Categories: RechtRegulierung

Was Sie jetzt über Datenschutz-Zertifikate wissen müssen

Die Datenschutz-Grundverordnung (DSGVO / GDPR) bringt nicht nur neue Anforderungen mit sich, die es nun zeitnah umzusetzen gilt. Die DSGVO stärkt auch Instrumente wie die Datenschutz-Zertifizierung, die eine neue Bedeutung erlangt:

  • Auftragsverarbeitung: Um das Datenschutz-Niveau eines Auftragsverarbeiters (zum Beispiel Cloud-Anbieter) zu überprüfen, kann man ein geeignetes Datenschutz-Zertifikat dieses Anbieters nutzen. (Nach Artikel 28 DSGVO gilt: Geeignete Datenschutz-Zertifikate können als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.)
  • Datenübermittlung in Drittstaaten: Datenschutz-Zertifikate gehören zu den möglichen Garantien für ein angemessenes Datenschutz-Niveau, wenn es um die Rechtsgrundlage für die Datenübermittlung in einen Drittstaat geht (Artikel 46 DSGVO).
  • Bemessung von Bußgeldern: Datenschutz-Zertifikate können sich positiv auf mögliche Sanktionen auswirken, wenn es einmal zu einer Datenschutzverletzung kommt. (Nach Artikel 83 DSGVO (Allgemeine Bedingungen für die Verhängung von Geldbußen) gilt: Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall auch gebührend berücksichtigt: Einhaltung von genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO.)

Bestehende Zertifikate: Umstellung erforderlich

Die Datenschutz-Zertifizierung nach DSGVO bringt somit deutliche Vorteile mit sich. Um davon profitieren zu können, muss es aber zuerst entsprechende Zertifizierungen geben. Im ersten Schritt müssen die Aufsichtsbehörden für den Datenschutz die Kriterien für die Akkreditierung einer Zertifizierungsstelle abfassen und veröffentlichen. Dann müssen die Akkreditierungen und Zulassungen für die Zertifizierungsstellen erfolgen, sofern diese einen entsprechenden Antrag gestellt haben und die Bedingungen erfüllen.

Zu beachten ist dabei: Datenschutz-Zertifizierungen, die auf dem Bundesdatenschutzgesetz (BDSG) basieren, müssen zuerst umgestellt werden, damit sie den Anforderungen der DSGVO entsprechen können. Verschiedene Datenschutz-Zertifizierungen sind deshalb gegenwärtig in Bearbeitung. Ein Beispiel-Projekt für ein Cloud-Zertifikat auf Basis der DSGVO ist „AUDITOR“. Ziel des Forschungsprojekts „AUDITOR“ ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer EU-weiten Datenschutzzertifizierung von Cloud-Diensten.

Vieles entsteht also zurzeit, noch gibt es aber keine Zertifizierungsstellen und Zertifikate nach DSGVO. Einige Voraussetzungen für solche Zertifikate nennt die DSGVO, weitere Kriterien entwickeln noch die Aufsichtsbehörden:

  • Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
  • Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
  • Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.

Neue Zertifikate nach DSGVO: Neues Register wird für Transparenz sorgen

Welche Zertifikate die neuen Aufgaben, die die DSGVO für sie vorsieht, erfüllen können, kann man in Zukunft in öffentlichen Registern einsehen: Der Europäische Datenschutzausschuss, gebildet aus Vertretern der nationalen Aufsichtsbehörden, nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise, so die Verordnung.

Dieses Register ist sehr wertvoll, denn gegenwärtig ist es keineswegs einfach, die Qualität eines Datenschutz-Zertifikats zu beurteilen, wenn einem ein solches vorgelegt wird. Es gibt bekanntlich eine Vielzahl an Datenschutz-Zertifikaten, die sehr unterschiedliche Kriterien voraussetzen. In Zukunft wird ein Blick in das Register reichen, um zu sehen, ob eine Zertifizierung den Anforderungen aus der DSGVO genügt.

Sowohl Anwenderunternehmen als auch Auftragsverarbeiter (wie Cloud-Anbieter) sollten die Zertifizierung nach DSGVO im Blick behalten und je nach Bedarf auch selbst anstreben. Die Zahl der Angebote für Datenschutzzertifizierungen wird nicht kleiner werden, im Gegenteil. Erfreulich dabei ist, dass es im Gegensatz zur bestehenden Situation dadurch nicht unübersichtlicher wird, sondern dass es dadurch einfach nur mehr Wettbewerb unter den Zertifizierungsstellen geben wird. Das öffentliche Register wird zeigen, welche Zertifikate geeignet sind, die Suche nach Zertifikaten und die Prüfung von Zertifikaten wird dann endlich leichter!

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago