Nachdem wir in den ersten beiden Teilen zum Zertifizierungsstandard „DSGVO – information privacy standard“ zunächst die Übergabe der Urkunde bekanntgeben durften und dann die Vorteile erläutert haben, wollen wir heute erklären, wie „DSGVO – information privacy standard“ denn funktioniert und welche Kosten anfallen.
Anwendung des Zertifizierungsstandards „DSGVO – information privacy standard“
Zunächst einmal ist der Bewertungsgegenstand – also die zu zertifizierende Datenverarbeitung – genau zu bestimmen. Dazu muss eindeutig beschrieben sein, welche Verarbeitungsvorgänge exakt zum Bewertungsgegenstand gehören, an welchen Standorten diese Tätigkeiten erbracht werden, welche externen Dritten (z. B. Dienstleister, Auftragsverarbeiter, Behörden, Schwestergesellschaften oder eine Holding) ggf. einbezogen sind, welche IT-Komponenten erforderlich sind und auch welche Prozesse in einer Organisation etabliert sind, um die Datenverarbeitung insgesamt darstellen zu können. Diese eindeutige Festlegung ist nicht nur für die Organisation wichtig, sondern auch für die Evaluatoren und die Zertifizierungsstelle.
Aus diesem Grund muss die Datenverarbeitung (der Bewertungsgegenstand) – die „IT-gestützte Verarbeitung personenbezogener Daten“ – durch folgende Elemente (Zielobjektkategorien) charakterisiert werden:
- Verarbeitungsvorgänge (VV) zur Konkretisierung der zu zertifizierenden Datenverarbeitung;
- Datenschutz-Managementsystem (DSMS) mit den internen Prozessen zur Steuerung der Datenschutz-Konformität;
- Prozesse (PRZ) mit den Tätigkeiten, die für die konkrete Datenverarbeitung (DV) benötigt werden; Prozesse werden definiert als eine Reihe von in Wechselbeziehung oder Wechselwirkung miteinander stehenden Tätigkeiten, die Eingaben nutzen, um ein angestrebtes Ergebnis zu liefern, die für die zu zertifizierende Datenverarbeitung erforderlich sind;
- physische Infrastruktur (INFRA) mit Standorten und Räumen;
- IT-Infrastruktur (IT) mit allen relevanten Komponenten, z. B. Servern, Clients, Netzkomponenten, Datenbanken, Speichersystemen und Schnittstellen;
- Applikationen (APPL), über die die Datenverarbeitung realisiert wird;
- externe Dritte (DL), z. B. Dienstleister, Auftragsverarbeiter, Behörden, Schwestergesellschaften oder eine Holding, die für die Realisierung der Datenverarbeitung benötigt werden oder an die personenbezogene Daten übermittelt werden, sofern relevant.
Generischer Ansatz
„DSGVO – information privacy standard“ ist anwendbar für Verantwortliche und auch für Auftragsverarbeiter, und zwar für alle Branchen. Aufgrund dieses generischen Ansatzes ist es erforderlich, dass nach der Festlegung des Bewertungsgegenstands die Freiheitsgrade so weit eliminiert werden, dass der konkrete Maßstab feststeht. Dieser konkrete Maßstab heißt: „Statement of Applicability (SoA)“. Das SoA wird durch sieben Fragen erstellt:
- Auf welcher Rechtsgrundlage werden die einzelnen Verarbeitungsvorgänge der zu zertifizierenden Datenverarbeitung durchgeführt? Hierüber wird die konkrete gesetzliche Grundlage festgelegt, bspw. Art. 6 Abs. 1 DSGVO. Aber auch eine Verarbeitung im Auftrag als Auftragsverarbeitung oder die Verarbeitung von Art. 9- oder Art. 10-Daten wird hierüber fixiert.
- Werden externe Dritte (DL) im Geltungsbereich eingesetzt?
- Besteht für den Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, einen Datenschutzbeauftragten (DSB) zu bestellen?
- Besteht für den Verantwortlichen bzw. Auftragsverarbeiter die Pflicht, ein „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) vorzuhalten?
- Besteht die Notwendigkeit, eine „Datenschutz-Folgenabschätzung“ (DSFA) durchzuführen?
- Erfolgt eine Datenübermittlung in Drittstaaten? Ist der Antragsteller außerhalb der EU/EWR niedergelassen und hat einen Vertreter innerhalb der EU bestimmt?
- Erfolgt eine automatisierte Entscheidung bzw. ein Profiling?
Der Kriterienkatalog
Durch die Beantwortung kommen sodann die relevanten Anforderungselemente aus dem Kriterienkatalog zur Anwendung. Der Kriterienkatalog sieht 50 Kriterien vor, die in acht Bereiche gruppiert sind:
P.1 Zulässigkeit der Datenverarbeitung
- 1.1 Identifikation Grundlagen
- 1.2 Rechtsgrundlage Vertrag
- 1.3 Rechtsgrundlage berechtigtes Interesse
- 1.4 Rechtsgrundlage Einwilligung
- 1.5 Rechtsgrundlage rechtliche Verpflichtung
- 1.6 Rechtsgrundlage lebenswichtige Interessen
- 1.7 Rechtsgrundlage öffentliches Interesse
- 1.8 Verarbeitung bei besonderen Kategorien personenbezogener Daten
- 1.9 Verarbeitung bei strafrechtlichen Verurteilungen und Straftaten
- 1.10 Datenverarbeitung im Auftrag
P.2 Grundsätze
- 2.1 Privacy-by-Design (Datenschutz durch Technikgestaltung)
- 2.2 Privacy-by-Default (datenschutzfreundliche Voreinstellungen)
- 2.3 Zweckbindung
- 2.4 Datenminimierung
- 2.5 Richtigkeit
- 2.6 Speicherbegrenzung
- 2.7 Treu und Glauben
P.3 Pflichten des Kunden
- 3.1 Informationspflichten des Kunden
P.4 Auftragsverarbeitung
- 4.1 Vertrag zur Auftragsverarbeitung (AV-Vertrag)
- 4.2 Umsetzung der Maßnahmen gem. AV-Vertrag
- 4.3 Audit
P.5 Technisch-organisatorische Maßnahmen
- 5.1 Festlegung geeigneter Maßnahmen
- 5.2 Zutrittskontrolle (Vertraulichkeit und Integrität auf Ebene der physischen Zutritte)
- 5.3 Zugangskontrolle (Vertraulichkeit und Integrität auf Ebene der Systemzugänge)
- 5.4 Zugriffskontrolle (Vertraulichkeit und Integrität auf Ebene der Anwendungszugriffe)
- 5.5 Transportkontrolle (Vertraulichkeit und Integrität auf Transport-Ebene)
- 5.6 Trennungskontrolle
- 5.7 Eingabekontrolle
- 5.8 Verfügbarkeitskontrolle
- 5.9 Pseudonymisierung / Anonymisierung
- 5.10 Überprüfung, Bewertung und Evaluierung
P.6 Datenschutz-Management
- 6.1 Fortlaufende Datenschutz-Kontinuität
- 6.2 Datenschutzbeauftragter
- 6.3 Verpflichtung auf Vertraulichkeit / Schulungen
- 6.4 Verzeichnis von Verarbeitungstätigkeiten
- 6.5 Datenschutz-Folgenabschätzung
- 6.6 Meldung von Datenschutzverletzungen
- 6.7 Zusammenarbeit mit Aufsichtsbehörden
P.7 Datenverarbeitung außerhalb der EU
- 7.1 Datenübermittlung in Drittstaaten
- 7.2 Vertreter innerhalb der EU
P.8 Betroffenenrechte
- 8.1 Recht auf Auskunft
- 8.2 Recht auf Berichtigung
- 8.3 Recht auf Löschung („Recht auf Vergessenwerden“)
- 8.4 Recht auf Einschränkung
- 8.5 Mitteilungspflicht
- 8.6 Recht auf Datenübertragbarkeit
- 8.7 Recht auf Widerspruch
- 8.8 Recht auf Widerruf bei Einwilligung
- 8.9 Automatisierte Entscheidungen / Profiling
- 8.10 Beschwerde-Management
Jedes Anforderungselement enthält neben der konkreten Anforderung auch den Verweis auf die gesetzliche Grundlage. Zusätzlich werden typische Nachweise dargestellt.
Der Kriterienkatalog wird frei verfügbar angeboten: www.ips-dsgvo-zertifikat.de
„DSGVO – information privacy standard“ sieht zur Zertifizierung vor, dass zu jedem anwendbaren Kriterium die Umsetzung ausführlich dargelegt wird.
Laufzeit: drei Jahre
Ein Zertifikat gem. „DSGVO – information privacy standard“ ist drei Jahre gültig, nach der Erst-Zertifizierung sind jährliche Überwachungen vorgesehen. Es ist ein klassisches Zwei-Stufen-Verfahren etabliert, wonach ein Evaluationsteam – bestehend aus Juristen und Technikern – den Verarbeitungsvorgang in allen Facetten untersucht, bevor die Zertifizierungsstelle ein Zertifikat erteilen kann.
Akkreditierung von Zertifizierungsstellen
Die DSGVO sieht für die Zertifizierungsstellen eine Akkreditierung durch die zuständige Akkreditierungsstelle – in Deutschland die DAkkS – sowie eine Befugniserteilung durch die zuständige Datenschutz-Aufsichtsbehörde vor. Die Akkreditierung muss gem. ISO/IEC 17065 sowie dem zugelassenen Kriterienkatalog erfolgen – etwa dem Zertifizierungsstandard „DSGVO – information privacy standard“.
Dauer und Kosten
Die Dauer und die Kosten für die Zertifizierung hängen stark vom Bewertungsgegenstand und dem Umfang und der Anzahl der Verarbeitungsvorgänge, der Anzahl der Mitarbeiter, der verwendeten Apps und der Standorte ab. Eine Erst-Zertifizierung benötigt erfahrungsgemäß mindestens drei Monate und startet bei gut 20.000 Euro.
Wenn Sie Unternehmen und Organisationen zu unserem Zertifizierungsstandard beraten möchten, dann nehmen Sie gerne Kontakt mit uns auf. Das gilt ebenfalls, wenn Sie als Zertifizierungsstelle nach unserem Standard Zertifikate erteilen möchten.
Ihre Ansprechpartnerin
Katja Starke
Teamassistentin | Zertifizierungsmanagement
E-Mail: kstarke@datenschutz-cert.de
Telefon: +49 69 870 07 83-584