Wir erklären Ihnen zusammengefasst den Vorgang einer DS-GVO-Zertifizierung für digitale Produkte und Dienstleistungen.
Stand Januar 2022
DS-GVO Zertifizierung für IT-Produkte und Dienstleistungen
Einleitung
Dieses Jahr werden erste Stellen für die Zertifizierung von IT-Produkten und –Dienstleistungen akkreditiert. Diese Zertifizierung basiert auf der Datenschutzgrundverordnung und soll sicherstellen, dass digitale Produkte und Dienstleistungen datenschutzkonform umgesetzt wurden. Dafür wurde eine einheitliche Grundlage für ein europäisches Akkreditierungs- und Zertifizierungsverfahren geschaffen.
Die Einrichtung einer DS-GVO-Zertifizierung wurde bereits seit 2016 immer wieder diskutiert, jedoch wurde man sich bisher nicht einig über die formalen und technischen Voraussetzungen. Diese Uneinigkeit wurde nun verwunden und man erwartet erste Zertifikatsausstellungen in der ersten Jahreshälfte.
Doch wo erhält man für seine Produkte und Dienstleistungen oder sein Unternehmen die entsprechenden Zertifikate und was sind die notwendigen Voraussetzungen.
Welche Voraussetzungen muss man für den Erhalt eines Zertifikats erfüllen?
Haben Sie ein digitales Produkt oder eine digitale Dienstleistung, welches DS-GVO-konform zertifiziert werden soll, können Sie sich künftig an eine entsprechende Zertifizierungsstelle wenden.
Dafür stellen Sie einen Antrag für das Produkt oder die Dienstleistung, welche Sie zertifizieren lassen wollen. Im Rahmen der Überprüfung durch die Zertifizierungsstelle müssen kurz zusammengefasst folgende Angaben vom Antragssteller vorgelegt werden:
- Beschreibung des Zertifizierungsgegenstands
- Angaben über die Verarbeitungsvorgänge u.a. hinsichtlich des Zwecks, des Empfängers oder welche Art von Daten verarbeitet werden
- Angabe, ob personenbezogene Daten als Verantwortlicher oder als Auftragsverarbeiter verarbeitet werden
- Angaben über ein Drittlandstransfer.
Im Anschluss erfolgt das Zertifizierungsprüfverfahren. Dieses Verfahren stellt eine datenschutzrechtliche Überprüfung dar, die geeignet sein muss, die ordnungsgemäße Umsetzung datenschutzrechtlicher Anforderungen sowie die Wirksamkeit technisch-organisatorischer Maßnahmen für den Zertifizierungsgegenstand festzustellen und zu belegen.
Dies erfolgt durch Inspektion aller relevanten Geschäftsprozesse, Dokumentenprüfungen, technischen und juristischen Analysen oder Vor-Ort-Begehungen.
Sofern nicht gesondert geprüft und zugelassen, gilt die Zertifizierung zunächst nur deutschlandweit.
Hinsichtlich der Kosten lässt sich bisher kein genauer Wert abzeichnen, da es maßgebend auf den Umfang des Prüfungsverfahren ankommt. Dies hat zugleich unmittelbar Auswirkungen auf die Dauer der Bearbeitung.
Wie lange das Zertifikat wirksam ist, wurde nicht konkret benannt. Beachtet man die bisherigen Abläufe im Rahmen von Zertifizierungen nach der DS-GVO dann gilt gem. Art. 42 Abs.7 DS-GVO das Zertifikat für drei Jahre und kann unter denselben Bedingungen auch wieder verlängert werden.
Welche Anforderungen werden an die Zertifizierungsstellen gestellt?
Damit der zuvor erläuterte Zertifizierungsprozess vorgenommen werden kann, muss sich die Zertifizierungsstelle akkreditieren lassen. Der Akkreditierungsprozess einer Zertifizierungsstelle läuft gem. Art. 42, 43 DS-GVO ab und umfasst sechs Prüfungsphasen.
In Deutschland prüft die Deutsche Akkreditierungsstelle (DAkks) mit der entsprechenden Landesdatenschutzbehörde eingegangene Anträge und nimmt bei Erfüllung aller Prüfungsphasen sowie unter Berücksichtigung der Einschätzung des europäischen Datenschutzausschusses (EDSA) eine Akkreditierung vor.
In NRW haben bereits mehrere Unternehmen diesen Akkreditierungsprozess beantragt und fast vollständig durchlaufen, sodass bald einige Zertifizierungsstellen ihre Arbeit aufnehmen können.
Fazit – Braucht man das?
Für ein Unternehmen kann sich die Zertifizierung im Rahmen von Kundengewinnung und Werbemaßnahmen durchaus vorteilhaft auswirken. Die betroffenen Personen erhalten somit einen schnellen Überblick über das Datenschutzniveau einschlägiger Produkte oder Dienstleistungen.
Durch eine Zertifizierung wird somit das Vertrauen von Kunden in das Produkt schneller gewonnen als ohne. Denn man erhält nicht nur einen Datenschutznachweis auf dem Papier, sondern es wird auch gewährleistet, dass die technischen Voraussetzungen datenschutzkonform eingerichtet wurden.
Andererseits bedeutet es natürlich mehr Arbeit und mehr Kosten. Zwingend erforderlich ist eine Zertifizierung nicht. Daher ist es eine Frage der Abwägung seitens des Unternehmens, ob dieser Weg beschritten wird oder eben nicht. Bei kleineren oder mittelgroßen Unternehmen ist eine Abwägung zwischen Kosten und Nutzen einer Zertifizierung besonders ausschlaggebend, da diese in der Regel hohe Zertifizierungskosten nicht aufwenden können. Daher soll dieser Umstand im Zertifizierungsverfahren besonders berücksichtigt werden gem. Art. 42 Abs.1 S.2 DS-GVO.
Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.