Dr. Sebastian Kraska

80331, München
03.02.2019

Datenschutz-Zertifizierung durch IITR Cert GmbH

IITR Information[IITR – 4.2.19] Mit Beginn des aktuellen Monats hat die IITR Cert GmbH ihre Tätigkeit aufgenommen und bietet nun kleinen und mittelständischen Unternehmen (KMUs) die Möglichkeit, ihr Datenschutz-Management-System zertifizieren zu lassen.

Diese Zertifizierung erfolgt auf Basis des „Certified Privacy Standard CPS“, den wir am 28. Dezember 2018 vorgestellt hatten.

Es handelt sich dabei um privatrechtliche Zertifizierungen, welche sich im Kern auf die beiden Datenschutz-Management-Systeme „Compliance-Kit“ sowie „Datenschutz-Kit“ der IITR Datenschutz GmbH erstrecken.

Nach unserer festen Überzeugung müssen kleinere bis mittelgroße Unternehmen auf ein Instrument zum Nachweis ihrer Konformität mit den Datenschutzbestimmungen zurückgreifen können.

Datenschutz-Management-System (DMS)

Die erteilten Zertifikate stellen keine Zertifizierung nach Art. 42 der EU-DSGVO dar. Nach Entscheidung der Datenschutz-Aufsichts-Behörden bleibt der staatlich beaufsichtigte Zertifizierung-Bereich ausschließlich auf Produkte, Prozesse und Dienstleistungen beschränkt.

Datenschutz-Management-Systeme werden demnach nicht einem amtlichen hoheitlichen Zertifizierungs-Verfahren zugeführt und können damit derzeit nicht Gegenstand eines staatlich anerkannten Zertifizierungsverfahrens in Deutschland sein. Andere Länder gehen hier teilweise einen anderen Weg.

Unter „Datenschutz-Management-System“ wird eine Systematik verstanden, welche die innerbetrieblichen Strukturen im Datenschutz verwaltet. Dergleichen ist durch die DSGVO – nicht nur nach unserer Ansicht – gefordert. Ein derartiges DMS erfasst sämtliche Bedingungen und Maßnahmen, die zur Umsetzung der gültigen Datenschutz-Bestimmungen notwendig sind.

Hierunter sind sämtliche vorzuhaltenden Erklärungen und Verpflichtungen über die innerbetriebliche Organisation des Datenschutzes zu nennen, mit allen dazu erforderlichen Maßnahmen, eingeschlossen alle externe Verträge sowie die Nachweise vorzunehmender Mitarbeiter-Schulungen. Das System muß zusätzlich über eine Möglichkeit des zeitlichen Nachweises der Umsetzung einzelner Maßnahmen verfügen. Es besteht die Pflicht zur Dokumentation der Erfüllung aller Forderungen.

Aus unserer Sicht besteht in der Unternehmenspraxis der Bedarf, ein eigenes Datenschutz-Management System zu etablieren und dieses einer Zertifizierung zuzuführen.

Für größere Unternehmen oberhalb der KMU-Grenze zeichnet sich mit der ISO27552 eine Möglichkeit ab, das eigene Datenschutz-Management-System einer externen Konformitäts-Überprüfung zu unterziehen. Dieser Standard ist Bestandteil einer (kostenintensiven) Zertifizierung nach ISO27001/27002 (IT-Sicherheit). Damit dürfte dieser Weg den meisten kleinen und mittelständischen Unternehmen aufgrund der damit einhergehenden hohen Kosten in der Praxis verschlossen bleiben. Eine weitere Hürde besteht derzeit zudem in einer nicht ausreichenden Verfügbarkeit von Beratern und Auditoren im Bereich ISO27001.

Bestehende Anforderungen im Datenschutz

Bereits der Auftraggeber ist bei einer Auftragsvergabe gem. Art. 28 Abs. 1 EU-DSGVO verantwortlich für das Vorhandensein eines angemessenen Datenschutz-Niveaus seiner Auftragnehmer. Er muß sich vor Auftragsvergabe diesbezüglich vergewissert haben, ob der Auftragnehmer mit den ihm überlassenen Daten rechtskonform umgeht. Dies wäre im Licht der Rechenschaftspflicht der EU-DSGVO streng genommen vor einer Auftragsvergabe sogar in dokumentierter Form durch den Auftraggeber zu protokollieren.

Wie kommt ein Auftraggeber dieser Verpflichtung nach? Wie kann er sich vorab vom angemessenen Datenschutz-Niveau seines Auftragnehmers vergewissern, wenn dieser kein Zertifikat vorweisen kann, weil keine amtlichen Zertifizierungen zur Verfügung stehen?

Konsequenzen einer fehlenden DMS-Zertifizierung

Derzeit nehmen große Unternehmen bereits Auditierungen ihrer Unter-Auftragnehmer vor. Dies hat zur Folge, dass allen bei einer Auftragsvergabe zunächst nicht berücksichtigten, also auch nicht auditierten Unternehmen droht, von zukünftigen Aufträgen ausgeschlossen zu bleiben.

Bereits jetzt schließen Großunternehmen bestimmter Branchen KMUs von Auftragsverfahren aus, wenn diese keine Zertifizierung nach ISO27001/27002 (IT-Sicherheit) oder vergleichbar vorlegen können. Gleiches wird mittelfristig auch für den Datenschutz-Bereich zu erwarten sein.

Sie wurden vom Auftraggeber womöglich nicht auditiert und können das geforderte, angemessene Datenschutz-Niveau auf andere Weise bisher nicht nachweisen.

Drohender Marktausschluss

Amtliche Vorgaben oder Vorstelllungen hinsichtlich der Notwendigkeit einer Zertifizierung von Datenschutz-Management-Systemen bei KMUs sind derzeit nicht erkennbar. Folgerichtig können auch keine verbindlichen Vorgaben zur Akkreditierung von Zertifizierungsstellen entwickelt werden, welche die am Markt bereits vorhandenen  Datenschutz-Management-Systeme einsetzen oder prüfen könnten.

Unklar bleibt, nach welchen konkreten Vorgaben die ersatzweise vorgenommenen Auditierungen durchgeführt werden. Derzeit behilft sich die Praxis mit unternehmensindividuell entwickelten Checklisten.

Abhilfe

Diesem Zustand kann derzeit nur durch hilfsweise eingesetzte privatrechtliche Zertifizierungen entgegengetreten werden, die sich dabei an der DSGVO orientieren (ohne eine staatlich anerkannte Zertifizierung nach Art. 42 DSGVO zu sein).

Es besteht eine Hoffnung, wonach sich das staatliche Zertifizierungswesen für den Datenschutz innerhalb Europas fortentwickeln wird. Dem steht derzeit in Deutschland noch entgegen, dass die Adressierung der Vorgaben der DSGVO („Datenschutz-Zertifizierung liegt allein bei Datenschutz-Aufsichtsbehörden“) und zugleich die Einhaltung der EU-Verordnung Nr. 765/2008 („Jeder Mitgliedstaat benennt eine einzige nationale Akkreditierungsstelle“) in einem schwerfälligen Konstrukt zu münden scheint.

Der Blick zurück

Bereits seit Herbst 2016, also seit zweieinhalb Jahren, befindet sich die IITR Datenschutz GmbH in Kontakt mit der für Akkreditierungen zuständigen Behörde. Die Anträge zur Zertifizierung wurden frühzeitig gestellt, es fehlten jedoch die Procedere, nach denen – zumindest in Deutschland – die Behörde eine Akkreditierung hätte durchführen können.

Wir als IITR Datenschutz GmbH haben mit unserem Compliance-Kit sowie dem Datenschutz-Kit eigene Datenschutz-Management-Systeme entwickelt, um unsere Mandate spätestens zum Zeitpunkt der Gültigkeit der DSGVO rechtskonform aufzustellen. Seitdem können unsere Mandanten sich ihren jeweils aktuellen Datenschutz-Status durch ihr DMS fortwährend anzeigen lassen. Allerdings konnte mangels Zertifizierung der Status der vollständigen Erfüllung bisher nicht erlangt werden.

Unsere DMS wurden von Beginn an mit einer Auditierungs-Fähigkeit durch externe Stellen versehen, um das DMS beispielsweise einer Zertifizierung zugänglich zu machen.

Diese Zertifizierung wird zukünftig durch die IITR Cert GmbH vorgenommen.

Aufgaben der IIT Cert GmbH

Die IITR Cert GmbH zertifiziert nach dem privatrechtlichen Standard CPS (Certified Privacy Standard).

Diesem Standard liegen umfangreiche Konformitäts-Anforderungen zugrunde, welche durch die IITR Cert GmbH veröffentlicht und von den Mandanten zur Auftragsakquise herangezogen werden können.

Erteilte Zertifikate können als faktischer Nachweis zur Erbringung des gesetzlich geforderten Datenschutz-Niveaus betrachtet werden. Weiterhin dürfte eine nach diesem Standard durchgeführte Zertifizierung zu einer Haftungsreduzierung führen. Schließlich dient eine Zertifizierung in der innerbetrieblichen Kommunikation als Beleg für geordnete Datenschutz-Strukturen. Zertifizierung erzeugt Vertrauen.

Die IITR Cert GmbH ist eine eigenständige und unabhängige, ausschließlich mit Datenschutz-Zertifizierung befasste Gesellschaft.

Interesse?

Wenn Sie Interesse haben, das Datenschutz-Management-System Ihres Unternehmens nach unserem Datenschutz-Standard CPS zertifizieren zu lassen kontaktieren Sie uns gerne. Wir erstellen Ihnen ein entsprechendes Angebot. In unserem Newsletter halten wir Sie zudem laufend über die weitere Entwicklung informiert.

Weiterführende Links

 

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.