Endlich ist er da: unser Zertifizierungsstandard „DSGVO – information privacy standard“. Nach über sechs Jahren der Vorbereitung wurde heute in Bremerhaven die Urkunde durch den Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI), Dr. Timo Utermark, an uns, die Geschäftsführung der datenschutz cert GmbH, übergeben.
In diesem ersten von drei Blogbeiträgen zum „DSGVO – information privacy standard“ blicken wir zurück und erklären, wie alles angefangen hat.
Endlich ein generischer DSGVO-Zertifizierungsstandard!
Mit „DSGVO – information privacy standard“ startet ein völlig neues Zertifizierungsverfahren. Und zwar konform gem. Art. 42 DSGVO. Einsetzbar für Verarbeitungsvorgänge bei Verantwortlichen sowie bei Auftragsverarbeitern und in allen Branchen.
Viele werden sich fragen: Gab es solch ein generisches Datenschutz-Zertifikat vorher nicht? Nein, in dieser Form nicht! Mit der europäischen Datenschutz-Grundverordnung (DSGVO) wurde im Jahr 2018* erstmals ein umfassender gesetzlicher Rahmen für die Zertifizierung von datenschutzrechtlichen Verarbeitungsvorgängen geschaffen. Es gab zwar schon vorher vereinzelte Datenschutz-Zertifikate, z. B. das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein, das aber strenggenommen nur in Schleswig-Holstein zur Anwendung kommen konnte. Mit dem Inkrafttreten der DSGVO gibt es diesen gesetzlichen Rahmen eines DSGVO-Zertifikates, nachzulesen in Art. 42 der DSGVO.
*Im Jahr 2018 haben wir von der datenschutz cert angefangen, uns mit dem Thema DSGVO-Zertifikat zu befassen und am 04.01.2019 unseren Antrag gestellt.
Der lange Weg zur Urkunde – kurz erklärt
In den letzten Jahren haben wir Sie in diesem Blog immer wieder über kleine und größere Meilensteine auf dem Weg zum DSGVO-Zertifikat auf dem Laufenden gehalten.
Wer nicht mit den Bereichen Auditierung und Zertifizierung vertraut ist, wird sich an dieser Stelle vielleicht fragen: Warum hat das sechs Jahre gedauert? Nun: Die DSGVO definiert nur den gesetzlichen Rahmen und besagt, dass Verarbeitungsvorgänge zertifiziert werden können, und zwar von dafür akkreditierten Zertifizierungsstellen. Was die DSGVO nicht sagt, ist, wie Verarbeitungsvorgänge geprüft und zertifiziert werden oder nach welchen konkreten Kriterien.
Diese konkreten Kriterien – der Kriterienkatalog – und das Zertifizierungsschema müssen erstellt und dann von den zuständigen Aufsichtsbehörden abgenommen werden. Und das sind einige: Die für die datenschutz cert zuständige Datenschutz-Aufsichtsbehörde ist der LfDI Bremen, der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen. Die Kriterien wurden mit dem LfDI Bremen diskutiert und im Februar 2022 abgenommen.
Anschließend startete der europäische Prozess, denn vor der finalen Abnahme durch den LfDI Bremen bedarf es einer sog. Opinion des Europäischen Datenschutzausschusses (EDSA). In diesem Prozess haben zunächst die Aufsichtsbehörden
- von Berlin, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI),
- von Italien, Autorità Garante per la protezione dei dati personali, und
- von Österreich, die Österreichische Datenschutzbehörde,
sehr intensiv mit uns die Kriterien diskutiert und final allen europäischen Datenschutz-Aufsichtsbehörden sowie dem EDSA präsentiert.
Auch hier gab es noch Rückmeldungen und weitere Diskussionen. Schlussendlich wurde dann die Opinion am 09.12.2024 erteilt. So viel zu den Kriterien. Flankiert wurde dieser Prozess durch die Prüfung und finale Abnahme des Zertifizierungsschemas durch die Deutsche Akkreditierungsstelle (DAkkS).
So viel zu der Frage, weshalb der Prozess so lange gedauert hat – nicht nur viele Behörden, sondern auch wir haben Neuland betreten. Den Weg bis zur Übergabe der Urkunde haben wir in dieser Grafik für Sie nachgezeichnet.
Was daran auch schön ist: Ich erkenne unsere Kriterien – so wie wir sie 2019 in den Prozess hineingegeben haben, im Vergleich zu dem, wie sie sich jetzt präsentieren – durchaus wieder. Und insbesondere unser generischer Ansatz wurde von allen Behörden akzeptiert. Von daher freuen wir uns auch über die Bestätigung, dass wir hier von Beginn an auf dem richtigen Weg waren. Es hat nur etwas gedauert.
Danksagungen
Als Zertifizierungsstelle wenden wir ja normalerweise Kriterien an – meist internationale Standards. Und es ist für uns natürlich ein Privileg, Kriterien und ein Schema selbst zu entwerfen und mit den Fachleuten von zig Behörden inhaltlich tiefgreifend und sehr konstruktiv zu diskutieren.
Dafür geht mein Dank an die vielen Kolleginnen und Kollegen der beteiligten Behörden: an den LfDI Bremen, an die DAkkS, nach Berlin zur BlnBDI, nach Rom zur italienischen Aufsichtsbehörde, nach Österreich sowie nach Brüssel zum EDSA.
Und natürlich danke ich meinem Team, ohne das dieses Werk nicht möglich gewesen wäre. Von den Vielen möchte ich drei Kolleginnen ausdrücklich – auch namentlich – erwähnen: Alisha Gühr, Steffi Bedürftig und Dr. Irene Karper. Herzlichen Dank!
Ein großer Dank geht natürlich auch an die Gesellschafter der datenschutz cert GmbH, die diese Aktivitäten über einen so langen Zeitraum mitgetragen haben.
Und nicht nur unsere Gesellschafter haben häufig mal gefragt: „Wieso macht ihr das eigentlich mit dem Datenschutz-Zertifikat?“
Nun, weil wir datenschutz cert sind.
Wie geht es jetzt weiter?
Viele Kunden der datenschutz cert haben mit uns auf diesen Tag gewartet und über all die Zeit immer wieder ihr Interesse an unserem DSGVO-Zertifikat bekundet. Auf diese Treue und das uns entgegengebrachte Vertrauen sind wir sehr stolz, und wir werden jetzt mit der Umsetzung starten.
Interessierte Unternehmen und Organisationen, die sich zertifizieren lassen möchten, können sich jederzeit mit Fragen an uns wenden. Gleiches gilt für Berater, Tool-Hersteller und für Unternehmen, die Zertifizierungsstelle werden möchten.
Nehmen Sie Kontakt mit uns auf und klären Sie Ihre Fragen in einem persönlichen Gespräch. Im Blog werden Sie in den nächsten Tagen in Teil 2 und 3 noch mehr über unseren „DSGVO – information privacy standard“ erfahren.
Ihre Ansprechpartnerin
Katja Starke
Teamassistentin | Zertifizierungsmanagement
E-Mail: kstarke@datenschutz-cert.de
Telefon: +49 69 870 07 83-584
7. März 2025 @ 16:55
Herzliche Gratulation von der ersten und bisher einzigen akkreditierten Zertifizierungsstelle in Österreich, der DSGVO-zt GmbH.
Unser Weg zur Akkreditierung hat ca. 3.000 Stunden von uns verschlungen, da sind die Anwälte noch nicht dabei. Und das hat 3 1/2 Jahre gedauert.
Heute (07.03.2025) ist ein Freudentag für uns, da wir das erste Zertifikat für ein Langzeitarchiv überreicht haben. Weitere werden folgen.
Wir wünschen Euch und uns viel Erfolg – die Richtung stimmt. Liebe Grüße, Wolfgang Fiala, GF http://www.dsgvo-zt.at