Willkommen beim 3. Teil der Reihe „Datenschutzaudit – Wieso, Weshalb, Warum?“. In diesem Beitrag werden Datenschutzzertifikat und Datenschutzaudit einander gegenübergestellt.

Rechtliche Grundlagen

Zunächst einmal lässt sich feststellen, dass im Gegensatz zum Datenschutzaudit das „DSGVO-Zertifikat“ gesetzlich normiert ist. Und das hat einen Grund: Durch klare Vorschriften und Anforderungen für die Zertifizierungsdienste soll ein zuverlässiges und transparentes Mittel zum Nachweis der Einhaltung der Datenschutzbestimmungen geschaffen werden (vgl. Leitlinien 1/2018 für die Zertifizierung und Ermittlung von Zertifizierungskriterien nach den Artikeln 42 und 43 der Verordnung (EU) 2016/679, Version 3.0 vom 4. Juni 2019, 1. Einführung, Rn. 2).

Gemäß Art. 42 Abs. 1 DSGVO dient die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen zum Nachweis, dass die Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Gemäß Art. 42 Abs. 3 DSGVO muss die Zertifizierung freiwillig und über ein transparentes Verfahren zugänglich sein. Gemäß Art. 42 Abs. 8 DSGVO werden alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register aufgenommen und veröffentlicht.

Aufgrund von Art. 43 Abs. 3 DSGVO i.V.m. Art. 57 Abs. 1 lit. p DSGVO sind die Vorgaben an Zertifikate anhand der DIN EN ISO/IEC 17065 zu betrachten und werden weiter durch die deutschen Aufsichtsbehörden ergänzt und konkretisiert (vgl. Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i.V.m. DIN EN ISO/IEC 17065, Version 1.0 (28.08.2018), S. 1). Dies trägt zur Harmonisierung des Datenschutzniveaus auf nationaler und europäischer Ebene sowie zur Qualitätssicherung und Vergleichbarkeit der Zertifikate bei. Denn „DSGVO-Zertifikate“ dürfen nur auf Grundlage behördlich zugelassener Programme und durch Behörden akkreditierte Stellen vergeben werden: „Zur Vorbereitung der Akkreditierung muss die Zertifizierungsstelle oder der Programmeigner ein Zertifizierungsprogramm erstellen und durch die DAkkS gemäß DIN EN ISO/IEC 17011 auf Eignung prüfen lassen (vgl. DAkkS-Regel 71 SD 0016).“ (ebenda).

Datenschutzaudits hingegen sind allenfalls mittelbar in der DSGVO erwähnt, wie etwa in Art. 5 Abs. 2 DSGVO, in welchem die Rede davon ist, dass der Verantwortliche die Einhaltung der Datenschutzgrundsätze in Form der Rechenschaftspflicht nachweisen muss oder in Art. 31 Abs. 1 lit. d DSGVO, wonach ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung etabliert sein muss.

Verfahrensablauf

Der Ablauf des Zertifizierungsverfahren ist ähnlich dem eines Audits. Der Begriff Zertifizierung ist in der DSGVO nicht definiert, sodass zur Auslegung des Begriffs ebenfalls auf ISO-Normen zurückgegriffen wird – so der EDSA in den o. g. Leitlinien 1/2018 zur Auslegung des Begriffs „Zertifizierung“ (siehe Punkt 1.3.1). Zertifizierung ist eine „Bestätigung […] durch eine dritte Seite, bezogen auf einen Gegenstand der Konformitätsbewertung […], ausgenommen Akkreditierung […]“ (DIN EN ISO/IEC 17000:2020-09, Rn. 7.6).

Bestätigung wird definiert als das „Erstellen einer Aussage auf der Grundlage einer Entscheidung […], dass die Erfüllung festgelegter Anforderungen […] dargelegt wurde“ (DIN EN ISO/IEC 17000:2020-09, Rn. 7.3 und vgl. im Folgenden DIN EN ISO/IEC 17000:2020-09). Festgelegte Anforderungen sind im Rahmen der DSGVO-Zertifizierung die Vorgaben der DSGVO sowie ggf. spezialgesetzliche Regelungen („Soll-Zustand“). Eine Bestätigung ist folglich die Aussage, dass der „Ist-Zustand“ dem „Soll-Zustand“ entspricht. Um diese Aussage treffen zu können, muss der „Ist-Zustand“ mit dem „Soll-Zustand“ zunächst abgeglichen werden. Sodann wird eine Zertifizierungsentscheidung getroffen. Methodisch entspricht dieses Vorgehen im Großen und Ganzen dem des Datenschutzaudits. Dies mag nicht allzu überraschend sein, da sich der Ablauf von Datenschutzaudits ebenfalls an ISO-Normen orientiert.

Eine dritte Seite im Rahmen der Zertifizierung ist ein unabhängiger Dritter, wobei die DSGVO weiter konkretisiert: Nach Art. 42 Abs. 5 DSGVO dürfen dies ausschließlich akkreditierte Zertifizierungsstellen oder die zuständige Aufsichtsbehörde unter den Voraussetzungen des Abs. 5 DSGVO sein. Durch diese Regulierung darf, anders als bei einem Datenschutzaudit, also nicht jede beliebige Stelle Zertifizierungen anbieten.

Und wie bereits erwähnt, findet im Anschluss eines (erfolgreichen) Verfahrens nach Art. 42 DSGVO für den evaluierten Verarbeitungsvorgang eine Vergabe von Siegel oder Prüfzeichen („DSGVO-Zertifikat“) statt. Ein Zertifikat ist eine Konformitätserklärung, das dazu verwendet werden kann, den erfolgreichen Abschluss des Zertifizierungsverfahrens kenntlich zu machen – so der EDSA in den o. g. Leitlinien 1/2018, Rn. 18. Das Zertifikat kann z. B. für Marketingzwecke genutzt werden, wodurch Wettbewerbsvorteile entstehen können.

Bei einem Datenschutzaudit werden rein inhaltlich dieselben Anforderungen an Datenschutz und Datensicherheit geprüft. Die Prüfatmosphäre ist jedoch in der Regel „lockerer“, da die Feststellungen des Datenschutzaudits nicht darüber entscheiden, ob ein Siegel oder Zertifikat erworben oder beibehalten wird. Wesentlicher Unterschied beim Datenschutzaudit ist zudem die Kategorisierung von Feststellungen. Die Auditor*innen bewerten den Ist-Zustand meist in vier bis fünf Kategorien, von „vorbildlich erfüllt“ und „gesetzliche Vorgaben eingehalten“ bis hin zu „Verbesserungspotential festgestellt“, „Nebenabweichung festgestellt, die jedoch den Prozess insgesamt nicht gefährdet“ oder „Abweichung im Sinne einer Nicht-Konformität festgestellt“. Unternehmen können nun eine abgestufte Maßnahmenplanung vornehmen, um die Ergebnisse des Datenschutzaudits optimal zu verwerten und sich zu verbessern. Besonders die „Nebenabweichung“ ist dabei quasi als „letzte Warnung“ anzusehen und kann in Folgeaudits auch hochgestuft werden zu „Abweichung“. Hingegen gibt es in einem DSGVO-Zertifizierungsverfahren nur drei Feststellungsmöglichkeiten: Konformität in allen Punkten, Abweichung (NC, Non-Conformity) oder Verbesserungspotential (VP). Das Zertifikat wird nicht erteilt, wenn NC vorliegt. Dieses Verfahren lässt Auditor*innen und Unternehmen insofern weniger Beurteilungsspielraum.

Ausblick: Bedeutung von Zertifizierungsverfahren und Audits in der Zukunft

Durch die gesetzliche Regulierung wird es voraussichtlich viel weniger Anbieter für DSGVO-Zertifikate geben als für Datenschutzaudits. Tendenziell werden die Verfahren durch Regulierungen, Lizenzgebühren etc. umfangreicher und kostenintensiver.

Aktuell handelt es sich bei der DSGVO-Zertifizierung um ein freiwilliges Verfahren. Jedoch ist denkbar, dass DSGVO-Zertifikate bei der Auswahl geeigneter Dienste und deren Verarbeitungsvorgängen sowohl auf Seiten der Verbraucher*innen als auch auf Unternehmensseite maßgebliches Auswahlkriterium sein werden, da es als anerkannter Standard Vertrauensschutz und Rechtssicherheit hinsichtlich einer rechtmäßigen Datenverarbeitung schafft. Orientieren sich Unternehmen an den Grundsätzen von privacy by design und privacy by default, kann ein Nachweis hierüber z. B. nach Art. 25 Abs. 3 DSGVO durch „genehmigte Zertifizierungsverfahren“ erfolgen. Gemäß dem 78. Erwägungsgrund der DSGVO sollen Nachweise hierzu z. B. im Auswahl- und Ausschreibungsprozess eine Rolle spielen.

Lohnt es sich denn überhaupt noch, ein „normales“ Datenschutzaudit durch eine unabhängige Stelle durchführen zu lassen, insbesondere wenn ein „DSGVO-Zertifikat“ anstrebt wird? Ja, denn zur Vorbereitung eignen sich Datenschutzaudits besonders gut. Datenschutzaudits können den internen Aufwand des Zertifizierungsverfahrens schmälern und so die Kosten verringern. Zudem wird das Risiko des Feststellens einer Nichtkonformität mit gesetzlichen Anforderungen (Abweichung) minimiert und die Gefahr, aufgrund dessen kein Siegel zu erhalten, reduziert. Das Datenschutzaudit dient quasi als Generalprobe.

Weitere Beiträge aus dieser Reihe:

 

Anmerkung: In einer früheren Version des Beitrags stand Art. 31 Abs. 1 lit. g DSGVO, es muss jedoch Art. 31 Abs. 1 lit. d heißen. Wir haben diesen Fehler korrigiert.