Heute werfen wir noch einmal einen Blick auf die Zertifizierungsbestimmungen der EU-Datenschutzgrundverordnung (vgl. unseren früheren Beitrag).

Verantwortliche und Auftragsverarbeiter

Zum 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft.

Im Hinblick auf das Thema Zertifizierungen stehen in der DSGVO die für die Verarbeitung von personenbezogenen Daten Verantwortlichen und Auftragsverarbeiter im Fokus.

Neuerungen im Bereich der Verarbeitung personenbezogener Daten

Im Vergleich zum bisherigen Recht kommen mit der DSGVO Nachweispflichten auf die Akteure zu. Sowohl Verantwortliche als auch Auftragsverarbeiter haben umfangreiche Nachweispflichten über den Umgang mit personenbezogenen Daten zu erfüllen.

Für den Verantwortlichen wird diese Nachweispflicht explizit in Art. 5 Abs. 2 DSGVO geregelt:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Für den Auftragsverarbeiter findet sich eine solche Rechenschaftspflicht nicht ausdrücklich in Art. 5 DSGVO. Allerdings lässt sich eine solche aus Art. 28 i.V.m. Art. 30 Abs. 2 und Art. 32 ableiten.

Sowohl der Verantwortliche als auch der Auftragsverarbeiter werden, wie bisher auch, verpflichtet, technische und organisatorische Maßnahmen für die Datensicherheit zu ergreifen (Art. 32 DSGVO). Diese gehen über die bisher bekannten Maßnahmen des § 9 samt Anlage zu § 9 S. 1 BDSG hinaus. So fordert die DSGVO in Art. 32 Abs. 1 lit. d „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.

Gerade im Kontext dieser Maßnahmen stellt Art. 32 Abs. 3 DSGVO die Nachweispflicht noch einmal heraus:

„Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“

Zu beachten ist dabei auch, dass bei ungenügenden oder fehlenden Maßnahmen, Geldbußen bis zu 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können; Art. 83 Abs. 4 DSGVO.

Nachweispflichten

Wie bereits festgestellt, bietet die DSGVO zwei wesentliche Möglichkeiten, um Nachweispflichten zu gewährleisten:

  • genehmigte Verhaltensregeln und
  • genehmigte Zertifizierungsverfahren.

Genehmigte Verhaltensregeln

Genehmigte Verhaltensregeln werden in Art. 40 der DSGVO näher erläutert. Verbände und andere relevante Interessensvertretungen können Verhaltensregeln ausarbeiten, die die DSGVO hinsichtlich verschiedener Aspekte präzisieren; genannt werden u.a. eine „faire und transparente Verarbeitung“, die „Pseudonymisierung personenbezogener Daten“, die „Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen“ sowie technisch-organisatorische Maßnahmen. Bei der Ausarbeitung der Verhaltensregeln sollen auch die Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen berücksichtigt werden; Art. 40 Abs. 1 DSGVO.

Diese genehmigten Verhaltensregeln unterstützen einen Verantwortlichen oder Auftragsverarbeiter bei seinem Nachweis über die erfüllten Anforderungen an die Verarbeitung personenbezogener Daten.

Wer genehmigt diese Verhaltensregeln?

Zunächst die zuständige Aufsichtsbehörde; vgl. Art. 40 Abs. 5 und 6 DSGVO. Wenn weitere Mitgliedstaaten betroffen sein können, dann muss nach Art. 40 Abs. 7 und 8 DSGVO der Europäische Datenschutzausschuss und danach die EU-Kommission die Verhaltensregeln genehmigen.

Darüber hinaus kann die Umsetzung dieser genehmigten Verhaltensregeln, sofern die Verarbeitung der Daten nicht durch Behörden oder öffentliche Stellen erfolgt, durch von der zuständigen Aufsichtsbehörde akkreditierte Stellen überprüft werden. Um akkreditiert zu werden, muss diese Stelle über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügen.

Die Kriterien, nach denen eine solche Stelle von der zuständigen Aufsichtsbehörde akkreditiert werden kann, sind in Art. 41 Abs. 2 DSGVO genannt; damit diese „Stellen“ einheitlich akkreditiert werden, ist in Art. 41 Abs. 3 DSGVO ein sogenanntes Kohärenzverfahren vorgesehen.

Wichtig: Im Kontext der Prüfung der Umsetzung von genehmigten Verhaltensregeln wird nur von „Stellen“ gesprochen; dass dies Zertifizierungsstellen sind, wird nicht gesagt. Ferner wird von einer Akkreditierung durch die zuständige Aufsichtsbehörde

nach Kriterien gesprochen, die mit dem EU-Datenschutzausschuss abgestimmt werden; dass hingegen diese Akkreditierung durch die nationalen Akkreditierungsstellen – in Deutschland die DAkkS – erfolgen soll, wird nicht gesagt. Ein im Hinblick auf das europaweit einheitliche Akkreditierungssystem – mit einer obersten Akkreditierungsstelle pro Mitgliedsland – durchaus interessante Konstruktion.

Neben den genehmigten Verhaltensregeln gibt es noch die genehmigten Zertifizierungsverfahren.

Genehmigte Zertifizierungsverfahren

Genehmigte Zertifizierungsverfahren sind in der DSGVO wie folgt definiert: „Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass die DSGVO bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.“ (Art. 42 Abs. 1 DSGVO).

Dass Siegel, Zertifikate o.ä. insgesamt gefördert werden sollen, ist auch dem Erwägungsgrund 100 der DSGVO zu entnehmen: „Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.“

Hier findet sich übrigens auch ein Hinweis darauf, was mit einem Zertifikat oder Siegel geprüft und bestätigt werden soll: Produkte und Dienstleistungen. Denn zunächst stellt sich die Frage, wofür diese genehmigten Zertifizierungsverfahren gelten? Genehmigte Zertifizierungsverfahren gelten für Aspekte der Datenverarbeitung, die Verantwortliche oder Auftragsverarbeiter nutzen und sollen sie in der Gewährleistung ihrer Rechenschaftspflicht unterstützen. Denn wenn ein Verantwortlicher oder Auftragsverarbeiter einen Nachweis erbringen soll, dass er etwa die „Grundsätze für die Verarbeitung personenbezogenen Daten“ einhält, dann kann er für diesen Nachweis auch ein Zertifikat anführen.

Wofür könnte ein solcher Nachweis nun stehen? Bzw., was könnte zertifiziert werden? Dies wird in der DSGVO nicht näher ausgeführt, womit neben Produkten und Dienstleistungen auch Personen und Anbieter relevant sein können.

Beispiel 1: Ein Verantwortlicher setzt einen Datenschredder ein. Er will nachweisen, dass er einen geeigneten Schredder einsetzt. Dazu kann er ein Zertifikat dieses Datenschredders heranziehen.

Beispiel 2: Ein Verantwortlicher lagert einen Teil seiner Tätigkeiten an einen Auftragsverarbeiter aus. Er bleibt verantwortlich und will nachweisen, dass er einen geeigneten Auftragsverarbeiter beauftragt hat. Dazu kann er ein Zertifikat dieses Auftragsverarbeiters heranziehen.

Beispiel 3: Denkbar ist auch eine Personenzertifizierung für solche Personen, die im Hinblick auf Datenschutz und IT-Sicherheit nach der DSGVO eine Kernfunktion erhalten, wie etwa Datenschutzbeauftragte.

Beispiel 4: Ein Unternehmen möchte insgesamt nachweisen, dass ein Datenschutzmanagement etabliert und wirksam ist.

Doch wer genehmigt diese Zertifizierungsverfahren? Und wer erstellt diese Zertifizierungsverfahren? Dazu findet sich in Art. 42 Abs. 5 DSGVO eine entsprechende Regelung: Es obliegt zunächst der zuständigen Aufsichtsbehörde, Zertifizierungskriterien zu erarbeiten und diese dann mit dem Europäischen Datenschutzausschuss abzustimmen, damit diese europaweit einheitlichen Kriterien dann zu einem europäischen Datenschutzsiegel führen können.

Welche Zertifizierungskriterien dies sein können, dazu später mehr. Denn von zentraler Bedeutung wird sein, wie diese genehmigten Zertifizierungsverfahren ausgestaltet sein müssen, d.h. welche Kriterien müssen Anbieter, Produkte, Dienstleistungen und Personen genügen, um ein Zertifikat oder Siegel im Sinne der DSGVO zu erhalten.

Wer akkreditiert Zertifizierungsstellen?

Die DSGVO sieht eine Akkreditierung durch Aufsichtsbehörden und Akkreditierungsstellen vor, vgl. Art. 43 Abs. 1 DSGVO. Dies soll in Deutschland nun wie folgt realisiert werden (vgl. § 39 des Entwurfs des neuen BDSG):

  • Akkreditierung einer Zertifizierungsstelle durch die Deutsche Akkreditierungsstelle (DAkkS),
  • Zulassung einer Zertifizierungsstelle durch die Befugnis erteilende Behörde, also die zuständige Aufsichtsbehörde (vermutlich ist hier die Datenschutzaufsichtsbehörde gemeint, in deren Zuständigkeitsbereich die Zertifizierungsstelle ihren Sitz hat).

Wonach wird akkreditiert?

Die Kriterien, nach denen Akkreditierungsstellen Zertifizierungsstellen akkreditieren, ist international geregelt. Eine der einschlägigen Normen ist in der DSGVO in Art. 43 (1) genannt: ISO/IEC 17065. Da diese ISO/IEC 17025 nur für Produkte und Dienstleistungen gilt – und damit Anbieter und Personen nicht explizit mit aufnimmt -, dürften zudem folgende Normen weiterhin einschlägig sein: ISO/IEC 17021-1 für Managementsysteme (Anbieter) und ISO/IEC 17024 für Personenzertifizierungen.

Um die Regeln, nach denen die DAkkS Akkreditierungen ausspricht und akkreditierte Zertifizierungsstellen Zertifikate erteilen, auf Grundlage dieser Normen zu konkretisieren, sind bei der DAkkS sogenannte Sektorkomitees eingerichtet. Diese Sektorkomitees arbeiten seit vielen Jahren in verschiedenen Bereichen. Für den Bereich der DSGVO ist das DAkkS-Sektorkomitee „Informationstechnik, -sicherheit und Datenschutz“ zuständig.

Nach welchen Kriterien die Befugnis erteilende Behörde arbeitet, ist gegenwärtig in der Ausarbeitung.

Diskussionen

Nicht alle Aspekte die wir bislang aus der Welt der Zertifizierungen kennen, finden sich in der DSGVO wieder. Deshalb hier einige Punkte, die noch diskutiert werden müssen.

Was wird aus den bisherigen Zertifikaten?

Es gibt bundesweit eine Vielzahl von Zertifizierungsverfahren für Produkte, Dienstleistungen, Anbieter und Personen, die z.T. auf internationalen oder nationalen Standards basieren, manchmal aber auch proprietär sind und die z.T. von der DAkkS akkreditiert sind.

Als Beispiele seien die verschiedenen Zertifikate zur Auftragsdatenverarbeitung, das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) oder das EuroPriSe-Gütesiegel genannt. Eine gute Übersicht bietet die Stiftung Datenschutz auf ihrer Webseite.

Welchen Stellenwert werden diese Siegel in Zeiten der DSGVO haben? Kann ein Verantwortlicher oder Auftragsverarbeiter diese zur Erfüllung seiner Nachweispflicht nach der DSGVO nutzen?

Aus unserer Sicht können Zertifikate, die nicht der DSGVO entsprechen, durchaus als Aspekt des Nachweises herangezogen werden; sie sind auch entsprechend zu berücksichtigen. Gleichwohl genießen sie nicht die „Nachweiserleichterung“, die in den Artikeln 24 Abs. 3, 25 Abs. 3, 28 Abs. 5 und 32 Abs. 3 DSGVO genannt werden.

Wie sehen mögliche Zertifizierungsverfahren aus?

Damit Zertifizierungsstellen Produkte, Dienstleistungen, Anbieter oder Personen zertifizieren können, sind einheitliche Prüfkriterien erforderlich.

Zum gegenwärtigen Zeitpunkt liegen keine genehmigten Zertifizierungsverfahren vor, die sich speziell auf den Nachweis der Einhaltung der Pflichten nach der DSGVO beziehen.

Die Herausforderung ist auch nicht zu unterschätzen. Denn solche Zertifizierungsverfahren sehen einheitliche Prüfkriterien vor, so wie dies beispielsweise mit ISO/IEC 27001 für Informationssicherheits-Managementsysteme (ISMS) seit langem geübte Praxis ist.

In Anbetracht des Zeithorizonts scheint es angebracht, sich sehr umfangreich der etablierten Standards zu bedienen.

Für den Bereich der Anbieter- bzw. Auftragsverarbeiter-Zertifizierung wäre die ISO/IEC 27001-Familie zu empfehlen, denn hier sind bereits branchenspezifische Standards entwickelt worden, die in ein ISMS integriert werden können:

  • ISO/IEC 27017: Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste
  • ISO/IEC 27018: Anwendungsregel für den Schutz von Personenbezogenen Daten (PII) in Public Clouds, die als PII Processor auftreten

Eine Zertifizierung ist hiernach bereits heute möglich.

Noch auszuarbeiten wären Zertifizierungsverfahren für Produkte, Dienstleistungen und Personen.

Zulassung und Akkreditierung

So wie es aussieht, werden über die Jahre hinweg sehr verschiedene Zertifizierungsverfahren und Verhaltensregeln genehmigt werden. Akkreditierte Stellen und Zertifizierungsstellen sollen dann in der Lage sein, diese Kriterien zu nutzen.

Damit nicht jedes neue Kriterium eine Änderung der Akkreditierung erfordert, muss bei der Ausgestaltung der Akkreditierungsregeln darauf geachtet werden, dass diese so generisch gehalten sind, dass auch neue Kriterien unbürokratisch genutzt werden können. Beispielsweise durch die Vorschrift, dass die Auditoren, Prüfer und Zertifizierer eine entsprechende Fachkenntnis im jeweiligen Kriterienwerk nachweisen müssen.

Zusammenfassung

Die DSGVO fordert von Verantwortlichen und Auftragsverarbeitern umfangreiche Nachweise.

Es gibt genehmigte Zertifizierungsverfahren für Produkte, Dienstleistungen, Personen oder Anbieter sowie genehmigte Verhaltensregeln. Diese sind Hilfsmittel, die dem Nachweis des Verantwortlichen oder Auftragsverarbeiter dienen.

Für genehmigte Zertifizierungsverfahren ist die Akkreditierung und Zulassung von Zertifizierungsstellen vorgesehen:

  • Akkreditierung durch die DAkkS;
  • Zulassung durch die Befugnis erteilende Behörde.

Der aktuelle Sachstand zur DSGVO:

  • Es gibt noch keine genehmigten Zertifizierungsverfahren.
  • Es gibt noch keine genehmigten Verhaltensregeln.
  • Es gibt noch keine Akkreditierungsvorschriften.
  • Es gibt noch kein Verfahren für die Zulassung durch Befugnis erteilende Behörden.

Die obigen Punkte identifizieren damit auch direkt die Arbeitspakete, die als nächstes angegangen werden sollten.