Mit der Datenschutzgrundverordnung (DSGVO) wird die datenschutzspezifische Zertifizierung (und das Datenschutzsiegel sowie das Datenschutzprüfzeichen) auf europäischer Ebene eingeführt. Die Zertifizierung dient dem Nachweis, dass die Vorgaben der DSGVO im Umgang mit personen­bezogenen Daten eingehalten werden. Die DSGVO verweist dabei explizit darauf, dass im Rahmen der Zertifizierung den Bedürfnissen von KMUs Rechnung getragen werden soll, Art. 40 Abs. 1 DSGVO.

Das aktuell geltende Bundesdatenschutzgesetz (BDSG) beabsichtigt mit § 9a BDSG Vergleichbares. Es sieht vor, dass Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen das eigene Datenschutzkonzept und die technischen Einrichtungen von einem unabhängigen und zugelassenen Gutachter überprüfen lassen können, um dadurch den Datenschutz und die Datensicherheit zu verbessern. Die genaue Ausgestaltung der datenschutzrechtlichen Überprüfung erfolgt gemäß § 9a S. 2 BDSG durch ein besonderes Gesetz – das jedoch nie in Erscheinung trat.

1          ISO-Zertifizierungen

Aktuell verläuft die Suche nach international anerkannten und auch von den Aufsichtsbehörden des Datenschutzes akzeptierten Standards für den Umgang mit personenbezogenen Daten nicht sehr vielversprechend.^[1] Am bekanntesten ist noch die Zertifizierung von Informations­managementsystemen auf Grundlage der DIN ISO/IEC 27001^[2]. Dabei werden keine konkreten Handlungsempfehlungen vorgegeben, so dass die Unternehmen die Details selbstständig erarbeiten müssen und ansonsten in der Umsetzung relativ frei sind.^[3] Zudem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Standards (u.a. den IT-Grundschutz) veröffentlicht, die die Risikoanalyse im Unternehmen und Empfehlungen zu Methoden, Verfahren etc. zu verschiedenen Punkten der Informationssicherheit bereithalten.^[4] Die DIN ISO/IEC 27001 kann parallel mit dem vom BSI entwickelten IT-Grundschutz als Zertifizierungsanforderung herangezogen werden, in dessen Rahmen typische Gefährdungen bewertet werden, wodurch eine Risikoanalyse des Unternehmens selbst nicht mehr erforderlich wäre, jedoch einige konkrete Maßnahmen im Rahmen der Zertifizierung umzusetzen sind.^[5] Andere Standards können in der Unternehmensstruktur ebenfalls Beachtung finden, sehen jedoch keine Zertifizierung vor, beispielsweise die DIN ISO/IEC 27018 für das Cloud-Computing. Werden aber die Anforderungen der DIN ISO/IEC 27001 und die der DIN ISO/IEC 27018 gemeinsam herangezogen, so finden sämtliche Anforderungen des BDSG zu technischen und organisatorischen Maßnahmen Beachtung.^[6]

Ein Unternehmen, das eine ISO-Zertifizierung besitzt, ist nicht automatisch nach der Datenschutzgrundverordnung (DSGVO) zertifiziert.

Bei einer ISO-Zertifizierung kann der Rahmen der Zertifizierung frei gewählt werden, so dass nicht zwangsläufig das gesamte Unternehmen oder gar personenbezogene Daten von der Zertifizierung erfasst werden. Daher kann eine ISO-Zertifizierung als Grundlage herangezogen werden, welche dann um personenbezogene Daten erweitert werden könnte. Es gilt zu analysieren, welche Vorgaben aus der DSGVO von einer ISO-Zertifizierung erfasst werden und welche zusätzlich hinzuzuziehen sind. Sofern kein ISO-Zertifikat vorliegt, kann es jedoch ratsamer sein, zunächst nur eine Zertifizierung entsprechend der DSGVO anzustreben.

Es ist nicht jedem KMU zu raten, unmittelbar eine ISO-Zertifizierung durchzuführen. Es kann durchaus sinnvoller sein, zunächst die Anforderungen der DSGVO umzusetzen, um daraufhin im Rahmen eines Informationssicherheits-Managementsystems (ISMS) die Standards der DIN ISO/IEC 27001 in der Unternehmensstruktur zu ergänzen.

2          Zertifizierung entsprechend der DSGVO

Mit der DSGVO wird die Möglichkeit eröffnet, Standards für eine Zertifizierung zu schaffen, die hinreichend konkretisiert und laufend aktualisiert werden, so dass die technischen und organisatorischen Mindestanforderungen der Zertifizierung dem aktuellen Stand entsprechen.^[7] Eine Zertifizierung gemäß Art. 42 DSGVO hat den Nachweis über die Einhaltung der Vorgaben der DSGVO zum Inhalt. Eine Erweiterung der Zertifizierung nach der DSGVO über diese (verbindlichen) Vorgaben hinaus, erscheint nicht möglich.^[8] Die Zertifizierung dient dementsprechend dem Nachweis, dass der Verantwortliche (und auch der Auftragsdatenverarbeiter) seinen Pflichten aus der DSGVO nachgekommen ist und hat daneben positive Auswirkungen im Falle eines Bußgeldverfahrens. Die Zertifizierung im Sinne der DSGVO ist wenig konkret beschrieben, kann aber weit verstanden werden, da zum einen Erwägungsgrund 100 DSGVO eine Zertifizierung von IT-Produkten und Dienstleistungen vorsieht und zum anderen beispielsweise Art. 24 Abs. 3 DSGVO die Zertifizierung von geeigneten technischen und insbesondere organisatorischen Maßnahmen vorsieht.^[9] Wird ein Zertifizierungsverfahren erfolgreich abgeschlossen, hat der Verantwortliche weiterhin die Vorgaben der DSGVO (beispielsweise eine Datenschutz-Folgenabschätzung) zu erfüllen und unterliegt ebenso der Kontrolle der Aufsichtsbehörde. Die Zertifizierung hat dementsprechend keine befreiende Wirkung und kann ebenso widerrufen werden, wenn ihre Voraussetzungen nicht mehr vorliegen, Art. 42 Abs. 7 S. 2 DSGVO.

Die Zertifizierung nach der DSGVO dient dem Nachweis, dass die gesetzlichen Anforderungen der DSGVO an den Datenschutz eingehalten werden. Kunden und Dritte können sich unproblematisch ein Bild über das Datenschutzniveau eines Datenverarbeiters machen.

2.1         Bekanntgabe möglicher Zertifizierungen

Informationen über die möglichen Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen werden in Form eines Verzeichnisses über sämtliche Zertifizierungsverfahren von dem Europäischen Datenschutzausschuss veröffentlicht, Art. 42 Abs. 8 DSGVO. Der Europäische Datenschutzausschuss (Art. 68 Abs. 1 DSGVO) ist mit der DSGVO neu einzurichten und wird sodann die derzeitige Datenschutzgruppe (Art. 29 Datenschutz-Richtlinie) ersetzen.^[10] Nach aktuellem Stand wurde der Datenschutzausschuss noch nicht eingerichtet und ein Verzeichnis der Zertifizierungsverfahren noch nicht herausgegeben. Die diesbezügliche Entwicklung sollte aber im Blick behalten werden.

2.2         Das Zertifizierungsverfahren

Ein Zertifizierungsverfahren kann durch die zuständige Aufsichtsbehörde oder eine akkreditierte Zertifizierungsstelle durchgeführt werden (Art. 42 Abs. 5 DSGVO).

Die Kriterien für die Erteilung eines Zertifikates werden von der zuständigen Aufsichtsbehörde (Art. 58 Abs. 3 lit. f DSGVO) oder von dem Europäischen Datenschutzausschuss festgelegt (Art. 63 DSGVO). Werden die von der Aufsichtsbehörde festgelegten Kriterien zusätzlich durch den Europäischen Datenschutzausschuss genehmigt, so kann dies zu einer europaweiten Zertifizierung – in Form des Europäischen Datenschutzsiegels – führen. Die Möglichkeit der Einführung eines Europäischen Datenschutzsiegels besteht, ist jedoch nicht verpflichtend, so dass die Entwicklung von dem Ermessen des Europäischen Datenschutzausschusses abhängt und die diesbezügliche Weiter­entwicklung abzuwarten bleibt.^[11] Daneben ist die Europäische Kommission berechtigt, Rechtsakte zur Regelung der Kriterien und Anforderungen von Zertifizierungsverfahren zu erlassen, die diese näher ausgestalten, Art. 43 Abs. 8 DSGVO. Ebenso ist die Europäische Kommission zum Erlass von Rechtsakten berechtigt, die die Regelung der technischen Standards für die Zertifizierungsverfahren festlegt und Mechanismen zur Förderung und Anerkennung der Verfahren bestimmt, Art. 43 Abs. 9 DSGVO. Zur konkreten Bestimmung der Anforderungen an ein datenschutzspezifisches Zertifizierungs­verfahren bleiben (auch aufgrund der ansonsten eher unspezifischen Anforderungen der DSGVO) die Rechtsakte der Europäischen Kommission abzuwarten.

Wird eine Zertifizierung angestrebt, ist der Verantwortliche verpflichtet, der Zertifizierungsstelle bzw. der Aufsichtsbehörde die erforderlichen Informationen zur Verfügung zu stellen, die für die Zertifizierung notwendig sind (Art. 42 Abs. 6 DSGVO). Somit ist die Dokumentation der Verfahrensvorgänge in Form eines strukturierten und übersichtlichen Verzeichnisses empfehlens­wert. Welche Informationen erforderlich sind, richtet sich zum einen danach, für welche konkrete Datenverarbeitung das Zertifikat angestrebt wird und zum anderen nach den (noch festzulegenden) Kriterien für die Erteilung der jeweils beabsichtigten Zertifizierung.^[12]

Eine strukturierte Dokumentation der Verfahrensvorgänge im Unternehmen erleichtert das Zertifizierungsverfahren.

2.3         Gültigkeit der erteilten Zertifikate

Eine erteilte Zertifizierung gilt für maximal drei Jahre und kann nach ihrer Gültigkeitsdauer grundsätzlich verlängert werden, Art. 42 Abs. 7 S. 1 DSGVO. Sollten während der Gültigkeitsdauer die Voraussetzungen entfallen, so kann das Zertifikat von der zuständigen Aufsichtsbehörde oder der Zertifizierungsstelle widerrufen werden, Art. 42 Abs. 7 S. 2 DSGVO.

3          Zertifizierung im Rahmen von Cloud-Computing

Neben einer Reihe von verschiedenen expliziten und impliziten (beispielsweise die DIN ISO/IEC 27001 und der BSI IT-Grundschutz) Zertifikaten für Cloud-Computing wurden auf Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi) im Rahmen des Projektes „Datenschutz-Zertifizierung für Cloud-Dienste“ Anforderungen für ein sicheres Cloud-Computing entwickelt.^[13] Das Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP) wurde im September 2016 veröffentlicht und stellt einen Prüfstandard zur Zertifizierung des Datenschutzes von Cloud-Diensten dar. Die Zertifizierung betrifft das Erheben, Verarbeiten oder Nutzen von personenbezogenen Daten im Rahmen einer Auftragsverarbeitung (was Cloud-Computing darstellt) gem. § 11 BDSG und die damit verbundenen Pflichten des Cloud-Anbieters.^[14] Das TCDP berücksichtigt zum Teil die Inhalte der DIN ISO/IEC 27018, der DIN ISO/IEC 27001 sowie der DIN ISO/IEC 27002 und geht in seinen datenschutzrechtlichen Anforderungen darüber hinaus, so dass die gesetzlichen Vorgaben des BDSG (als Maßstab) im Rahmen der Auftragsdatenverarbeitung bei einer Zertifizierung entsprechend des TCDP erfüllt sind.^[15]

Das TCDP beabsichtigt zudem die Förderung der europäischen Datenschutzzertifizierung. Die Zertifizierung nach dem TCDP ist so ausgelegt, dass es an die Anforderungen der DSGVO angepasst werden kann (was beabsichtigt ist), so dass sich das TCDP-Zertifikat in einen Standard/ein Zertifikat für Cloud-Dienste entsprechend der DSGVO überführen lässt.^[16] Sofern ein Verantwortlicher personenbezogene Daten im Auftrag verarbeitet, erscheint es vor diesem Hintergrund empfehlenswert, sich bereits derzeit mit den Vorgaben der DIN ISO/IEC 27018 auseinanderzusetzen.^[17]

4          Fazit

Durch die Zertifizierung wird der Nachweis erbracht, dass die Anforderungen der DSGVO eingehalten werden. An verschiedenen Stellen verweist die DSGVO auf die Möglichkeit der Zertifizierung (und auch auf die genehmigten Verhaltensregeln) als Beweis der Pflichterfüllung durch den Verantwortlichen – beispielsweise im Rahmen der (verpflichtenden) Sicherstellung und der Nachweiserbringung, dass die Vorgaben der DSGVO eingehalten werden, Art. 24 Abs. 1 DSGVO. Auch kann eine Zertifizierung als Aspekt zum Nachweis der Erfüllung der neu eingefügten Pflicht zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 1 und 2 DSGVO) herangezogen werden. Da die Anforderungen der DSGVO ohnehin eingehalten werden sollten, da sie zum einen rechtsverbindlich sind und zum anderen andernfalls schmerzhafte Bußgelder drohen, erscheint eine Zertifizierung grundsätzlich empfehlenswert. Mit ihrer Nachweisfunktion wird die Zertifizierung im europäischen Datenschutz sicherlich mehr Bedeutung erfahren, als es im BDSG auf nationaler Ebene der Fall war. Da sich die DSGVO zu dem konkreten Verfahren und den Kriterien der Zertifizierung selbst eher bedeckt hält, ist zunächst noch auf die weitere Ausgestaltung, insbesondere auf die Festlegung der Kriterien für eine Zertifizierung zu warten. In Anbetracht dessen, dass die DSGVO zum 25. Mai 2018 ihre unmittelbare Geltung entfalten wird, sollte die weitere Entwicklung der konkreten Ausgestaltung weiter verfolgt werden.

Autorin: Kathrin Nitsche | März 2017

___________________________________________________________________

Quellen:

[1] Kraska, Datenschutz-Zertifizierungen in der EU-Datenschutzgrundverordnung, in: ZD 2016, S. 153.

[2] Czernik, ISMS & DSGVO: Möglichkeiten der Zertifizierung, 2016. Internetquelle: https://www.datenschutzbeauftragter-info.de/isms-dsgvo-moeglichkeiten-der-zertifizierung/ (abgerufen am 25.01.2017).

[3] Czernik, ISMS & DSGVO: Möglichkeiten der Zertifizierung, 2016. Internetquelle: https://www.datenschutzbeauftragter-info.de/isms-dsgvo-moeglichkeiten-der-zertifizierung/ (abgerufen am 25.01.2017).

[4] Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz. Internetquelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/IT-Grundschutz-Modernisierung/GS_Standards/gs_standards_node.html (abgerufen am 06.02.2017).

[5] Czernik, ISMS & DSGVO: Möglichkeiten der Zertifizierung, 2016. Internetquelle: https://www.datenschutzbeauftragter-info.de/isms-dsgvo-moeglichkeiten-der-zertifizierung/ (abgerufen am 25.01.2017).

[6] Kraska, Datenschutz-Zertifizierungen in der EU-Datenschutzgrundverordnung, in: ZD 2016, S. 153.

[7] Kraska, Datenschutz-Zertifizierungen in der EU-Datenschutzgrundverordnung, in: ZD 2016, S. 154.

[8] Paal, Kapitel IV, Abschnitt 5. Verhaltensregeln und Zertifizierung, Art. 42, in: Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, Kommentar, 2017, Rn. 7.

[9] Hofmann, Zertifizierung nach der DS-GVO, in: ZD-Aktuell 2016, S. 5324.

[10] Pressemitteilung des European Data Protection Supervisor (EDPS/2016/10) vom 24.05.2016, Datenschutz für die digitale Generation: Der Countdown für die Datenschutz-Grundverordnung läuft. Internetquelle: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Press/2016/EDPS-2016-10_Annual_Report_DE.pdf (abgerufen am 06.02.2017).

[11] Paal, Kapitel IV, Abschnitt 5. Verhaltensregeln und Zertifizierung, Art. 42, in: Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, Kommentar, 2017, Rn. 14.

[12] Paal, Kapitel IV, Abschnitt 5. Verhaltensregeln und Zertifizierung, Art. 42, in: Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, Kommentar, 2017, Rn. 15.

[13] Pressemitteilung des BMWi vom 13.04.2015, Datenschutz in der Cloud: Grundlage für rechtskonforme und wirtschaftliche Nutzung gelegt. Internetquelle: http://www.bmwi.de/Redaktion/DE/Pressemitteilungen/2015/20150413-datenschutz-in-der-cloud-grundlage-fuer-rechtskonforme-und-wirtschaftliche-nutzung-gelegt.html (abgerufen am 06.02.2017).

[14] Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“, Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP), 2016. Internetquelle: http://www.tcdp.de/data/pdf/TCDP-1-0.pdf (abgerufen am 06.02.2017), S. 4.

[15] Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“, Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP), 2016. Internetquelle: http://www.tcdp.de/data/pdf/TCDP-1-0.pdf (abgerufen am 06.02.2017), S. 4.

[16] Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“, Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP), 2016. Internetquelle: http://www.tcdp.de/data/pdf/TCDP-1-0.pdf (abgerufen am 06.02.2017), S. 5.

[17] Kraska, Datenschutz-Zertifizierungen in der EU-Datenschutzgrundverordnung, in: ZD 2016, S. 153.