Endlich ist er da: der DSGVO-Zertifizierungsstandard DSGVO – information privacy standard.
Mit DSGVO – information privacy standard startet ein völlig neues Zertifizierungsverfahren. Mit dem Kriterienkatalog zur Zertifizierung IT-gestützter Verarbeitungen personenbezogener Daten gem. Art. 42 DSGVO (DSGVO – information privacy standard) ist der erste deutsche Kriterienkatalog für eine DSGVO Zertifizierung abgenommen, mit dem sowohl Datenverarbeitungen von Auftragsverarbeitern als auch von verantwortlichen Stellen zertifiziert werden können. Und zwar konform gem. Art. 42 DSGVO. Für alle Branchen.
Die Kriterien sind abgenommen von der Absichtsbehörde. Diese finden Sie übrigens hier.
Der Kriterienkatalog zum DSGVO – information privacy standard
Wir haben bereits ausführlich die Vorteile einer DSGVO-Zertifizierung betrachtet (vgl. hier). Nun möchten wir uns die Kriterien anschauen. Egal, ob Sie einfach nur am Thema interessiert sind oder sich vielleicht sogar auf eine Zertifizierung vorbereiten möchten, in dieser Beitragsreihe möchten wir Ihnen die Kriterien zum DSGVO-Zertifizierungsstandard DSGVO – information privacy standard gerne näherbringen. Dazu möchten wir jedes der 8 Kapitel des Kriterienkatalogs etwas näher beleuchten. Jedes Kriterium folgt einem bestimmten immer gleichen Aufbau:
- Die Anforderung selbst wird dargelegt,
- es folgt ein Verweis auf die zu Grunde liegenden Artikel der DSGVO,
- dann werden Beispiele für Nachweise genannt,
- gefolgt von einer Angabe, ob das Kriterium verpflichtend ist oder ausgeschlossen werden kann.
- Zu guter Letzt wird die Zielobjektkategorie genannt, also auf welche Bestandteile des Untersuchungsgegenstandes sich die Anforderung bezieht.
Der Kriterienkatalog wahrt die Struktur der DSGVO, er startet also in Kapitel 1 mit der Zulässigkeit der Verarbeitung.
- 1 Zulässigkeit der Datenverarbeitung
- 2 Grundsätze
- 3 Pflichten des Kunden
- 4 Auftragsverarbeitung
- 5 Technisch-organisatorische Maßnahmen
- 6 Datenschutz-Management
- 7 Datenverarbeitung außerhalb der EU
- 8 Betroffenenrechte
Also schauen wir uns das Ganze doch einmal genauer an:
Das Kapitel P.1 – Zulässigkeit der Datenverarbeitung
Das erste Kapitel des DSGVO – information privacy standard dreht sich um die Zulässigkeit der Verarbeitung. Es werden also die Rechtsgrundlagen der zu zertifizierenden Verarbeitung überprüft.
Die Verarbeitung von personenbezogenen Daten ist grundsätzlich nur erlaubt, wenn es eine Rechtsgrundlage hierfür gibt. Daher ist es essenziell für eine Zertifizierung die Zulässigkeit der zu zertifizierenden Datenverarbeitung zu prüfen.
Rechtsgrundlagen ergeben sich in erster Linie aus Art. 6 DSGVO, jedoch können auf Basis der Öffnungsklauseln auch weitere Normen und Gesetze aus nationalem Recht einschlägig sein und eine Rechtsgrundlage für die Datenverarbeitung darstellen.
Hieraus folgt: Zunächst müssen in P.1.1 die Rechtsgrundlagen der Verarbeitung identifiziert werden. Dieses Kriterium ist immer anwendbar. Der Antragsteller muss hierfür Nachweise vorlegen, dass er die Grundlagen der Verarbeitung identifiziert und festgelegt hat. In Form einer begründeten Analyse der Rechtsgrundlagen müssen sowohl die anwendbaren Rechtsgrundlagen der DSGVO als auch das relevante Recht der Mitgliedsstaaten betrachtet werden. Gelten also besondere Regelungen für die Datenverarbeitung, etwa aus dem SGB, sind diese ebenfalls zu identifizieren.
Die Anwendbarkeit der Rechtsgrundlagen für den Zertifizierungsgegenstand muss ebenfalls betrachtet werden. Hierfür sind üblicherweise das Verzeichnis für Verarbeitungstätigkeiten sowie ein Rechtskataster gute Ausgangspunkte. Während der Fokus auf der Rechtsgrundlage für die zu zertifizierende Datenverarbeitung liegt, wird dabei auch geprüft, ob ein Datenschutz-Managementsystem besteht, über das sichergestellt werden kann, dass für die Verarbeitungsvorgänge stets eine vollständige Übersicht der relevanten Grundlagen vorliegt und aktuell gehalten wird.
Die Kriterien P.1.2 bis P.1.9 fokussieren die einzelnen Rechtsgrundlagen der DSGVO aus Art. 6 und 9, die ein Verantwortlicher für seine Verarbeitung heranziehen kann. Welche Anforderungen muss ein Antragsteller z. B. erfüllen, wenn er seine Datenverarbeitung auf einen Vertrag gemäß Art. 6 Abs. 1 S. 1 lit. b stützt? Je nachdem welche der Grundlage für die zu zertifizierende Datenverarbeitung einschlägig sind, können Kriterien einschlägig sein oder aber über das Statement of Applicability ausgeschlossen werden, sofern der Ausschluss plausibel begründet werden kann. Jede einzelne Rechtsgrundlage stellt spezielle Anforderungen, welche über das zugehörige Kriterium betrachtet werden. Hieraus ergeben sich folgende Kriterien für verantwortliche Stellen:
- 1.2 Rechtsgrundlage Vertrag
- 1.3 Rechtsgrundlage berechtigtes Interesse
- 1.4 Rechtsgrundlage Einwilligung
- 1.5 Rechtsgrundlage rechtliche Verpflichtung
- 1.6 Rechtsgrundlage lebenswichtige Interessen
- 1.7 Rechtsgrundlage öffentliches Interesse
- 1.8 Verarbeitung besonderer personenbezogener Daten
- 1.9 Verarbeitung bei strafrechtlichen Verurteilungen und Straftaten
Auf die regelmäßig einschlägigen Rechtsgrundlagen möchten wir im Folgenden ein wenig mehr eingehen:
Der Vertrag als Rechtsgrundlage
Wird für die Verarbeitung die Rechtsgrundlage Vertrag (P.1.2) herangezogen, muss der Verantwortliche nachweisen, dass die Datenverarbeitung erforderlich und auf das Notwendige beschränkt ist, um einen Vertrag mit der betroffenen Person oder um vorvertragliche Maßnahmen des Verantwortlichen zu erfüllen. Ist eine Vertragsdurchführung ohne die Daten möglich, so liegt keine Erforderlichkeit vor und es muss zur Legitimierung der Verarbeitung eine andere Rechtsgrundlage für diese Daten herangezogen werden. Es wird zudem auch geprüft, ob der Verantwortliche Prozesse zur Realisierung der Datenverarbeitung implementiert hat, um sicherzustellen, dass die Datenverarbeitung erst dann erfolgt, wenn tatsächlich ein rechtsverbindlicher Vertrag vorliegt oder die Verarbeitung nur zum Zweck vorvertraglicher Maßnahmen erfolgt. Wird nach einer vorvertraglichen Verarbeitung kein Vertrag geschlossen, muss es Regelungen und Prozesse geben, die eine Beendigung der Verarbeitung sicherstellen.
Das berechtigte Interesse
Im Rahmen der Rechtsgrundlage des berechtigten Interesses (P.1.3) wird neben der Einschlägigkeit und Zulässigkeit der Grundlage geprüft, ob eine vollständige Interessenabwägung anhand der gesetzlichen Anforderungen nach dem 3-Stufen-Modells durchgeführt wurde, die ergibt, dass keine überwiegenden Interessen der betroffenen Personen den identifizierten berechtigten Interessen des Verantwortlichen für die Verarbeitung gegenüberstehen. Insbesondere, sind hier auch die unterschiedlichen Gewichtungen der Interessen von Kindern zu beachten. Auch ist nachzuweisen, dass bei Ausübung des Widerspruchs die Verarbeitung beendet wird. Zur Erfüllung des Kriteriums ist zudem erforderlich, dass den betroffenen Personen die Möglichkeit zur Ausübung des Widerspruchs ausdrücklich in einer verständlichen Form zugänglich gemacht wird.
Die Einwilligung
Im Rahmen der Einwilligung (P.1.4) stehen zunächst einmal Anforderungen an die Abgabe einer Einwilligung, die zu prüfen sind. Dazu gehört, dass die Einwilligung ausdrücklich und unabhängig für spezifische Verarbeitungszwecke, freiwillig und informiert durch aktives bestätigendes Handeln der betroffenen Person erfolgt. Des Weiteren bedarf es einer Dokumentation der Einwilligung, um nachweisen zu können, dass die betroffene Person tatsächlich in die spezifischen Verarbeitungszwecke eingewilligt hat. Der Verantwortliche muss die ausdrückliche aktive Abgabe einer Einwilligung nachweisen können, konkludente Einwilligungen durch Schweigen, vorangekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen i.d.R. keine wirksame Einwilligung dar. Der Verantwortliche muss den Widerruf einer abgegebenen Einwilligung jederzeit ermöglichen können sowie die betroffene Person über die Widerrufsmöglichkeit und Widerrufsfolgen informieren. Entfällt die Grundlage für die Datenverarbeitung, z. B. aufgrund der Ausübung des Widerrufsrechts, darf die Datenverarbeitung nicht weitergeführt werden. Kann dies nicht umgesetzt werden ist eine Zertifizierung der Datenverarbeitung gestützt auf diese Rechtsgrundlage nicht möglich. Auch in Bezug auf die Einwilligung gelten spezifische Anforderungen, sofern die Daten von Kindern verarbeitet werden.
Besondere personenbezogene Daten
Die spezifischen Regelungen zur Verarbeitung von besonderen personenbezogenen Daten finden sich in Kriterium P.1.8 wieder. Hier stehen Anforderungen für die Zulässigkeit einer solchen Verarbeitung oder auch besondere Anforderungen an die Vertraulichkeit des Personals, dass besondere personenbezogene Daten verarbeitet.
Auftragsverarbeiter
Für Auftragsverarbeiter wird sich die Rechtsgrundlage aus einem Vertrag mit der Verantwortlichen Stelle, einem sogenannten Vertrag über die Auftragsverarbeitung gemäß Art. 28 DSGVO ergeben, hierfür ist das Kriterium P.1.10 relevant. Das Kriterium P.1.10 richtet sich daher ausschließlich an Auftragsverarbeiter, denn deren Rechtsgrundlage für eine Verarbeitung ergibt sich aus der Auftragsverarbeitung, also einem Vertrag mit dem Verantwortlichen, und richtet sich nach dessen Rechtsgrundlage. Dabei geht es in diesem Kriterium nicht darum, den Vertrag inhaltlich zu prüfen, sondern um den Nachweis, dass die Datenverarbeitung als eine Auftragsverarbeitung zu qualifizieren ist. Dazu muss der Auftragsverarbeiter die Auftragsverarbeitung auf Grundlage einer dokumentierten Weisung des Verantwortlichen durchführen und darf nicht über die Zwecke und Mittel bestimmen. Zudem muss sichergestellt sein, dass es sich um eine rechtmäßige Auftragsverarbeitung zwischen dem Verantwortlichen und dem Auftragsverarbeiter handelt und keine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder eine reine Übermittlung von personenbezogenen Daten vorliegt. Die inhaltliche Ausgestaltung der Auftragsverarbeitung ist Gegenstand eines anderen Kriteriums in Kapitel 4 des Kataloges.
Die genauen Anforderungen können Sie einfach im Kriterienkatalog nachlesen. Im nächsten Beitrag beleuchten wir dann das nächste Kapitel des Kriterienkatalogs. Dann geht es um die Datenschutzgrundsätze.