Aus welchen Gründen wird eine Datenschutz-Zertifizierung angestrebt? Wem nützt ein solches Zertifikat? Um diese Frage zu klären, wurde kürzlich eine Online-Befragung durchgeführt, über deren Ergebnisse in der aktuellen DuD 5/2021 berichtet wird.
Die Autoren Tobias S. Potthoff und Dorothee Schrief beleuchten in ihrem DuD-Artikel „Geschäftsrelevanz Datenschutz spezifischer Zertifizierungen“ dazu zwei verschiedene Ansätze von Datenschutz-Zertifizierungen:
- ISO/IEC 27701 für ein Datenschutz-Managementsystem sowie
- ein DSGVO-Zertifikat gem. Art. 42 der Datenschutz-Grundverordnung (DSGVO).
Die Umfrage wurde im Oktober 2020 online durchgeführt, befragt wurden Datenschutzbeauftragte, Geschäftsführer und Budgetverantwortliche einer internationalen Unternehmensgruppe der Telekommunikationsbranche.
Im Ergebnis der Umfrage werden die folgenden Top 5-Kriterien für den Einsatz von Datenschutz-Zertifikaten genannt:
- „Nachweis der Einhaltung der DSGVO-Pflichten
- Qualitätsmanagement für Datenverarbeitungsprozesse
- Budgetentlastung
- Ausschreibungsvoraussetzung
- Marketingeffekt“
Gefragt nach konkreten Standards liegt ISO/IEC 27701 mit 74% vor einem Art. 42 DSGVO-Zertifikat (59%), das ja derzeit noch in der Entwicklung ist.
Interessant ist die Frage nach den Kundenerwartungen, hier wird u.a. ein „hohes Datenschutz- und Informationssicherheitsniveau“ sowie „Datenschutz-Compliance“ genannt.
Hinsichtlich der Frage, ob ein Datenschutz-Zertifikat Voraussetzung bei Ausschreibungen ist, sind die Teilnehmer der Umfrage unschlüssig: Während einige Teilnehmer dies als Vorteil sehen, haben andere noch nicht von einer solchen Bedingung gehört. Vermutlich wird es hier – ähnlich wie bei ISO/IEC 27001 für Rechenzentren – noch etwas dauern, bis sich ISO/IEC 27701 – derzeit noch nicht akkreditiert – oder Art. 42 DSGVO – derzeit noch in der Entwicklung – etabliert haben.