Hintergrund

Nach zahlreichen öffentlich bekannt gewordenen Datenpannen gewinnt Datenschutz in der Bevölkerung zunehmend an Bedeutung. Der Wunsch von Kunden, ihre Daten in sichere Hände zu geben wächst dabei stetig mit der Komplexität der Verarbeitungen sowie der Sensibilität der verarbeiteten Daten. Eine unabhängige Bewertung über den datenschutzrechtlichen Standard des Unternehmens kann dem Kunden somit Aufschluss darüber geben, wie mit den Daten umgegangen wird. Häufig ist ein Kunde jedoch nicht in der Lage, das Datenschutzniveau eines Unternehmens zu beurteilen, da er als Außenstehender weder die Kenntnisse noch die Mittel hat, hierüber Auskunft zu bekommen, geschweige denn eine objektive Bewertung zu erhalten. Die öffentlich einsehbare Datenschutzerklärung verschafft insofern ebenfalls kaum Abhilfe. Einen Ausweg aus diesem Dilemma verspricht eine Datenschutz-Zertifizierung. Den entscheidenden Grundstein für ein solches Verfahren legte der Gesetzgeber mit Artikel 42 und 43 DSGVO, welche die Einführung von datenschutzspezifischen Akkreditierungs- und Zertifizierungsverfahren behandeln. Ein nach der DSGVO ausgestelltes Zertifikat soll einen Nachweis darüber erbringen, dass datenschutzrechtliche Anforderungen vom Halter der Zertifizierung eingehalten werden. Hierzu zählt beispielsweise, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen zur Sicherheit der Daten vorsieht, vgl. Art. 24 Abs. 3 DSGVO. Neben staatlichen Stellen ist ein privatwirtschaftliches Modell vorgesehen: eine Akkreditierung durch die nationale Akkreditierungsstelle gem. ISO/IEC 17065 im gemeinsamen Verfahren mit der zuständigen Datenschutz-Aufsichtsbehörde. Als Vorreiter am Markt durchläuft die CertNex GmbH momentan diesen Akkreditierungsprozess.

Chancen und Auswirkungen einer DSGVO-Zertifizierung

Aus unternehmerischer Sicht drängt sich natürlich die Frage nach dem Mehrwert einer solchen Zertifizierung auf. Aus unserer Sicht bietet eine DSGVO-Zertifizierung insbesondere folgende Vorteile:

  • Für Unternehmen bedeutet die Zertifizierung nicht nur ein Plus an Kundenfreundlichkeit und Effizienz, sondern auch die Vermeidung weiterer Kosten durch mehrfache Bewertungen.
  • Durch die Prüfung unabhängiger Gutachter steigt das Datenschutzniveau insgesamt. Zudem verstärkt sich intern die Motivation, Datenschutzthemen umzusetzen, wenn davon eine Zertifizierung abhängt.
  • Bei der Einbeziehung von Auftragsverarbeitern kann ein DSGVO-Zertifikat als Nachweis für die Erfüllung von Pflichten herangezogen werden, sodass ein Verweis auf die Zertifizierung genügt und eine eigenständige Prüfung entbehrlich ist.
  • Datenschutz-Zertifikate können als Qualitätsnachweis von Kunden gefordert werden, etwa in Ausschreibungen. Damit stellen sie u.U. Marktzutrittsvoraussetzungen sowie jedenfalls einen Vorteil gegenüber nicht-zertifizierten Mitbewerbern dar.
  • Aufsichtsbehörden verlangen immer häufiger den Nachweis für die Erfüllung von DSGVO-Anforderungen. Ein akkreditiertes Zertifikat ist hierbei hilfreich. Sollte die Behörde dennoch selbst prüfen wollen, beruhigt die Tatsache, dass im Vorfeld bereits eine andere zugelassene Stelle geprüft hat.
  • Die DSGVO sieht Strafen und Bußgelder vor. Demzufolge sind Datenschutz-Verstöße relevant für das interne Risikomanagement. Ein DSGVO-Zertifikat wird im Rahmen der Verhängung von Geldbußen und Festsetzung der Höhe mit einbezogen und kann als ein mildernder Umstand berücksichtigt werden, vgl. Art. 83 Abs. 2 lit. j DSGVO.

Fazit und Ausblick

Vor dem Hintergrund, dass Vertrauen, Sicherheit und Transparenz mitunter die entscheidenden Eigenschaften sind, die Unternehmen für den eigenen Erfolg, aber auch den ihrer Kunden vor allem im Zeitalter der Digitalisierung garantieren sollten, ist eine DSGVO-Zertifizierung dringend anzuraten.
Das CertNex-Zertifikat bietet als das neue Gütesiegel des Datenschutzes zukünftig eine Möglichkeit, diese Qualitätsmerkmale sowie eine DSGVO-Konformität nachzuweisen. Gegenstand des Zertifizierungsverfahrens sind Verarbeitungsvorgänge von personenbezogenen Daten, die Automobilzulieferer im Bereich der eMobility im Rahmen ihrer Tätigkeit ausführen. Zu diesem Zweck hat ein interdisziplinäres Expertenteam an der Entwicklung, Weiterentwicklung und Umsetzung eines entsprechenden Kriterienkatalogs gearbeitet. Dieser überführt die Anforderungen des Gesetzes in geeignete und prüffähige Zertifizierungskriterien. Damit bildet er die Basis der Zertifizierung und enthält ebenso weitere Erläuterungen, Umsetzungshinweise und Nachweise. Sie analysieren den datenschutzrechtlichen Ist-Zustand des Unternehmens und gleichen diesen mit den gesetzlichen Anforderungen ab. Die Erteilung des CertNex-Zertifikats belegt sodann diese Datenschutzkonformität und trägt die damit verbundene hohe Anerkennung auch nach außen. Aufgrund der internationalen Vergleichbarkeit und Anerkennung der angewandten Prüfmaßnahmen, Inspektionen und Zertifizierung wird das Vertrauen der Kunden in das zertifizierte Unternehmen gestärkt.

Share.

Dr. Alexander Deicke ist Rechtsanwalt und Unternehmensberater. Schwerpunktmäßig betreut er als Legal Interim Manager die Umsetzung effizienter Strukturen und Prozesse im Bereich der sog. Soft Law Themen wie Compliance, Risk Management, Contract Management und Datenschutz (Data Protection Interim Management). Hierbei reicht das Branchenspektrum von der Finanzwirtschaft über Marktforschung, IT und Medien bis hin zum Maschinenbau. Außerdem ist er Gründer und Geschäftsführer einer auf wirtschaftsrechtliche Beratung ausgerichteten Anwaltskanzlei in Ludwigsburg.

Leave A Reply

IT Freelancer Magazin Newsletter

Verpasse keine IT Freelancer News mehr! Jetzt zum Newsletter anmelden.

IT Freelancer Magazin F-Icon