Categories: RechtRegulierung

Was Sie jetzt über Datenschutz-Zertifikate wissen müssen

Die Datenschutz-Grundverordnung (DSGVO / GDPR) bringt nicht nur neue Anforderungen mit sich, die es nun zeitnah umzusetzen gilt. Die DSGVO stärkt auch Instrumente wie die Datenschutz-Zertifizierung, die eine neue Bedeutung erlangt:

  • Auftragsverarbeitung: Um das Datenschutz-Niveau eines Auftragsverarbeiters (zum Beispiel Cloud-Anbieter) zu überprüfen, kann man ein geeignetes Datenschutz-Zertifikat dieses Anbieters nutzen. (Nach Artikel 28 DSGVO gilt: Geeignete Datenschutz-Zertifikate können als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.)
  • Datenübermittlung in Drittstaaten: Datenschutz-Zertifikate gehören zu den möglichen Garantien für ein angemessenes Datenschutz-Niveau, wenn es um die Rechtsgrundlage für die Datenübermittlung in einen Drittstaat geht (Artikel 46 DSGVO).
  • Bemessung von Bußgeldern: Datenschutz-Zertifikate können sich positiv auf mögliche Sanktionen auswirken, wenn es einmal zu einer Datenschutzverletzung kommt. (Nach Artikel 83 DSGVO (Allgemeine Bedingungen für die Verhängung von Geldbußen) gilt: Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall auch gebührend berücksichtigt: Einhaltung von genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO.)

Bestehende Zertifikate: Umstellung erforderlich

Die Datenschutz-Zertifizierung nach DSGVO bringt somit deutliche Vorteile mit sich. Um davon profitieren zu können, muss es aber zuerst entsprechende Zertifizierungen geben. Im ersten Schritt müssen die Aufsichtsbehörden für den Datenschutz die Kriterien für die Akkreditierung einer Zertifizierungsstelle abfassen und veröffentlichen. Dann müssen die Akkreditierungen und Zulassungen für die Zertifizierungsstellen erfolgen, sofern diese einen entsprechenden Antrag gestellt haben und die Bedingungen erfüllen.

Zu beachten ist dabei: Datenschutz-Zertifizierungen, die auf dem Bundesdatenschutzgesetz (BDSG) basieren, müssen zuerst umgestellt werden, damit sie den Anforderungen der DSGVO entsprechen können. Verschiedene Datenschutz-Zertifizierungen sind deshalb gegenwärtig in Bearbeitung. Ein Beispiel-Projekt für ein Cloud-Zertifikat auf Basis der DSGVO ist „AUDITOR“. Ziel des Forschungsprojekts „AUDITOR“ ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer EU-weiten Datenschutzzertifizierung von Cloud-Diensten.

Vieles entsteht also zurzeit, noch gibt es aber keine Zertifizierungsstellen und Zertifikate nach DSGVO. Einige Voraussetzungen für solche Zertifikate nennt die DSGVO, weitere Kriterien entwickeln noch die Aufsichtsbehörden:

  • Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
  • Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
  • Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.

Neue Zertifikate nach DSGVO: Neues Register wird für Transparenz sorgen

Welche Zertifikate die neuen Aufgaben, die die DSGVO für sie vorsieht, erfüllen können, kann man in Zukunft in öffentlichen Registern einsehen: Der Europäische Datenschutzausschuss, gebildet aus Vertretern der nationalen Aufsichtsbehörden, nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise, so die Verordnung.

Dieses Register ist sehr wertvoll, denn gegenwärtig ist es keineswegs einfach, die Qualität eines Datenschutz-Zertifikats zu beurteilen, wenn einem ein solches vorgelegt wird. Es gibt bekanntlich eine Vielzahl an Datenschutz-Zertifikaten, die sehr unterschiedliche Kriterien voraussetzen. In Zukunft wird ein Blick in das Register reichen, um zu sehen, ob eine Zertifizierung den Anforderungen aus der DSGVO genügt.

Sowohl Anwenderunternehmen als auch Auftragsverarbeiter (wie Cloud-Anbieter) sollten die Zertifizierung nach DSGVO im Blick behalten und je nach Bedarf auch selbst anstreben. Die Zahl der Angebote für Datenschutzzertifizierungen wird nicht kleiner werden, im Gegenteil. Erfreulich dabei ist, dass es im Gegensatz zur bestehenden Situation dadurch nicht unübersichtlicher wird, sondern dass es dadurch einfach nur mehr Wettbewerb unter den Zertifizierungsstellen geben wird. Das öffentliche Register wird zeigen, welche Zertifikate geeignet sind, die Suche nach Zertifikaten und die Prüfung von Zertifikaten wird dann endlich leichter!

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

7 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

7 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

8 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

8 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

10 Stunden ago