Datenschutz: Was ändert sich in 2022?

Zertifizierungen und Audits ermöglichen kleinen und mittelständischen Unternehmen die Einhaltung gesetzlicher Anforderungen, senken dadurch das Risiko mit dem Gesetzgeber in Konflikt zu geraten und geben die notwendige Sicherheit im Alltagsgeschäft.

Es ist so weit: Die EU-DS-GVO Zertifizierung für digitale Produkte und Dienstleistungen kommt.  Schließlich schafft die Europäische Datenschutzgrundverordnung (EU-DS-GVO) laut Art. 42 der DSGVO den Rahmen für eine Datenschutz-Zertifizierung. Die EU-DS-GVO stellt somit die Basis für ein europäisches und einheitliches Akkreditierungs- und Zertifizierungsverfahren dar. Ferner sieht die EU-DS-GVO vor, dass Datenschutz-Zertifizierungen lediglich durch sogenannte akkreditierte Zertifizierungsstellen durchgeführt werden können. Bislang gab es jedoch keine einzige Zertifizierungsstelle, welche ein echtes DSGVO-Zertifikat ausstellen konnte. Das ändert sich jetzt.

DSGVO-Zertifikat für IT-Produkte und IT-Dienstleistungen

Grundsätzlich können alle IT-gestützten Verarbeitungsvorgänge personenbezogener Daten bei Verantwortlichen und Auftragsverarbeitern zertifiziert werden. Ob IT-Produkte oder IT-Dienstleistungen – EU-DS-GVO-Zertifizierungen geben vor allem Auskunft darüber, inwieweit erstgenannte Angebote, den Anforderungen der DSGVO tatsächlich genügen. Es handelt sich damit um einen rechtssicheren Nachweis für die IT-Branche. Unter anderem bestätigte auf Nachfrage zuletzt auch ein Sprecher der nordrhein-westfälischen-Landesdatenschutzaufsicht dem Magazin heise online daher, dass man darauf hoffe, dass schon im ersten Halbjahr 2022 die ersten Zertifizierungsstellen am Markt akkreditiert sind und Zertifizierungen bei ihren Kunden durchführen können.

Auftragsdatenverarbeitung erhält DSGVO-Zertifizierung

Bei der Einbeziehung von Auftragsverarbeitern kann ein DSGVO-Zertifikat als Nachweis für die Erfüllung von Pflichten herangezogen werden. Dadurch muss keine eigenständige Prüfung mehr vorgenommen werden. „Ein weiterer Vorteil ist, dass ein Zertifikat bei Datenschutz-Vorfällen zu einer Haftungserleichterung führen kann, durch die Prüfung unabhängiger Gutachter steigt überdies das Datenschutzniveau insgesamt“, meint Andrea Pfisterer, externe Datenschutzbeauftragte der Ext-Com. Ein gültiges DSGVO-Zertifikat werde im Rahmen der Verhängung von Geldbußen und der Festsetzung der Höhe mit einbezogen – „und kann als ein mildernder Umstand laut Artikel 83 Absatz 2 Buchstabe j der DSGVO berücksichtigt werden.“ Das Zertifikat dient damit auch als Vorlage für Aufsichtsbehörden, sorgt für ein besseres Image bei Kunden, bildet für manche Branchen eine wichtige Marktzutrittsvoraussetzung und stellt – summa summarum einen wesentlichen Wettbewerbsvorteil für Unternehmen dar.

Zwei Zertifizierer warten in den Startlöchern

Während Europrise eine DSGVO-Zertifizierung für Auftragsdatenverarbeitung plant, möchte indessen die TÜV Informationstechnik GmbH eine DSGVO-Zertifizierung für alle IT-Services anbieten. Bei einer sinnvollen Zertifizierung der Auftragsverarbeitung steht das Verhältnis des Auftragsverarbeiters zu den Verantwortlichen sowie zu weiteren Auftragsverarbeitern im Vordergrund. Hier möchte Europrise eine Vertragsprüfung vornehmen, und dann analysieren, inwieweit die sogenannten Vertragspflichten umgesetzt wurden. Flankiert soll dies durch einen Nachweis, welche technisch-organisatorischen Maßnahmen ergriffen wurden. Laut heise online könnte auch das Thema Übermittlung personenbezogener Daten in Drittstaaten sowie besondere Geheimhaltungspflichten, etwa für Ärzte, eine Rolle spielen. Die TÜV Informationstechnik möchte hingegen eine DSGVO-Zertifizierung für die Datenverarbeitung durch informationsverarbeitende Services anbieten. Laut heise online orientierten sich die Kriterien an den Vorgaben der Datenschutzkonferenz von Bund und Ländern zur DSGVO und zu entsprechenden ISO-Normen. Ferner werde die Frage behandelt, ob und wie Daten in Drittländer übertragen werden können.

Datenschutzmanagementsysteme auditieren lassen

Ein Audit nach der internationalen Norm ISO 19011 ist dagegen schon jetzt möglich. Die ISO 19011 ist ein Leitfaden zur Auditierung von Managementsystemen und gilt als akzeptierter Standard bei DMS-Audits. Dabei sind vor allem die rechtlichen und normativen Anforderungen an den Datenschutz und deren Erfüllung wesentlich. Und zwar über alle Phasen hinweg: Von der Vorbereitung, über das Durchführen, bis hin zur Nachbereitung. „Das Auditieren von DMS-Systemen kann insbesondere im Zusammenspiel mit mehreren Stakeholdern durchaus Sinn machen“, stellt die externe Datenschutzbeauftragte abschließend fest.

Falls Sie weitere Fragen zum Thema Datenschutz haben, rufen Sie uns gerne an!