DSGVO-konforme Zertifikate
Wann kommen eigentlich die DSGVO-Zertifikate?
DSGVO-Zertifikate – sinnvoll, aber leider nicht verfügbar
Zertifikate sind im Betriebsalltag eine wichtige Möglichkeit um im Rahmen des Datenschutzes Vertrauen zu schaffen. Gerade bei Auslagerung von Daten ist Vertrauen sehr wichtig. Warum es allerdings aktuell nicht möglich ist, ein DSGVO-Zertifikat zu erhalten und welche Alternativen es gibt, erklärt dieser Beitrag.
Vertrauen ist gut, Kontrolle ist besser, Zertifikate sind effizienter
In einem Auftragsverhältnis muss der Auftraggeber dem Auftragnehmer und seinen Leistungen vertrauen können.
Die Redewendung „Vertrauen ist gut, Kontrolle ist besser“ hat durchaus seine Richtigkeit. Im Betriebsalltag jedoch führen Kontrollen zu Belastungen auf beiden Seiten. Terminfindung, Interviews, Nachweissichtung und Ergebnisbesprechung sind oft zeitaufwändig. Besonders wenn man als Ergebnis feststellt, dass alles in Ordnung ist. Ein üblicher Weg, um einerseits Vertrauen zu schaffen und andererseits den Aufwand zu verringern, sind Zertifikate und Testate, die dem Auftraggeber zur Verfügung gestellt werden können. Die Kontrolle dazu führen akkreditierte Prüfungsgesellschaften nach allgemeingültigen Kriterien durch. So kann der Auftraggeber darauf vertrauen, dass diese Basiskriterien bereits erfüllt sind. Und er muss bei Bedarf nur noch weitergehende Kriterien prüfen; was den Aufwand auf beiden Seiten im Ergebnis enorm verringert.
Im Servicebereich bauen viele Firmen und auch wir auf die Prüfung seines dienstleistungsbezogenen internen Kontrollsystems (IKS) auf Grundlage des deutschen Standards IDW PS 951 und dem internationalen Pendant ISAE 3402. Der Prüfungsbericht zeigt den Kunden die Qualitätsmaßnahmen auf, die ergriffen wurden, um den Service aufrecht zu erhalten. Die Maßnahmen selbst bemessen sich nach Qualitäts-Frameworks wie CoBIT, COSO, ITIL oder IDW-RS-FAIT.
Datenschutz-Zertifikate nach DSGVO?
Gerade im Datenschutz ist es wichtig auf gute Partner zu setzen. Um die Transparenz zu erhöhen und die Einhaltung von Datenschutzgesetzen zu verbessern, könnte also auch hier eine Zertifizierung helfen. Deshalb hat der Gesetzgeber den Artikel 42 zu genau diesem Thema in die Datenschutzgrundverordnung (DSGVO) eingebracht. Demnach ist gemäß Absatz 1 vorgesehen, dass die EU-Mitgliedsstaaten, die Aufsichtsbehörden sowie die Europäische Kommission darauf hinarbeiten sollen, Zertifizierungsverfahren für den Datenschutz zu etablieren.
Doch zum aktuellen Stand ist leider noch kein Datenschutz-Zertifikat gemäß den Anforderungen der DSGVO möglich. Der Grund liegt an dem mehrstufigen Verfahren für eine Zertifizierung in so einem Fall: Damit ein Unternehmen zertifiziert werden kann, muss es durch die Zertifizierungsstelle nach etablierten Kriterien geprüft werden. Die Zertifizierungsstelle darf jedoch nur dann ein Zertifikat ausstellen, welches bescheinigt, dass ein Unternehmen Gesetze einhält, wenn sie und ihre Prüfweise ebenfalls Qualitätskriterien erfüllen, die öffentliche Stellen definiert haben. Sonst wäre es zu leicht ein Zertifikat zu bekommen und dasselbe nichts wert. Dieser Vorgang heißt Akkreditierung.
In Artikel 43 Absatz 3 DSGVO wird dazu geregelt, dass Zertifizierungsstellen dann akkreditiert werden, wenn diese den Anforderungen der Aufsichtsbehörden genügen. Gemäß Artikel 55 müssen sich allerdings alle Aufsichtsbehörden – also mindestens eine pro EU-Mitgliedsstaat – über die Anforderungen für diese Akkreditierung einigen. Die Deutsche Akkreditierungsstelle stellt daher folgerichtig klar, dass sie keine Zertifizierungsstellen nach DSGVO akkreditieren kann .
Mögliche Lösungen
Daher bleibt die Datenschutz-Zertifizierung nach DSGVO aktuell noch etwas liegen. Nichtsdestotrotz gibt es auf nationaler als auch auf europäischer Ebene bereits Erfahrungen und etablierte Standards, die potenzielle heiße Kandidaten darstellen könnten.
Das „Standard-Datenschutz-Modell“ (SDM) etwa ist eine Methode der deutschen Datenschutzaufsichtsbehörden. Danach soll sichergestellt werden, dass eine einheitliche Beratungs- und Prüfpraxis insbesondere zu den technisch-organisatorischen Maßnahmen der DSGVO erreicht werden könne. Diese wird auch vom BSI referenziert. Adacor verwendet ebenfalls dieses Modell bei der Bewertung von Verarbeitungstätigkeiten. Allerdings ist eine Zertifizierung danach nicht direkt möglich. Eine gute Grundlage für mögliche Zertifizierungen könnte die Methode aber dennoch bieten. Hinter dem „European Privacy Seal for IT Products and IT-Based Services” (EuroPriSe) steht ein gestandenes Zertifizierungsverfahren. Mehrere europäische Unternehmen prüfen nach den Kriterien und verteilen dieses Zertifikat. Das Projekt steht aktuell ebenfalls vor der Herausforderung der fehlenden Absprache der Aufsichtsbehörden zu diesem Thema. So sind Zertifikate zwar möglich, jedoch weiterhin nicht akkreditiert im Sinne der DSGVO.
Blick auf den Scope: nur Produkte oder Prozesse, keine Organisation
Stets sollte man bei Zertifikaten darauf achten, was tatsächlich attestiert wird. Betrachtet man die erwähnten und andere Datenschutz-Standards, fällt auf, dass ein Datenschutz-Zertifikat für ein Unternehmen oder eine Organisation wie bei einem ISMS-Zertifikat nach ISO27001 nicht einfach oder vielleicht auch gar nicht möglich ist. Die Datenschutzregelungen betreffen einzelne Verarbeitungstätigkeiten. In einem Informations-Sicherheitsmanagement-System (ISMS) könnte ein eventuell unsicherer Prozess durch einen anderen „aufgefangen“ werden, um das Sicherheitsniveau beizubehalten. Wenn aber in einem Verfahren der Datenverarbeitung ein Problem besteht, kann dies kein anderes Verfahren heilen. Entsprechend können nur Produkte oder einzelne Services sinnvoll zertifiziert werden.
Aktuell ist es also möglich, Zertifikate im Datenschutz zu erhalten. Allerdings kann keines der Zertifikate eine Konformität mit der DSGVO attestieren. Der Ball liegt aktuell bei den Aufsichtsbehörden. Nichtsdestotrotz lohnt es sich zumindest für das Zusammenspiel zwischen Auftraggeber und Auftragnehmer in bekannte Qualitäts-Frameworks einen Blick zu werfen und diese bestmöglich anzuwenden und umzusetzen.
Autor: Milan Naybzadeh ist IT-Compliance-Beauftragter der Adacor Hosting