Symbolbild für DSGVO-Zertifizierung

DSGVO-Zertifizierung: Kommt jetzt ein Europäisches Datenschutzsiegel?

Die DSGVO gilt jetzt schon seit einigen Jahren, es gibt jedoch noch keine DSGVO-Zertifizierung. Unternehmen stehen daher immer noch vor der Frage, wie sie Vertrauen schaffen können. Nun könnte ein europäisches Datenschutzsiegel kommen. Wir zeigen Ihnen in diesem Artikel, was sich getan hat.

2023-01-10

Logo

Die Datenschutzgrundverordnung, kurz DSGVO, gilt jetzt schon seit einigen Jahren. Dennoch stehen Unternehmen immer noch vor der Frage, wie sie Vertrauen schaffen können, denn seit Einführung der DSGVO ist es nicht gelungen, eine entsprechende Zertifizierung, etwa ein Europäisches Datenschutzsiegel, zu etablieren, mit der Unternehmen die Einhaltung des Datenschutzes nachweisen können.

Auch Aufsichtsbehörden sprechen sich dafür aus, denn für sie wäre es eine Erleichterung, wenn unabhängige Dritte eine Zertifizierung nach DSGVO vornehmen könnten. Die Realität ist momentan aber eine andere: Wer nachweisen will, dass er sich an DSGVO-Standards hält, bestätigt dies einfach oder verweist auf ein bestehendes Datenschutzzertifikat aus Zeiten des Bundesdatenschutzgesetzes. Nun könnte ein europäisches Datenschutzsiegel kommen, das vieles vereinfacht. Wir zeigen Ihnen in diesem Artikel, was sich getan hat.

Sie benötigen datenschutzrechtliche Unterstützung? Unser Team besteht aus mehr als 90 Datenschutzexperten, die Sie gerne umfassend beraten. Nehmen Sie jederzeit Kontakt zu uns auf.

Das Wichtigste in Kürze

  • Ein Datenschutz-Zertifikat dient der Überprüfung eines Produktes oder eines Unternehmens hinsichtlich des Datenschutzes. So können Kunden sichergehen, dass die Standards der DSGVO auch vollständig umgesetzt und eingehalten werden.
  • Nach einem erfolgreichen Zertifizierungsprozess, meist in Form eines Datenschutz-Audits, wird ein Zertifikat oder ein Gütesiegel vergeben. Dafür verantwortlich sind Zertifizierungsstellen, die ihrerseits von den zuständigen Behörden genehmigt werden müssen.
  • Nun hat die Datenschutzbeauftragte des Landes NRW die Kriterien der EuroPriSe-Zertifizierung genehmigt und den Weg frei gemacht, dass Auftragsverarbeiter im Sinne der DSGVO zertifiziert werden können.
  • Auch der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme zur Genehmigung eines Europäischen Datenschutzsiegels angenommen. Ein solches Siegel könnte daher in naher Zukunft Wirklichkeit werden.

Was ist eine Datenschutz-Zertifizierung?

Datenschutz-Zertifizierung bezeichnet ein Verfahren, das überprüft, ob ein Produkt, eine Dienstleistung oder ein ganzes Unternehmen die jeweilig geltenden Datenschutzbestimmungen erfüllt und umsetzt (z.B. die Regeln des BDSG, einer ISO-Norm oder der DSGVO). Besteht das Produkt oder Unternehmen diese Überprüfung, wird durch die Zertifizierungsstelle ein Zertifikat oder ein Gütesiegel ausgestellt.

Eine solche Zertifizierung nützt zum einen den Kunden des Unternehmens, da diese nun eine objektive Bewertung der Datenschutzstandards des Unternehmens vorfinden und sich darauf verlassen können. Das ist insbesondere bei Auftragsverarbeitungen von großer Wichtigkeit, denn Kunden, die ihre Daten an Auftragsverarbeiter weitergeben, haften gleichermaßen für Verstöße gegen den Datenschutz wie das beauftragte Unternehmen. Es kann zudem ihrer Reputation auf dem Markt schaden, wenn Datenpannen oder andere Vorfälle mit Daten publik werden.

Ebenso ist ein solches Siegel oder ein Zertifikat auch vorteilhaft für Auftragsverarbeiter. Dieser kann sicher nachweisen, dass er die Datenschutzstandards erfüllt und damit effektiv für sich werben. Da Kunden von Auftragsverarbeitern viel Wert auf einen hohen Datenschutzstandard legen, macht eine Zertifizierung Unternehmen in der Branche besonders attraktiv für ihre Kunden.

Voraussetzung ist, dass es sich um eine anerkannte und verlässliche Prüfung handelt und damit um ein vertrauenswürdiges Zertifikat. Genau das fehlt aber bisher bei der Zertifizierung der DSGVO.

Europäisches Datenschutzsiegel: Deshalb ist es für Unternehmen wichtig

Viele Unternehmen warten sehnsüchtig auf ein Europäisches Datenschutzsiegel, welches ihnen die konforme Umsetzung der DSGVO bescheinigt. Und auch die zuständigen Aufsichtsbehörden würde dies erheblich entlasten.

Neben dem Werbeeffekt, den Unternehmen mit einer solchen Zertifizierung erzielen wollen, geht es vor allem um Transparenz und Sicherheit. Durch die Komplexität der DSGVO ist es schwierig, den Überblick über alle Vorschriften zu behalten. Daher kann es auch für Unternehmen hilfreich sein, von einer objektiven Seite eine zuverlässige Rückmeldung zum Datenschutz in ihrem Betrieb zu erhalten.

Für Kunden (und deren Kunden) geht es vor allem um die Sicherheit der personenbezogenen Daten. Gegenstand der Verarbeitung sind häufig sehr sensible Daten, die es zu schützen gilt. Ein Nachweis für die Einhaltung der DSGVO bildet daher die Basis einer guten Zusammenarbeit mit Auftragsverarbeitern.

DSGVO: Wie wurden Unternehmen bis dato zertifiziert?

Die Behörden arbeiten seit längerem an der Entwicklung länderübergreifender Kriterien, damit im Vollzug der zuständigen Aufsichtsbehörden eine einheitliche Bewertung möglich ist. Es ist allerdings seither nicht gelungen, sich auf solche zu einigen. Eine einheitliche deutsche oder gar europäische Zertifizierung steht daher immer noch aus.

Um eine unübersichtliche Vielzahl von verschiedensten Zertifizierungen zu vermeiden, wurde daher bisher auf Zertifikate durch Privatunternehmen verzichtet. Ziel war es, hierdurch eine gewisse Transparenz und Unabhängigkeit zu erhalten. 

Aktueller Stand zum Europäischen Datenschutzsiegel

Der Europäische Datenschutzaussschuss (EDSA) will ein Europäisches Datenschutzsiegel nun endlich ins Rollen bringen: Er hat eine Stellungnahme zur Genehmigung der sogenannten Europrivacy-Zertifizierungskriterien angenommen.

Die Europrivacy-Zertifizierung besteht aus Kriterien, die von der luxemburgischen Datenschutzbehörde (DPA) entwickelt und vorgelegt wurden. Es handelt sich um ein allgemeines System, welches eine Vielzahl von Vorgängen erfassen und bewerten können soll. Darunter fallen nicht nur Verarbeitungsvorgänge von Auftragsverarbeitern, sondern auch solche, die von Verantwortlichen aus verschiedenen Branchen selbst durchgeführt werden. Spezifische Kriterien sorgen dafür, dass der Prozess trotz des großen Anwendungsbereiches skalierbar und anwendbar wird.

Auch wenn die Kriterien in Luxemburg entwickelt wurden, soll dieses Siegel in allen EU-Mitgliedstaaten anwendbar sein und umgesetzt werden. Es wird zudem von allen Unternehmen und Behörden innerhalb der Europäischen Union anerkannt, wenn ein Unternehmen ein solches besitzt.

Es ermöglicht somit, dass alle Unternehmen innerhalb der EU mit den gleichen Standards geprüft und zertifiziert werden und damit das Europäische Datenschutzsiegel mehr Konformität und Transparenz hinsichtlich des Datenschutzes erreicht.

Entwicklung in Deutschland

Auch in Deutschland gibt es Fortschritte: Einige Datenschutzbeauftragte der Länder, darunter diejenige des Landes NRW, haben nun erstmals Kriterien zur Zertifizierung von Auftragsverarbeitern festgelegt. Damit haben Unternehmen, die die Kriterien nachweislich erfüllen, die Chance, sich als offizielle Zertifizierungsstelle akkreditieren zu lassen.

Es handelt sich um das Zertifikat „European Privacy Seal“ (EuroPriSe), welches Auftragsverarbeitern bescheinigen soll, sich im Einklang mit der DSGVO zu betätigen.

Wie lange das Verfahren zur Akkreditierung und damit die Zertifizierungsmöglichkeit dauert, ist noch ungewiss.

Fazit

Ein Europäisches Datenschutzsiegel bietet viele Vorteile: Transparenz und Vertrauen für Verbraucher und andere Unternehmen, eine Vergleichbarkeit und Gleichwertigkeit im Wettbewerb sind nur einige davon. Auch für die zuständigen Aufsichtsbehörden könnte ein solches Siegel die Arbeit erleichtern und ein Dschungel aus Zertifikaten und Siegeln vermieden werden. Auch wenn es viele Unklarheiten gibt, steht eins jedoch fest: Ein länderübergreifendes Datenschutzsiegel wird kommen.

Sie brauchen Unterstützung beim Datenschutz in Ihrem Unternehmen?

Gerne beraten unsere Rechtsexperten Sie zu Ihrem individuellen Fall. Mithilfe unserer Expertise konnten wir schon zahlreichen Unternehmen in Europa dabei helfen, die Vorgaben der DSGVO umzusetzen. Kommen Sie für eine unverbindliche Erstberatung jederzeit auf uns zu.

Hier mehr erfahren

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 10.01.2023

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 2000 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr