art. 32 Abs. 3 DSGVO: „Die Einhaltung […] eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“ Denn hier kommt ein wichtiges Charaktermerkmal der DSGVO zum Tragen, wonach der Verantwortliche bzw. Auftragsverarbeiter die Umsetzung und Einhaltung der DSGVO nachweisen muss. Und für diesen Nachweis kann ein DSGVO-Zertifikat als „Faktor“ herangezogen werden. Warum sollte ein Verantwortlicher oder Auftragsverarbeiter dies tun? 

Als Vorteile werden häufig genannt:

  • Nachweis zur Einhaltung der DSGVO
  • Unterstützung bei der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO
  • besserer Datenschutz
  • Voraussetzung bei Ausschreibungen 
  • besseres Image/Marketingeffekt
  • Marktzutrittsvoraussetzung
  • Haftungsreduzierung
  • Reduktion/Rückstellung von Geldbußen
  • Vorlage bei Aufsichtsbehörden
  • Wettbewerbsvorteile durch guten Datenschutz

Was kann gemäß „information privacy standard“ zertifiziert werden? 

Zertifiziert werden können nur konkrete Verarbeitungsvorgänge, keine Unternehmen, keine Managementsysteme. Zudem muss der Verarbeitungsvorgang einen IT-Anteil haben. Daher unser Scope: „IT-gestützte Verarbeitung personenbezogener Daten“.

Was ist das Besondere am DSGVO-Zertifizierungsstandard „information privacy standard“?

Unser Standard

  • ist generisch, er deckt also beliebige Branchen, Bereiche, Sektoren ab;
  • ist für Verantwortliche und auch für Auftragsverarbeiter geeignet.

Weshalb ist das alles so kompliziert? 

Wer mehr wissen möchte über den recht aufwändigen Zulassungsprozess, dem empfehle ich unseren Artikel „Der lange Weg zur Akkreditierung nach Art. 42 DSGVO“ aus DuD 10/2020 oder unsere Website. Hier finden Sie alles Wissenswerte.

Noch ein Hinweis in eigener Sache: Die datenschutz cert GmbH treibt die Vision an, mit „information privacy standard“ einen deutschland-, europa- und weltweit einheitlichen DSGVO-Zertifizierungsstandard zu schaffen – und diesen auch anderen Zertifizierungsstellen zur Nutzung zur Verfügung zu stellen. Unsere Vision ist es, dass ein solch einheitlicher Standard immense Vorteile schafft:

  • Orientierungshilfe für Verbraucher: Die Verbraucher wissen wofür ein solches DSGVO-Zertifikat steht und nutzen es für ihre Kaufentscheidungen.
  • Klare Anforderungen für Organisationen, die ein DSGVO-Zertifikat anstreben: Organisationen wissen, welche Anforderungen der DSGVO-Zertifizierungsstandard „information privacy standard“ an sie stellt und was sie umsetzen müssen.
  • Arbeitserleichterung für Datenschutz-Berater: Sie müssen sich nicht mit einer Vielzahl von unterschiedlichen Programmen herumschlagen, sondern können zielgerichtet ihre Kunden auf einen einheitlichen DSGVO-Standard vorbereiten.
  • Entscheidungshilfe für Tool-Hersteller: Wir streben an, der führende Standard zu werden und daher können Toll Hersteller diesen Standard bereits bei der Entwicklung berücksichtigen. 

Deshalb: Falls Sie als Zertifizierungsstelle Interesse haben, unseren DSGVO-Zertifizierungsstandard „information privacy standard“ zu nutzen, sprechen Sie mich gerne an. Weitere Informationen finden sie hier: http://www.ips-dsgvo-zertifikat.de.
 

Von Dr. Sönke Maseberg in der Rubrik cert News