Categories: RechtRegulierung

Was Sie jetzt über Datenschutz-Zertifikate wissen müssen

Die Datenschutz-Grundverordnung (DSGVO / GDPR) bringt nicht nur neue Anforderungen mit sich, die es nun zeitnah umzusetzen gilt. Die DSGVO stärkt auch Instrumente wie die Datenschutz-Zertifizierung, die eine neue Bedeutung erlangt:

  • Auftragsverarbeitung: Um das Datenschutz-Niveau eines Auftragsverarbeiters (zum Beispiel Cloud-Anbieter) zu überprüfen, kann man ein geeignetes Datenschutz-Zertifikat dieses Anbieters nutzen. (Nach Artikel 28 DSGVO gilt: Geeignete Datenschutz-Zertifikate können als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.)
  • Datenübermittlung in Drittstaaten: Datenschutz-Zertifikate gehören zu den möglichen Garantien für ein angemessenes Datenschutz-Niveau, wenn es um die Rechtsgrundlage für die Datenübermittlung in einen Drittstaat geht (Artikel 46 DSGVO).
  • Bemessung von Bußgeldern: Datenschutz-Zertifikate können sich positiv auf mögliche Sanktionen auswirken, wenn es einmal zu einer Datenschutzverletzung kommt. (Nach Artikel 83 DSGVO (Allgemeine Bedingungen für die Verhängung von Geldbußen) gilt: Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall auch gebührend berücksichtigt: Einhaltung von genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO.)

Bestehende Zertifikate: Umstellung erforderlich

Die Datenschutz-Zertifizierung nach DSGVO bringt somit deutliche Vorteile mit sich. Um davon profitieren zu können, muss es aber zuerst entsprechende Zertifizierungen geben. Im ersten Schritt müssen die Aufsichtsbehörden für den Datenschutz die Kriterien für die Akkreditierung einer Zertifizierungsstelle abfassen und veröffentlichen. Dann müssen die Akkreditierungen und Zulassungen für die Zertifizierungsstellen erfolgen, sofern diese einen entsprechenden Antrag gestellt haben und die Bedingungen erfüllen.

Zu beachten ist dabei: Datenschutz-Zertifizierungen, die auf dem Bundesdatenschutzgesetz (BDSG) basieren, müssen zuerst umgestellt werden, damit sie den Anforderungen der DSGVO entsprechen können. Verschiedene Datenschutz-Zertifizierungen sind deshalb gegenwärtig in Bearbeitung. Ein Beispiel-Projekt für ein Cloud-Zertifikat auf Basis der DSGVO ist „AUDITOR“. Ziel des Forschungsprojekts „AUDITOR“ ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer EU-weiten Datenschutzzertifizierung von Cloud-Diensten.

Vieles entsteht also zurzeit, noch gibt es aber keine Zertifizierungsstellen und Zertifikate nach DSGVO. Einige Voraussetzungen für solche Zertifikate nennt die DSGVO, weitere Kriterien entwickeln noch die Aufsichtsbehörden:

  • Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
  • Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
  • Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.

Neue Zertifikate nach DSGVO: Neues Register wird für Transparenz sorgen

Welche Zertifikate die neuen Aufgaben, die die DSGVO für sie vorsieht, erfüllen können, kann man in Zukunft in öffentlichen Registern einsehen: Der Europäische Datenschutzausschuss, gebildet aus Vertretern der nationalen Aufsichtsbehörden, nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise, so die Verordnung.

Dieses Register ist sehr wertvoll, denn gegenwärtig ist es keineswegs einfach, die Qualität eines Datenschutz-Zertifikats zu beurteilen, wenn einem ein solches vorgelegt wird. Es gibt bekanntlich eine Vielzahl an Datenschutz-Zertifikaten, die sehr unterschiedliche Kriterien voraussetzen. In Zukunft wird ein Blick in das Register reichen, um zu sehen, ob eine Zertifizierung den Anforderungen aus der DSGVO genügt.

Sowohl Anwenderunternehmen als auch Auftragsverarbeiter (wie Cloud-Anbieter) sollten die Zertifizierung nach DSGVO im Blick behalten und je nach Bedarf auch selbst anstreben. Die Zahl der Angebote für Datenschutzzertifizierungen wird nicht kleiner werden, im Gegenteil. Erfreulich dabei ist, dass es im Gegensatz zur bestehenden Situation dadurch nicht unübersichtlicher wird, sondern dass es dadurch einfach nur mehr Wettbewerb unter den Zertifizierungsstellen geben wird. Das öffentliche Register wird zeigen, welche Zertifikate geeignet sind, die Suche nach Zertifikaten und die Prüfung von Zertifikaten wird dann endlich leichter!

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago