Fragen zur Datenschutz-Grundverordnung

Was ändert sich bei der Datenschutz-Zertifizierung

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Mit der DSGVO sollen Datenschutz-Zertifikate eine stärkere Rolle spielen. Zum Beispiel als Garantien im Rahmen von Auftragsverarbeitung oder der Datenübermittlung in Drittstaaten.
Mit der DSGVO sollen Datenschutz-Zertifikate eine stärkere Rolle spielen. Zum Beispiel als Garantien im Rahmen von Auftragsverarbeitung oder der Datenübermittlung in Drittstaaten. (© bluedesign - stock.adobe.com)

Datenschutz-Zertifikate erhalten mit der Datenschutz-Grundverordnung (DSGVO / GDPR) eine größere Bedeutung. Bisherige Datenschutz-Zertifizierungen werden auf die DSGVO umgestellt, neue Zertifizierungsprojekte beginnen. Wir geben einen Überblick über die wichtigsten Entwicklungen im Bereich Datenschutz-Zertifizierung und geben Hinweise zur Anwendung von Datenschutz-Zertifikaten.

Da man als Auftraggeber im Fall einer Auftragsverarbeitung in der Verantwortung für den Datenschutz bleibt, ist es schon seit vielen Jahren ein Thema, wie man sich von dem Datenschutz überzeugen kann, der bei einem Auftragnehmer herrscht. Gerade bei Cloud Computing tun sich viele Anwenderunternehmen schwer, denn eine Vor-Ort-Kontrolle erscheint ebenso praxisfern wie eine fundierte fachliche Überprüfung der Datensicherheit beim Cloud-Anbieter durch den Cloud-Nutzer. Externe Prüfer hingegen können den Cloud-Anbieter aufsuchen, sie haben im Regelfall das Know-how für eine fachliche Überprüfung, die Kontrollen gehören bei ihnen ja zum Geschäft. Cloud-Anbieter nehmen ihren Kunden oftmals den Aufwand für solche Prüfungen durch Experten ab und lassen sich selbst überprüfen. Bei erfolgreichem Datenschutzaudit erhalten sie ein Datenschutz-Zertifikat.

Wie die Aufsichtsbehörden für den Datenschutz jedoch in ihren Veröffentlichungen mit Bezug auf das gegenwärtige Bundesdatenschutzgesetz (BDSG) darstellten, sind Datenschutzzertifikate alleine kein Ersatz vor die Kontrollen bei Auftragsverarbeitung. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtete sogar davon, dass es in seinen aufsichtlichen Kontrollen (nach § 38 BDSG) zwar festgestellt habe, dass Unternehmen oft verschiedene Zertifikate vorweisen konnten, jedoch genügten diese bislang in keinem einzigen Fall, um die Fragen aus dem Prüfumfang des BayLDA ausreichend zu beantworten.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

Datenschutz-Zertifikate in der DSGVO

Mit der Datenschutz-Grundverordnung sollen Datenschutz-Zertifikate eine stärkere Rolle bekommen: „Die EU-Datenschutz-Grundverordnung stärkt mit Zertifizierungsverfahren und der Vergabe von Datenschutzsiegeln den Datenschutz auf europäischer Ebene“, so die Bundesdatenschutzbeauftragte in ihrem aktuellen Tätigkeitsbericht. „Die Zertifikate und Siegel sollen deutlich machen, dass der

geprüfte Auftragnehmer die Sicherheit der verarbeiteten Daten gewährleisten kann. Eine regelmäßige Erneuerung der Zertifikate ist dabei ebenso unerlässlich wie der Entzug bei fehlenden Voraussetzungen. Auch die Zertifizierungsstellen selbst müssen sich regelmäßig akkreditieren, um einen hohen Standard zu gewährleisten.“

Die Bedeutung der Datenschutz-Zertifikate, die die Vorgaben der DSGVO (Artikel 42) erfüllen, sieht man schon daran, wo und wie dieses Instrument in der DSGVO zum Tragen kommt:

  • Für die Auftragsverarbeitung (Artikel 28 DSGVO) gilt: Geeignete Datenschutz-Zertifikate können als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
  • Bei der Datenübermittlung in Drittstaaten (Artikel 46 DSGVO) gilt: Datenschutz-Zertifikate gehören zu den möglichen Garantien für ein angemessenes Datenschutz-Niveau, wenn es um die Rechtsgrundlage für die Datenübermittlung in einen Drittstaat geht.
  • Bei der Bestimmung von Bußgelder im Fall einer Datenschutzverletzung (Artikel 83 DSGVO) gilt: Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall auch gebührend berücksichtigt: Einhaltung von genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO.

Datenschutz-Zertifikate nach DSGVO können somit ein zentrales Element bei der Prüfung einer Auftragsverarbeitung oder einer Datenübermittlung in Drittstaaten sein, gerade bei Cloud Computing sind dies entscheidende Punkte.

Was man bei der DSGVO erst später richtig angehen kann

Fragen zur Datenschutz-Grundverordnung

Was man bei der DSGVO erst später richtig angehen kann

26.01.18 - Viele Unternehmen schaffen es nicht, die Anforderungen der DSGVO fristgerecht umzusetzen. Das liegt an Unklarheiten in der Verordnung, aber oft auch an mangelnder Vorbereitung. Es hilft nichts, die Datenschutz-Grundverordnung muss dennoch zum Stichtag 25. Mai 2018 vollständig umgesetzt sein. Bei einigen Punkten gilt es trotzdem, auf weitere Informationen zu warten. lesen

Umstellung bestehender Zertifikate und Entwicklung neuer Zertifikate

Gegenwärtig werden bestehende Datenschutz-Zertifikate auf die DSGVO angepasst. Zertifikate, die dann den Vorgaben entsprechen, die der Europäische Datenschutzausschuss (EDSA, Nachfolger der Artikel 29 Datenschutzgruppe) entwickeln wird, werden in ein zentrales Register aufgenommen. Dort können Cloud-Nutzer und andere Unternehmen, die eine Auftragsverarbeitung oder eine Datenübermittlung in Drittstaaten planen, in Zukunft feststellen, ob es sich bei dem Datenschutz-Zertifikat um eines handelt, das den Anforderungen der DSGVO entspricht. Nur dann entfaltet ein Datenschutz-Zertifikat auch die oben skizzierte rechtliche Wirkung.

Parallel zu den Umstellungen bestehender Zertifikate finden spannende Projekte zur Datenschutzzertifizierung statt, darunter „AUDITOR“. Ziel ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten.

Es lohnt sich, sich mit den Datenschutz-Zertifikaten, die den Vorgaben der DSGVO entsprechen, zu befassen, mehr noch als bisher. Vorgaben zu den Zertifizierungen und für Zertifizierungsstellen werden noch von dem Europäischen Datenschutzausschuss kommen, der mit der DSGVO offiziell ins Leben gerufen werden wird. Bald bekommt die Datenschutz-Zertifizierung dann die ersehnte Bedeutung.

Was sich durch die DSGVO bei Online-Werbung ändert

Fragen zur Datenschutz-Grundverordnung

Was sich durch die DSGVO bei Online-Werbung ändert

16.02.18 - Die Datenschutz-Grundverordnung (DSGVO) enthält keine speziellen Regelungen für Werbung. Das bedeutet aber nicht, dass kein Handlungsbedarf besteht, im Gegenteil. Wer Online-Werbung nutzt, muss einiges prüfen, um sich auf die Datenschutz-Grundverordnung vorzubereiten. Eine große Rolle spielt dabei die Frage nach der Einwilligung oder einer anderen Rechtsgrundlage. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45191844 / Compliance und Datenschutz )