Der lange Weg zur Akkreditierung nach Art. 42 DSGVO
- PDF / 271,338 Bytes
- 5 Pages / 595.276 x 790.866 pts Page_size
- 105 Downloads / 302 Views
Alisha Gühr, Irene Karper, Sönke Maseberg
Der lange Weg zur Akkreditierung nach Art. 42 DSGVO Praxiserfahrungen und Situationsbericht Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) liegen seit 2018 Vorgaben für ein gesetzliches Datenschutz-Zertifikat vor. Bevor aber die ersten Zertifikate nach Art. 42 DSGVO erteilt werden können, müssen auf Seiten aller Beteiligten diverse Hürden genommen werden. 1 Einleitung Dieser Beitrag berichtet von unseren Aktivitäten für die Zulassung als akkreditierte Zertifizierungsstellen, welche DatenschutzZertifikate gem. Art. 42 DSGVO erteilen soll. In einem ersten Schritt muss dazu ein sogenanntes Konformitätsbewertungsprogramm samt Kriterien erstellt und von mehreren Behörden abgenommen werden; dieses bildet die Basis für die darauffolgende Zulassung von Zertifizierungsstellen. Danach können Daten-
Alisha Gühr Auditorin datenschutz cert GmbH
E-Mail: [email protected]
Dr. Irene Karper Zertifizierungsstelle datenschutz cert GmbH
E-Mail: [email protected]
Dr. Sönke Maseberg Geschäftsführer datenschutz cert GmbH
E-Mail: [email protected] DuD • Datenschutz und Datensicherheit
10 | 2020
schutz-Zertifikate erteilt werden. Zur besseren Einordnung des Themas beginnen wir mit einem kurzen historischen Abriss.
2 Vor der DSGVO Überlegungen zu einem Datenschutz-Zertifikat gab es ja viele: Auf gesetzlicher Ebene etwa im früheren Bundesdatenschutzgesetz (BDSG a.F.), wo 2009 in § 9a ein Datenschutz-Audit versprochen wurde, mangels Ausführungsbestimmungen aber niemals kam. Das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein1 ist sicherlich als Vorreiter und Benchmark anzusehen, aber auch dieses Siegel hat unter dem Einfluss der DSGVO den Dienst vorerst eingestellt. Es bleiben aktuell nur proprietäre Gütesiegel, wie etwa das international anerkannte und beachtenswerte European Privacy Seal der EuroPriSe GmbH2. Und es gab natürlich noch viele andere proprietäre Siegel, insb. zur Auftragsdatenverarbeitung gem. § 11 des früheren BDSG. Diese Siegel und Zertifikate unterlagen jedoch keiner Qualitätskontrolle von außen. Die Vertrauenswürdigkeit der Zertifikate war nicht in allen Fällen gesichert, die Kompetenz der Zertifizierungsstellen nicht geprüft. Lediglich die Stiftung Datenschutz hatte und hat es sich zur Aufgabe gemacht, hier einen Marktüberblick zu schaffen3. Dieser „Wildwuchs“ an Zertifikaten sollte mit der DSGVO eigentlich ein Ende haben, denn in Art. 42 und 43 DSGVO werden endlich verbindliche und unmittelbar in den EU-Mitgliedstaaten geltende Regelungen für Datenschutz-Zertifizierungen getroffen.
2.1 Intention der DSGVO Die DSGVO [1] definiert u.a. verschiedene Anforderungen an Verantwortliche und Auftragsverarbeiter. Zudem ist ein Paradigmenwechsel eingeführt worden, wonach Verantwortliche – 1 Details online verfügbar unter: www.datenschutzzentrum.de/guetesiegel/ (letzter Abruf: 07/2020) 2 Details online verfügbar unter: www.european-privacy-seal.eu (letzter Abruf: 07/2020) 3 Online verfügbar un
Data Loading...
