DS-GVO: Zertifizierung (Art. 42)

26725903952_8f555fe96c_qDas Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht Beiträge zur Umsetzung der am 25.05.2018 wirksamen Datenschutz-Grundverordnung (DS-GVO). Hierzu werden relevante Themenkomplexe erörtert. Dies erfolgt im Sinne einer Interpretation bzw. Erörterung uns stellt keine verbindliche Auffassung der Aufsichtsbehörde dar.

2 Zertifizierung (Art. 42)
Die in der DS-GVO vorgesehene Zertifizierung ist eine Neuerung zum BDSG. Im Erwägungsgrund 100 zur DS-GVO wird dazu ausgeführt:

„Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.“ (ErwGr 100 DS-GVO)

Die Kernaussagen dazu finden sich im Art. 42:

  • Eine angedachte Zertifizierung des Datenschutzmanagements muss für alle verantwortlichen Stellen möglich sein.
  • Sie muss freiwillig und transparent sein.
  • Sie muss alle relevanten Vorgaben der DS-GVO enthalten. Eine besondere Rolle spielt hier Qualität der Dokumentation der eigenen Verarbeitungen.
  • Zertifizierungen können von akkreditierten Zertifizierungsstellen oder auch von Aufsichtsbehörden vergeben werden (Art. 42 Abs. 5).
  • Das Zertifikat hat eine befristete Gültigkeit von 3 Jahren mit der Option zur Verlängerung nach erfolgter Re-Zertifizierung (Art 42 Abs. 6).
  • Zertifizierungsverfahren, Siegel und Prüfzeichen werden in einem Register geführt.

Bislang steht noch kein abgestimmtes, länerübergreifendes Zertifizierungsverfahren zur Verfügung. Dies muss von den zuständigen Aufsichtsbehörden auf nationaler und europäischer Ebene erst noch festgelegt werden.

Mit dem von uns initiierten Standard ISIS12 steht ein etablierter Standard für Informationssicherheit für mittelgroße Organisationen zur Verfügung (KMU und Kommunen). ISIS12 erfüllt als Vorgehensmodell mit dem DS-GVO Baustein die Erfordernisse der DS-GVO. Die mögliche Zertifizierung durch die DQS GmbH entspricht in weiten Teilen den o. a. Erfordernissen des Art. 42 (DS-GVO) (weitere Informationen).

Fazit
Speziell für Auftragverabeitungen (BDSG: Auftragsdatenverarbeitungen) spielt die Zertifizierung eine wichtige Rolle. Neben Haftungsfragen wird speziell für Auftraggeber eine vorliegende Zertifizierung des Auftragsverarbeiters ein wichtiges Auswahlkriterium darstellen. Zudem wachsen bei der Zertifizierung die Prozesse der Informationssicherheit und Datenschutz (endlich) stärker zusammen.

Quelle