Endlich gibt es mit „DSGVO – information privacy standard“ nun den ersten Kriterienkatalog für ein DSGVO Zertifikat in Deutschland, mit dem sowohl Verantwortliche Stellen als auch Auftragsverarbeiter zertifiziert werden können. Falls Sie sich fragen, welche Vorteile sich aus einem solchen Zertifikat ergeben, möchten wir in dieser Beitragsreihe Antworten geben. Im Teil 1 haben wir uns um Datenschutz als Erfolgsfaktor gekümmert, in Teil 2 haben wir uns angeschaut, wie eine DSGVO-Zertifizierung gem. Art. 42 DSGVO zur Marktzutrittsvoraussetzung werden kann und in Teil 3 haben wir betrachtet, inwiefern eine solche Zertifizierung zur Verringerung von Haftungsrisiken beitragen kann. Heute geht es darum, wie ein Zertifikat den Datenschutz verbessern kann.
Besserer Datenschutz durch ein DSGVO-Zertifikat?
Ein Unternehmen, das sich um ein DSGVO-Zertifikat bemüht, wird seinen Datenschutz verbessern. Hier spielen alle in den Teilen 1, 2 und 3 dieser Beitragsreihe genannten Vorteile zusammen und führen zu einem positiven Einfluss auf das gesamte Datenschutzgeschehen. Um ein Zertifikat zu erlangen, sind mehrere Schritte erforderlich, die allesamt Einfluss auf den Datenschutz haben.
Zunächst kommt die Vorbereitung. In der Regel bereiten wir uns auf Prüfungen vor. Bei einer anstehenden Zertifizierung bedeutet dies meist, dass die Unterlagen und Nachweise gesammelt und die Verarbeitungsvorgänge intern einmal genau durchleuchtet werden. Oder aber die Vorbereitung hat schon vorher bei der Entwicklung stattgefunden. In jedem Fall werden bestehende Lücken oder Ungereimtheiten aufgedeckt und zur Vorbereitung auf die anstehende Prüfung behoben. Allein dies führt bereits zu einer Verbesserung des Datenschutzes. Hinzukommt, dass es intern ein größeres Commitment gegenüber den Anforderungen der DSGVO geben wird, da es das gemeinsame Ziel ist, das Zertifikat zu erreichen.
Bei einer Prüfung durch eine unabhängige Zertifizierungsstelle wird dann der Datenschutz erneut beleuchtet. Alle auf die Datenverarbeitung einwirkenden Faktoren werden betrachtet. Auch wenn am Ende eine konkrete Verarbeitung zertifiziert wird, wird die Prüfung auch den allgemeinen Datenschutz, die Kenntnis der Vorgaben zum Datenschutz im Hause, das interne Datenschutzmanagement inklusive Dokumentation und Abläufen, z. B. bei der Umsetzung von Betroffenenrechten, unter die Lupe genommen. Dies wird sich auch auf andere nicht zertifizierte Bereiche auswirken. Wie sagt man so schön: Vier Augen sehen mehr als zwei! Durch eine Prüfung verbessern Sie so den Datenschutz in allen Bereichen.
Schauen wir uns das Ganze an einem konkreten Beispiel einer DSGVO-Anforderung an:
Privacy by Design ist der Grundsatz, dass datenschutz-spezifische Grundsätze vom Beginn des Verarbeitungsvorgangs über den gesamten Lebenszyklus in allen Phasen der Entstehung, der Konzeption oder des Entwurfs hinweg berücksichtigt und umgesetzt werden. Ein Zertifizierungsverfahren wird die abstrakten Anforderungen an die Datenschutzgrundsätze unter die Lupe nehmen. Denn hierfür werden regelmäßig Prozesse und der allgemeine Umgang in Bezug auf den zu zertifizierenden Datenverarbeitungsvorgang geprüft. Gerade bezüglich der abstrakten Anforderungen ist es schwieriger deren Einhaltung nachzuweisen. Schon in der Vorbereitung wird intern auffallen, wenn keine konkreten Regelungen hierzu getroffen wurden. Ein Zertifikat mit dem dazugehörigen umfassenden Bericht kann dann anschließend zusätzlich zum Nachweis des Grundsatzes beitragen. Damit wird also die Umsetzung eines sehr abstrakten Grundsatzes für eine konkrete Verarbeitung geprüft und gleichzeitig die Dokumentation zum Grundsatz Privacy by Design und Privacy by Default verbessert, somit auch die Erfüllung der Rechenschaftspflicht unterstützt.
Wie kann ich mich auf ein Zertifikat vorbereiten?
Nachdem wir nun allgemein dargestellt haben, wie sich eine Zertifizierung positiv auf ihre Organisation auswirken kann, möchten wir Ihnen natürlich zur Vorbereitung einige Hinweise geben. Dazu werden wir in der nächsten Beitragsreihe zum Thema Zertifizierungen den Kriterienkatalog zur Zertifizierung einer IT-gestützten Verarbeitung personenbezogener Daten gem. Art. 42 DSGVO („DSGVO – information privacy standard“) vorstellen.