Dr. Sebastian Kraska

80331, München
27.11.2017

IITR Cert GmbH: Datenschutz-Zertifizierung ab 2018

IITR Information[IITR – 27.11.17] Die ab dem 25. Mai 2018 geltende Europäische Datenschutzgrundverordnung (EU-DSGVO) sieht eine Zertifizierung im Datenschutz vor. Die Zertifizierung soll von einer unabhängigen Stelle durchgeführt werden. Dieser Anforderung sind wir durch die Gründung der IITR Cert GmbH nachgekommen. Wir runden damit das Leistungsangebot der IITR Datenschutz GmbH im Bereich Zertifizierungen ab.

Vorgeschichte

Derzeit fehlt Unternehmen die Möglichkeit, auf staatlich anerkannte Zertifizierungen im Datenschutz zurückgreifen zu können.

Sämtliche in Deutschland verfügbaren Datenschutz-Zertifizierungen für Unternehmen haben demnach lediglich privaten Charakter. Wir bedauern dies und legen hiermit offen, bereits seit 2016 für unsere Mandanten darum bemüht gewesen zu sein, den Zustand einer lediglich privaten Zertifizierung zu vermeiden.

Im Zuge der Gespräche mit zuständigen Stellen haben wir ein Zertifizierungs-Produkt entwickelt, welches wir nunmehr sowohl unseren Mandanten als auch der interessierten Öffentlichkeit zur Verfügung stellen.

Grundlagen für Zertifizierungen?

Infrage kommt grundsätzlich eine Befassung nach ISO 27522, welche auf einer bestehenden ISO 27001-Zertifizierung aufsetzt und aufgrund der umfangreichen Anforderungen sowie hohen Durchführungs-Gebühren nur für größere Unternehmen in Frage kommt. Diese ISO-Norm stellt ein Datenschutz-Management-System dar und bedient Geschäftsmodelle mit höchsten technischen sowie regulatorischen Datenschutz-Anforderungen. Allerdings handelt es sich bei der ISO 27522 um eine offene Zertifizierung. Im Ergebnis wird also eine von Datenschutz-Aufsichtsbehörden oder durch die nationale Akkreditierungsstelle ermöglichte Zertifizierung im Datenschutz unter der EU-DSGVO nicht möglich sein. Es wird im Datenschutz nur privatrechtliche Zertifizierungen geben.

Inzwischen existieren Empfehlungen von Landesdatenschutzbehörden für Mindeststandards im Datenschutz. Bei der künftigen Entwicklung von Zertifizierungs-Standards wird gem. Art 42. Abs. 1 EU-DSGVO zu berücksichtigen sein, dass ein Verfahren zur Datenschutz- Zertifizierung verhältnismäßig sein muss, um auch kleineren und mittleren Unternehmen zu entsprechenden. Dies ist für die Vorgaben nach ISO-27001 / 27522 aus unserer Sicht nicht der Fall.

Die IITR Datenschutz GmbH als ein in München beheimatetes Unternehmen stützt sich auf diesbezügliche Vorstellungen des Bayerischen Landesamtes für Datenschutz-Aufsicht. Womöglich abweichende Anforderungen anderer Bundesländer passen wir deren lokalen Anforderungen an, bei Bedarf auch nach vorab erfolgender Rücksprache mit der zuständigen Landesbehörde.

IITR-Produkt: Mandanten-Container

Das von uns entwickelte, zertifizierbare Produkt besteht aus einem

  1. Datenschutz-Leitfaden: Dieser beinhaltet die rechtlich geforderte Beschreibung der unternehmenseigenen Datenschutz-Strukturen sowie der vorgenommenen Schutzmaßnahmen. Der Aufbau dieses Datenschutz-Leitfadens ist an der neuen ISO-Struktur orientiert.
  2. Formular-Sammlung und Dokumenten-Archiv: Erfassung sämtlicher von den Datenschutz-Bestimmungen geforderter, dokumentierter Vorgänge sowie revisionssichere Versionierung der verwendeten Dokumente.
  3. Schulung: eLearning-Module in denen – aufgeteilt nach Sachgebieten – die Anforderungen des Datenschutzes vermittelt werden. Zugang für sämtliche mit dem Datenschutz in Verbindung gelangenden Beschäftigten eines Unternehmens. Revisionssicherer Nachweis sämtlicher Schulungsmaßnahmen.

Auf diesen Mandanten-Container können folgende Gruppen Zugriff nehmen:

  1. Führungspersonen sowie Mitarbeiter des jeweiligen Unternehmens, um den Datenschutz- Leitfaden mit seinen gültigen Datenschutz- Bestimmungen einzusehen, sowie die darin befindlichen Dokumentationen und Vereinbarungen zu verwenden oder zu bearbeiten, sowie Schulungen auszurollen.
  2. Der ernannte (externe oder interne) Datenschutzbeauftragte, um das Unternehmen unterstützend zu assistieren.
  3. Die IITR Cert GmbH, sofern eine Zertifizierung erfolgen soll.

Zertifizierung

Die unabhängige IITR Cert GmbH überprüft im Mandanten-Container auf Antrag die

  • sachgerechte Führung der Dokumente und Erklärungen
  • Vollständigkeit der Dokumente und Erklärungen
  • revisionssichere Versionierung der Dokumente und Erklärungen
  • abgehaltene Schulungen von Mitarbeitern anhand der revisionssicheren Archivierung aller durchgeführten Schulungsmaßnahmen

Diese Prüfung wird durch einen selbstständigen und zertifizierten Gutachter durchgeführt, der darüber einen Prüfungsbericht erstellt und der IITR Cert GmbH zuleitet. Sind die erforderlichen Kriterien erfüllt, so erteilt die IITR Cert GmbH ihre Zertifizierung, wonach die zugrundeliegenden Bestimmungen des Datenschutzes erfüllt sind.

Ausblick

Der rechtlich geforderte Datenschutz-Leitfaden steht hiermit zur Verfügung. Er ist eingebettet in den Mandanten-Container der IITR Datenschutz GmbH und umfaßt weitere notwendige Produkte, um eine Nachweisbarkeit von durchgeführten Datenschutz- Maßnahmen sicherzustellen.

Dieser Mandanten-Container wird Anfang 2018 in Betrieb genommen, um unsere Mandanten auf die EU-Datenschutzgrundverordnung umzustellen.

Zukünftig hinzukommende Datenschutz-Bestimmungen werden eingearbeitet, weitere Hilfsmittel zur Erleichterung des Datenschutzes sind seitens der IITR Datenschutz GmbH in Vorbereitung, um den Datenschutz für große als auch kleinere Unternehmen so betriebswirtschaftlich sinnvoll und praktikabel wie möglich zu gestalten.

Dieser Mandanten-Container wird den Mandanten der IITR Datenschutz GmbH im Zuge der Transformation in die EU-DSGVO kostenfrei zur Verfügung stehen.

Eine Zertifizierung kann durch die IITR Cert GmbH gegen eine aufwandsabhängige Gebühr hinzugefügt werden.

Beide Dienstleistungen stehen zunächst unseren Regionalpartnern, aber auch weiteren interessierten Stellen zur Verfügung, um deren eigenen Mandate sicher in eine neue Struktur zu überführen oder, im Falle eines internen Datenschutzbeauftragten, dem eigenen Unternehmen eine durchgängige Datenschutzstruktur mit erforderlichem Leitfaden, Dokumentenverwaltung und Schulung zu unterwerfen und sich dieses gegebenenfalls auch zertifizieren lassen zu können.

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.