Datenschutzzertifizierung am Beispiel der information privacy standards
Seit über einem Jahrzehnt warten wir nun auf ein echtes Datenschutz Zertifikat. Jahr für Jahr stellen wir Ihnen unsere neusten Ideen und Projekte dazu vor. Zur Erinnerung: 2001 hatte der Gesetzgeber sich in § 9a BDSG a.F. hineingeschrieben, dass es Datenschutzaudits geben würde. Da jedoch erst einmal nichts passierte, stützten wir uns auf etablierte, behördliche Datenschutzsiegel, wie das des Unabhängigen Landeszentrums für Datenschutz (ULD) und boten sogar eigene, proprietäre Siegel an. Viele Auftragsverarbeiter dankten es uns, hielten sie sich doch durch unser „Zertifikat“ samt ausführlichem Auditbericht den Prüftourismus ihrer Kunden fern. Äußerst unbefriedigend war jedoch, dass es auch unseriöse Anbieter gab, die ohne jemals ein Audit durchgeführt zu haben, mit bunten Zertifikatslogos lockten. Was fehlte, war eine Standardisierung.
Mit glänzenden Augen im Kerzenschein…
Erst mit der DSGVO 2018 wurde konkreter geregelt, wie ein Datenschutzzertifikat auszusehen hat und wer es vergeben darf. Was für ein Geschenk, dachten wir. Endlich würde es gelingen, einen Standard zu etablieren, nach welchem Unternehmen und Behörden ihren Datenschutz ausrichten können, um dann einigermaßen entspannt in ein Audit zu gehen, welches bei allen Prüfstellen nahezu auf gleichem Niveau abläuft.
Wenn das Glöckchen klingelt, geht’s los…
Mit Einführung der DSGVO machten wir uns sofort auf den Weg Auditkriterien und Programme auf die neue Vorgehensweise anzupassen. 2018 stellte die datenschutz cert GmbH als erste Stelle in Deutschland einen Antrag auf Anerkennung unseres Programmes und Akkreditierung bei der Deutschen Akkreditierungsstelle (DAkkS). Doch es waren noch einige Hürden zu überwinden. Insbesondere waren wir nicht die Einzigen, die diesen neuen Akkreditierungsprozess zu erlernen hatten. Auch die DAkkS und die Datenschutzaufsichtsbehörden hatten ja zuvor noch nie solche Verfahren durchlaufen. Es musste als erstes Personal geschult werden, Formulare mussten erstellt werden, die Kriterien für eine Zulassung nicht nur national, sondern auch auf Europa-Ebene abgestimmt werden, usw.
Fast, erst noch ein Lied singen…
Heute stehen wir kurz vor einer Akkreditierung – wahrscheinlich. Die DAkkS hat unser Programm hierzu im November 2020 soweit abgenommen. Aktuell prüft die für uns zuständige Landesdatenschutzbeauftragte der Freien Hansestadt Bremen unsere Kriterien. Dies wird ein laufender Prozess sein. Das Vorgehen eines engen Austausches mit den Behörden sichert nicht nur die Aktualität der Anforderungen ab (z.B. bei neuen Orientierungshilfen oder Gerichtsurteilen, Gesetzen), sondern gibt uns und unseren Kunden auch mehr Sicherheit durch gute Qualität des Standards.
Bist du auch brav gewesen?
Aber halt. Bevor wir richtig loslegen dürfen, werden unsere Zertifizierungsstelle und Auditoren noch auf „Herz und Nieren“ geprüft. Hierzu finden u.a. sogenannte „Witness-Audits“ bei Pilotkunden statt, in denen die Aufsichtsbehörden und DAkkS den Prozess während des Audits und der Zertifizierung beobachten und bewerten.
Unterm Tannenbaum
Was werden Interessierte vorfinden, wenn alles hübsch eingepackt ist? Der information privacy standard bietet einen generischen Ansatz für Datenverarbeitungstätigkeiten aller Art. Geprüft werden dabei allgemeine sowie branchenspezifische Datenschutz-Anforderungen. Unternehmen bereiten sich zunächst auf das Datenschutzaudit vor, indem die relevanten Informationen zum Datenverarbeitungsvorgang dokumentiert werden (insbesondere die konkreten Verarbeitungstätigkeiten, die damit verbundenen personenbezogenen Daten, die IT-Umgebung). Dadurch werden Auditgegenstand und Umfang definiert und abgegrenzt. In einem ersten Audit wird dann die allgemeine Auditierungs- und Zertifizierungsfähigkeit geprüft, etwa danach, ob relevante Dokumentationen vorliegen (z.B. Verzeichnis der Verarbeitungstätigkeit, Nachweise zur Datenschutzschulungen, ggf. Datenschutzfolgenabschätzungen, Verträge zur Auftragsverarbeitung). Danach hat der Kunde noch eine kurze Zeit, Anpassungen vorzunehmen, bevor die finale Prüfung beginnt und der Stand des Datenschutzes zu einem Stichtag bewertet wird. Auditoren mit nachgewiesener, jahrelanger Expertise in den Bereichen Datenschutzrecht und Datensicherheit prüfen – in der Regel vor Ort – den oder die Datenverarbeitungsprozesse, erstellen einen Auditbericht und legen diesen der Zertifizierungsstelle vor. Diese prüft den Bericht gegen und kann das begehrte DSGVO Zertifikat erteilen. Es ist – bei unverändertem Scope – 3 Jahre gültig, wobei jährliche Überwachungsaudits durchzuführen sind.
Aber jetzt machen wir es uns gemütlich!
Wann wir uns zurücklehnen und das Fest genießen? Mal schauen. Da unser Programm auch innerhalb der EU anerkannt werden soll, wird der nächste Schritt die Abstimmung mit dem Europäischen Datenschutzausschuss sein. Wir sind gespannt…
In diesem Sinne wünschen wir Ihnen ein frohes Fest!
Romy Müller
11. Dezember 2020 @ 16:19
Sehr geehrte Frau Dr. Karper, werden die Prüfer deutschlandweit einsetzbar sein und sollen – um alles abdecken zu können, „freiberufliche Prüfer“ geschult und in Ihrem Auftrag tätig werden können?
PS: ich weiß… erst nach dem Fest (ist vor dem Fest 🙂 )
Vielen Dank und herzliche Grüße Romy Müller
Daniela Windelband
14. Dezember 2020 @ 9:23
Sehr geehrte Frau Müller,
vielen Dank für die Frage. Die Auditoren werden auch in Deutschland eingesetzt werden, da sie vor Ort beim Kunden prüfen. Sie sind entweder bei der Prüf- und Zertifizierungsstelle angestellt oder als Freiberufler dort lizenziert.
Viele Grüße Daniela Windelband