[IITR – 28.12.18] Der Europäische Datenschutz-Ausschuss (vgl. die aktuelle Verlautbarung hierzu) sieht keine rechtliche Möglichkeit für die Zertifizierung von Management-Systemen im Datenschutz (sondern hält den Zertifizierungs-Bereich auf Produkte und Dienstleistungen beschränkt). Wie im Beitrag „DSGVO: Zertifizierung im Datenschutz“ dargestellt besteht damit eine Angebots-Lücke bei offiziellen Zertifizierungen, da Unternehmen unter der DSGVO keine staatliche Zertifizierung für ihre Datenschutz-Prozesse erhalten können.
ISO 27001 und ISO 27552 für Groß-Unternehmen
Die ISO 27001 (IT-Sicherheit) und die darauf aufsetzende ISO 27552 (Datenschutz-Management; verfügbar ab voraussichtlich April 2019) wird zumindest für Groß-Unternehmen eine alternative Möglichkeit bieten, Datenschutz-Prozesse auf ISO-Basis einer Zertifizierung/Bestätigung durch akkreditierte Stellen zu unterziehen.
Für kleinere Unternehmen (welche sich eine teure Zertifizierung/Anerkennung nach ISO 27001/27552 nicht leisten können) ist keine Möglichkeit absehbar, ihre Unternehmen mit amtlicher Anerkennung im Datenschutz zertifizieren zu lassen.
Private Zertifizierungsangebote
Die bestehende Lücke wird derzeit von mehreren privaten Anbietern adressiert. Dies sind rechtlich gesehen also weder offizielle Zertifizierungsverfahren gem. Art. 42 (1) DSGVO, noch entsprechen diese einer ISO-Normierung.
Durch die privaten Anbieter erfolgt eine Überprüfung und Dokumentation der Einhaltung der Anforderungen der DSGVO ohne Erteilung eines staatlich anerkannten Zertifikats.
CPS: Certified Privacy Standard
Die IITR Datenschutz GmbH hat sich nach der oben zitierten Verlautbarung des Europäischen Datenschutz-Ausschusses entschlossen, unter der Bezeichnung „Certified Privacy Standard“ einen Datenschutz-Standard vorzulegen. Die Voraussetzungen sind in einem Konformitätsbewertungs-System zusammengefasst. Als Grundlage dient das im April 2018 vorgestellte Compliance-Kit der IITR Datenschutz GmbH. Dieses stellt u.a. ein Datenschutz-Management-System zur Verfügung und bildet dazu die strukturellen Anforderungen der DSGVO nach, wobei sich der Aufbau an der ISO High-Level-Structure orientiert.
Partiell vergleichbar dazu wäre die BS 10012 des BSI (British Standards Institution), soweit diese inhaltlich auf DSGVO-Bestimmungen Bezug nimmt.
Zwei Ausführungen des Certified Privacy Standard
CPS 100 für mittelständische Unternehmen
Dieser Standard sichert die Konformität mit den Bestimmungen der DSGVO zum Zeitpunkt der Überprüfung zu. Durch die im zugrundezulegenden Compliance-Kit implementierte Versionierung der jeweils aktuellen Dokumentenlage kann die Konformität fortlaufend im Compliance-Kit dokumentiert werden.
CPS 600 für kleine Unternehmen
Dieser Standard sichert die Konformität mit den Empfehlungen des Leitfadens für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht zum Zeitpunkt der Überprüfung zu. Durch die implementierte Versionierung im hierbei verwendeten Datenschutz-Kit wird zwischen den Überprüfungen der Stand der jeweils vorliegenden Dokumentenlage dokumentiert.
Auditierungen
Die Überprüfung des CPS 100 erstreckt sich auf die Dokumentenlage im Compliance-Kit der IITR Datenschutz GmbH und wird durch eine eigenständige Gesellschaft als unabhängige Stelle vorgenommen.
Die Überprüfung des CPS 600 ist auf das Datenschutz-Kit der IITR Datenschutz GmbH abgestimmt und wird durch eine eigenständige Gesellschaft vorgenommen. Die Bestätigung erfolgt durch die IITR Datenschutz GmbH.
Fazit
Wir bieten Unternehmen aus dem KMU-Umfeld eine Datenschutz-Überprüfung an, welche nach Vorgabe der DSGVO ein vorhandenes Datenschutz-Niveau bestätigt, um die Auslagerung von Datenverarbeitungs-Vorgängen an externe Dienstleister zu erleichtern sowie die sich aus der DSGVO ergebenden Haftungsrisiken für die Geschäftsleitung zu adressieren.
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer DatenschutzbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.