Datenpannen können Unternehmen teuer zu stehen kommen. Es drohen nicht nur hohe Bußgelder durch die DSGVO – auch die Reputation steht auf dem Spiel. Aus diesem Grund ist es für Unternehmen besonders wichtig, Vertrauenswürdigkeit und Transparenz bei der Verarbeitung von personenbezogenen Daten zu vermitteln.
Doch wie weisen Sie einen verantwortungsvollen Umgang mit sensiblen Daten nach? Art. 42 DSGVO sieht eine Zertifizierung vor, die für Verbraucher und Unternehmen Klarheit schaffen soll. Eine Datenschutz-Zertifizierung bringt sowohl für Unternehmen als auch für Verbraucher zahlreiche Vorteile.
Lesen Sie, inwiefern Sie von einer Zertifizierung nach Art. 42 DSGVO profitieren können und worauf Sie beim Zertifizierungsverfahren achten müssen.
Art. 42 DSGVO schafft nun erstmals einen gesetzlichen Rahmen für ein Datenschutz-Zertifikat. Demnach können alle IT-gestützten Verarbeitungsvorgänge von personenbezogenen Daten von Verantwortlichen und von Auftragsverarbeitern zertifiziert werden. Eine DSGVO-Zertifizierung ist für eine Höchstdauer von 3 Jahren gültig und kann anschließend verlängert werden, sofern die geltenden Kriterien weiterhin erfüllt sind.
Art. 42 Abs. 1 DSGVO sieht außerdem vor, dass der Ablauf des Zertifizierungsverfahrens den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung tragen soll. Diese dürften nicht durch unverhältnismäßig hohe Kosten belastet werden.
Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind.
Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder – gemäß Artikel 63 – durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.
Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.
Mit Hilfe einer DSGVO-Zertifizierung können Unternehmen und Behörden belegen, dass ihre Verarbeitungsvorgänge DSGVO-konform sind. Dies hat für Unternehmen und Verbraucher folgende Vorteile:
Eine Zertifizierung nach Art. 42 DSGVO darf ausschließlich von akkreditierten Zertifizierungsstellen nach Art. 43 oder den zuständigen Aufsichtsbehörden erteilt werden. Die Zertifizierung erfolgt freiwillig und über ein transparentes Verfahren.
Für die erfolgreiche Durchführung der DSGVO-Zertifizierung muss ein Verantwortlicher oder ein Auftragsverarbeiter alle erforderlichen Informationen zur Verfügung stellen. Eine erteilte Zertifizierung gemäß Art. 42 DSGVO mindert nicht die Verantwortung für die Einhaltung der DSGVO.
Sollten die einschlägigen Kriterien nicht mehr erfüllt sein, kann die Zertifizierung durch die zuständigen Aufsichtsbehörden oder die Zertifizierungsstellen widerrufen werden. Unternehmen sollten das Thema Datenschutz also nachhaltig in ihre Prozesse integrieren und dessen Umsetzung kontinuierlich überprüfen. Nur so ist gewährleistet, dass alle Anforderungen für die DSGVO-Zertifizierung erfüllt sind.
Mit Art. 42 DSGVO schafft die Datenschutz-Grundverordnung den gesetzlichen Rahmen für eine Datenschutz-Zertifizierung. Für Unternehmen hat dies gleich mehrere Vorteile: Während die Umsetzung aller datenschutzrechtlich relevanten Bedingungen das Datenschutzniveau im Unternehmen erhöht, erzeugt ein seriöses Datenschutz-Zertifikat Transparenz und Vertrauen bei Verbrauchern. Für Unternehmen bedeutet dies einen klaren Wettbewerbsvorteil.
Art. 42 DSGVO befasst sich mit datenschutzspezifischen Zertifizierungsverfahren und daraufhin zu vergebenden Prüfzeichen und Siegeln. Dadurch soll gleich erkennbar sein, ob ein Unternehmen, Produkt oder eine Dienstleistung den datenschutzrechtlichen Standards der DSGVO entspricht.
Wenn Ihre Kunden beispielsweise in Ihrem Onlineshop einkaufen möchten, mit Ihrem Unternehmen einen Dienstleistungsvertrag abschließen wollen oder wenn Sie mit anderen Firmen in Kontakt treten, ist für Ihr Gegenüber oftmals nicht ersichtlich, ob Sie großen Wert auf Einhaltung der Datenschutzregelungen legen. Aus diesem Grund fördert die EU in der DSGVO die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie die Vergabe von Datenschutzsiegeln und -prüfzeichen durch in Art. 43 DSGVO näher beschriebene, zertifizierte Stellen. Diese Zeichen werden für drei Jahre vergeben und können dann erneuert werden. So ist für jeden nach außen erkennbar, dass Ihr Unternehmen in Übereinstimmung mit der DSGVO bzw. mit anderen nationalen Gesetzen agiert, was zur Gewinnung eines größeren Kundenstamms, einem Wettbewerbsvorteil sowie zu größerem Vertrauen bei Ihren Kunden führen kann.
Es existieren weder ein einheitliches Prüfzeichen noch eine zentrale Prüfstelle, die ein Siegel gemäß Art. 42 DSGVO an alle Unternehmen vergibt. Aus diesem Grund ist es etwas kompliziert, den Überblick zu behalten. Eine Übersicht über Siegel, die eine allgemeine datenschutzbezogene Zertifizierung kennzeichnen, erhalten Sie beispielsweise auf der Webseite der „Stiftung Datenschutz“. Gemäß Art. 42 DSGVO sollte auch der Europäische Datenschutzausschuss über eine solche Auflistung verfügen. Derzeit ist ein derartiges Dokument auf der Webseite des Ausschusses jedoch noch nicht vorhanden.
Eine Datenschutzzertifizierung nach Art. 42 DSGVO vergibt beispielsweise der TÜV Rheinland nach einer erfolgreichen Überprüfung der datenschutzrechtlichen Standards in Ihrem Unternehmen (Datenschutzaudit). IT-Produkte und IT-basierte Dienste können zudem mit dem „EuroPriSe“-Siegel ausgezeichnet werden. Für die Überprüfung der Sicherheit von Cloudsystemen eignet sich etwa der „Trusted Cloud“-Standard, welcher vom Bundesministerium für Wirtschaft entwickelt wurde und von der Stiftung Datenschutz verwaltet wird.
Wenn Sie nun darüber nachdenken, dass auch Ihr Unternehmen ein Prüfzeichen gemäß Art. 42 DSGVO erhalten sollte, so stehen wir Ihnen gerne beratend zur Seite. datenschutzexperte.de vergibt im Rahmen der Leistungspakete zudem ebenfalls ein eigenes Datenschutzsiegel, durch welches Sie zeigen, dass Ihr Unternehmen durch uns betreut wird und sich daher professionell und sorgfältig um Datenschutz kümmert. Weitere Informationen finden Sie unter: https://www.datenschutzexperte.de/unsere-leistungen/datenschutzsiegel/.
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr