Dr. Sebastian Kraska

80331, München
04.12.2018

DSGVO: Zertifizierung im Datenschutz

IITR Information[IITR – 4.12.18] Ein Geschäftsführer haftet bekanntlich durch die EU-Datenschutzgrundverordnung (DSGVO) für ein ausreichendes Datenschutzniveau des durch ihn beauftragten Fremdanbieters, sofern dieser personenbezogene Daten verarbeiten soll. Er muss seine Entscheidungsgründe, sich für diesen Fremdanbieter entschieden zu haben im Rahmen der EU-Datenschutzgrundverordnung ausreichend dokumentieren.

Offizielle Zertifizierungen von Unternehmen, mit denen die erforderliche Angemessenheit des eigenen Datenschutzniveaus einem potentiellen Auftraggeber nachgewiesen werden kann, sind derzeit nicht in Sicht. Die Schwierigkeiten liegen nicht bei den Landesdatenschutzbehörden oder der zuständigen Zertifizierungsstelle DAkkS, welche allesamt bei der Abstimmung eines allgemeinen Zertifizierungsstandards einzubeziehen sind. Die Schwierigkeiten ergeben sich aus grundsätzlichen Betrachtungen.

Davon unberührt verbleibt der enorme Bedarf vor allem kleinerer und mittlerer Unternehmen, hinsichtlich ihres Datenschutz-Systems auf eine Zertifizierung verweisen zu können, die einem auftragsvergebenden Geschäftsführer einen Anhaltspunkt bietet, wie man im Datenschutz aufgestellt ist.

Demnächst wird die erste offizielle Datenschutz-Zertifizierung erwartet für jene Unternehmen, die sich aufgrund einer speziellen Tätigkeiten oder ihrer Unternehmens-Größe für eine ISO 27001- Zertifizierung im Bereich der IT-Sicherheit entschieden haben. Diese könnte um eine Aussage zur Datenschutz-Konformität nach ISO 27552 ergänzt werden, welche ab etwa April 2019 zur Verfügung stehen sollte. Viele kleine und mittlere Unternehmen werden sich diese Zertifizierung/Konformitäts-Bestätigung nicht leisten können. Ohnehin scheint ein Mangel an Auditoren für die ISO27001-Auditierungen zu bestehen.

Organisationen und Verbände können für durch sie organisierte Vereine und angeschlossene Geschäftsstellen einen sogenannten Code of Conduct (Verhaltensregeln) erstellen lassen, um ihre nachgeordneten Organisationen an den Datenschutz heranzuführen. Ein Code of Conduct muss von der jeweils zuständigen Landesdatenschutzbehörde genehmigt und sollte mit den anderen Landesdatenschutzbehörden abgestimmt werden.

Somit verbleibt ein Bereich von mittleren bis kleineren Unternehmen, welche auf eine Verarbeitung personenbeziehbarer Daten zurückgreifen oder angewiesen sind und denen eine offizielle Bescheinigung ihres tatsächlich vorhandenen Datenschutzniveaus gemäß der EU-Datenschutzgrundverordnung dienlich wäre. Der offizielle Charakter eines Nachweises der eigenen, datenschutzkonformen Aufstellung stellt womöglich auch eine Haftungsreduzierung dar für den Fall, dass man von Datenpannen betroffen ist. Nicht zuletzt deswegen dürften Nachweise nach den Bestimmungen der EU-Datenschutzgrundverordnung im Rahmen der Rechenschaftspflicht versionierend anzulegen sein.

Amtlichen Vorgaben folgende Zertifizierungsverfahren fehlen derzeit und somit existieren auch keine akkreditierten Prüfstellen für die EU-Datenschutzgrundverordnung. So bleibt nichts anderes, als privatrechtliche Zertifizierungen anzubieten, die freilich nicht für sich beanspruchen dürfen, nach DSGVO zu zertifizieren. Dies ist laut der Bestimmungen der DSGVO jenen Stellen vorbehalten, die dazu akkreditiert wurden.

Unser GDPR Compliance-Kit, ein seit März 2018 auf dem Markt befindliches Datenschutz-Management-System sieht die Möglichkeit der Zertifizierung vor, ein separater Zugang zur Auditierung wurde von vornherein implementiert. Das integrierte Handbuch bildet die Datenschutzgrundverordnung vollständig ab und orientiert sich dabei an der ISO High-Level-Structure. Unsere Mandanten wurden fristgerecht vor dem Wirksamwerden der DSGVO damit ausgestattet.

Nachdem sich der amtliche Zertifizierungs/Akkreditierungs-Vorlauf verzögert mussten wir uns entschließen, einen eigenen Standard anzubieten, bis er durch ein geprüftes, offiziell genehmigtes Verfahren ergänzt oder ersetzt werden kann.

Über die Einzelheiten werden wir Anfang Januar 2019 berichten.

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.