[IITR – 6.3.19] Wir hatten kürzlich den Certified Privacy Standard CPS vorgestellt, dessen Entwicklung und Pflege in den Händen der IITR Cert GmbH liegt. Neben der CPS 100 (Datenschutz-Management für mittelständische Unternehmen) und der CPS 600 (Datenschutz-Management für kleinere Organisationen) bieten wir nun auch mit dem Standard CPS 300 eine Zertifizierung speziell für den Bereich der Auftragsverarbeitung.
CPS 100: mittelständische Unternehmen
Der Standard CPS 100 wendet sich an mittelständische Unternehmen und bildet die Anforderungen der DSGVO nach. Er stellt ein Datenschutz-Management-System dar, welches von der DSGVO insbesondere in Erfüllung der Rechenschaftspflicht gefordert wird. Diese Zertifizierung richtet sich an Unternehmen, die den Nachweis ihrer datenschutzkonformen Prozesslandschaft im Datenschutz anstreben oder für ihre Kunden vorhalten möchten.
CPS 600: Strukturen bis etwa 20 Beschäftigte
Für Strukturen bis etwa 20 Beschäftigte ist der CPS 600 der geeignete Standard. Dieser ist orientiert an dem Leitfaden der bayerischen Datenschutzaufsicht für kleinere Unternehmen.
Die Voraussetzungen dieser beiden Standards sind niedergelegt in ihren jeweiligen Konformitäts-Bewertungsprogrammen. Deren Inhalt ist auf der Seite der IITR Cert GmbH veröffentlicht.
Inzwischen sind erste Zertifizierungen auf dem Wege der Umsetzung. Die beauftragenden Unternehmen halten demnächst einen Nachweis in Händen über das vorhandene Datenschutz-Niveau ihres Unternehmens.
Zertifizierung nach festen und bekannten Kriterien dürfte im Datenschutz einen wichtigen Schritt darstellen, um potentielle Auftraggeber, Kunden, den eigenen Mitarbeitern sowie der Öffentlichkeit insgesamt die eigene Vertrauenswürdigkeit für diesen Bereich signalisieren zu können.
CPS 300: Zertifizierung für Auftragsverarbeitungs-Tätigkeit
Als weitere Möglichkeit der Zertifizierung stellen wir heute die CPS 300 vor, welche gezielt den Vorgang der Auftragsverarbeitung eines Unternehmens auf bestehende Konformität mit den Bestimmungen des an Art. 28 DSGVO orientierten Standards CPS 300 bescheinigt.
Diese Zertifizierung nach CPS 300 richtet sich sowohl an Auftragnehmer als auch Auftraggeber, wobei sich letztere für die sichere Verarbeitung von personenbezogenen Daten durch ihre Auftragnehmer in der Mithaftung befinden. Als Geschäftsführer mag man sich Klarheit wünschen, für wen und für welche Datenschutz-Strukturen ein Unternehmen mithaftet.
Die Voraussetzungen einer Zertifizierung sind im Konformitätsbewertungsprogramm für den Standard CPS 300 veröffentlicht, das Inhaltsverzeichnis findet sich unter IITR Cert.
Da Unternehmen nach den Vorgaben der DSGVO verpflichtet sind, sich vor Auslagerung der Verarbeitung personenbezogener Daten ein Bild der Datenschutz-Konformität des Dienstleisters zu verschaffen ist es hilfreich, diese Begründung durch ein vorliegendes Zertifikat untermauern zu können.
Hinweis: wie bereits ausführlich geschildert handelt es sich bei den Standards nach CPS nicht um eine Zertifizierung nach Artikel 42 DSGVO. Mit dem Standard CPS lässt sich die Konformität mit den durch die IITR Cert GmbH festgelegten Anforderungen bescheinigen.
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer DatenschutzbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.