DSGVO-Zertifikat: Was es ist und was es bringt

Ein DSGVO-Zertifikat bestätigt die erfolgreiche Umsetzung der DSGVO im Unternehmen bzw. einer Organisation. Wir zeigen Ihnen im Detail, wie ein Audit abläuft. [...]

Ein DSGVO-Zertifikat besteht natürlich nicht nur aus der Behauptung, dass die DSGVO umgesetzt wird, sondern dokumentiert in Form eines nachvollziehbaren Audits, dass

– die Organisation
die Prozesse
– die TOMs (Technisch / Organisatorische Maßnahmen)

nicht nur eingeführt wurden, sondern auch gelebt werden.

Im Rahmen des vorgelagerten Audits werden auch die DSGVO relevanten rechtlichen Rahmenbedingungen geprüft, wie DSGVO-spezifische Mitarbeiter-Vereinbarungen, Verträge mit Auftragsverarbeitern, Datenschutzerklärung auf der Webseite, Formulierung einer Einwilligungs-Erklärung u.v.m.

Wer darf ein DSGVO-Zertifikat ausstellen?

Zertifikat“ ist kein gesetzlich geschützter Begriff, folgerichtig darf jeder ein Zertifikat ausstellen. Die in der DSGVO im Artikel 43 vorgesehenen Zertifizierungsstellen sind aktuell nicht eingerichtet.

Unabhängig davon, sind nur Ziviltechniker kraft ihrer gesetzlichen Verankerung als „Personen öffentlichen Glaubens“ befugt, Urkunden auszustellen, z.B. über die Tatsache, dass ein Unternehmen die DSGVO umgesetzt hat und die Prozesse datenschutzkonform gelebt werden. Ziviltechniker werden deshalb auch als „Technische Notare“ bezeichnet.

Ziel eines Datenschutz-Audits ist es, die Einhaltung der gesetzlichen Bestimmungen im Bereich des Datenschutzes zu überprüfen, allfällige Schwächen zu identifizieren und technische und/oder organisatorische Maßnahmen zu planen und einzuführen, um diese zu beseitigen.

Kriterien und Ablauf eines DSGVO-Audit

Ein Audit muss so aufgebaut sein, dass reproduzierbare Ergebnisse erzielt und protokolliert werden und diese nachvollziehbar überprüfbar sind. Verfahren, Vorgehensweisen und Anforderungen, die als Referenz zur Prüfung der Auditnachweise verwendet werden dienen dabei als Datenschutz-Auditkriterien.

Ablauf eines Audits

Während des Audits muss sich der Auditor ein objektives Bild über die Wirksamkeit von Verfahren, Vorgehensweisen und Maßnahmen machen. Dazu sind alle Dokumente erforderlich, welche die Einhaltung der oben genannten Kriterien aufzeigen können. Dazu gehören auch Aufzeichnungen wie z.B. Aktennotizen oder auch Beobachtungen und Auditfeststellungen.

Für den Fall, dass festgestellt wird, dass die Kriterien nicht eingehalten werden, wird die Nichteinhaltung als Auditfeststellung protokolliert.

Auditschlussfolgerung

Nach Abschluss des Audits dokumentiert der Auditor die Schlussfolgerungen. Neben den Auditzielen werden die  Ergebnisse des Audits zusammengefasst.

Häufig werden bei Erstaudits nicht alle Auditziele erreicht. Die Abweichungen sind in Form von Auditfeststellungen protokolliert und als Verbesserungspotentiale dokumentiert.

DSGVO-Zertifikat: wozu?

Die DSGVO verpflichtet die Unternehmen hinsichtlich Datenschutz zur Selbstverantwortung. Im allgemeinen Sprachgebrauch wird sie als „Rechenschaftspflicht“ oder „Accountability“ bezeichnet. Verantwortlichen müssen die Konformität mit der DSGVO nachzuweisen, insbesondere durch genehmigte Verhaltensregeln oder Zertifizierungsverfahren (siehe Art 24 Abs 3 DSGVO). Artikel 42 regelt die datenschutzspezifische Zertifizierungsverfahren und Datenschutz-Siegel bzw Datenschutz-Prüfzeichen.

DSGVO-Zertifikat für wen?

Generell stellt sich die Frage: Wem dient ein Zertifikat über einen erfolgreichen DSGVO-Audit?
Im Allgemeinen lassen sich interne und externe Ziele unterscheiden:

Interne

  • Sensibilisierung der eigenen Mitarbeiter dass der Datenschutz ernstzunehmen ist, um etwaige künftige Datenschutzverletzungen aus Organisationssicht zu vermeiden bzw. im Anlass-Fall in die richtigen Bahnen zu lenken

Extern:

  • Die Publikation in Räumlichkeiten mit Kundenkontakt bzw. auf der Webseite vermittelt Transparenz und unterstreicht die Vertrauenswürdigkeit in das Unternehmen.Darüber hinaus kann das Zertifikat bei Interaktion mit der Datenschutzbehörde als erstes Dokument vorgelegt werden. Das Zertifikat beweist, dass Datenschutz ernst genommen wird und das Unternehmen die Vorgaben der DSGVO einhält und lebt.

Üblicherweise wird im Zuge eines Erstgesprächs der Status ermittelt, und allfällige Lücken werden in einer Gap-Liste dokumentiert. Prozesse, die noch nicht DSGVO-konform sind, werden im Sinne des Datenschutzes optimiert, im Anschluss wird der Status der DSGVO-Umsetzung geprüft und zertifiziert.

Ein Audit stellt immer nur einen Snapshot (Momentaufnahme) dar. Um das gewünschte Niveau zu erreichen und dann auch halten zu können, sind regelmäßige Wiederholungen alle 1-2 Jahre erforderlich.

Je länger der Abstand zwischen den Audits ist, um so stärker wird das Bewusstsein für das Thema sinken. Knapp vor dem Rezertifizierungs-Audit werden erst Maßnahmen gesetzt, der Abstand sollte daher keinesfalls länger als 2 Jahre betragen. Die Effektivität der Prozesse und der TOMs  (und damit das Qualitätsniveau) ist somit nicht dauerhaft sichergestellt.

Obige Darstellungen zeigen eindrucksvoll, dass das Qualitätsniveau der Datenschutz-Maßnahmen bei längeren Audit-Intervallen – z.B. 2 Jahre stärker abnimmt (Diagramm rechts) als bei kürzeren Intervallen – zB 6 Monate im Beispiel links. Kürzere Intervalle bedeuten natürlich einen Mehraufwand, allerdings kann damit ein höherer Qualitäts-Level erreicht werden.

Gliederung eines DSGVO-Audits

Die nachfolgende Abbildung zeigt die Gliederung des Audits nach Themenschwerpunkten Rechtliches, Organisatorisches, Technisches (Sicherheitsmaßnahmen) und Spezialfällen.

Muster-Zertifikat

Die folgende Abbildung zeigt das Deckblatt eines DSGVO-Zertifikats als Muster. In der Langfassung werden die Audit-Protokolle zusammengefasst.

Schlussbemerkung

Solange niemand für DSGVO-Audits akkreditiert ist, sind Ziviltechniker die einzige Berufsgruppe, die befugt ist, Zertifikate mit Urkunds-Charakter auszustellen. Andere Zertifikate fallen unter private „Haus-Zertifikate“ ohne jeglichen amtlichen Charakter.

Das Tagebuch wird zur Verfügung gestellt von

 

Begehren werden oft an irgendeinen Mitarbeiter des Unternehmens gesendet (c) CW

 

Die bisherigen Folgen:

(9) Betroffenen-Prozesse im Detail
(8) 
Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*