Was fordern die Aufsichtsbehörden bei Zertifizierungen?
Die Aufsichtsbehörden für den Datenschutz in Deutschland haben bereits kommuniziert, was für sie grundsätzlich bei einer Zertifizierung gelten muss:
Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.
Der seit 25. Mai 2018 aktive Europäische Datenschutzausschuss (EDPB) erstellt gegenwärtig Leitlinien zur Zertifizierung. Dabei zeigt sich zum Beispiel, dass man eine Zersplitterung des Marktes für Datenschutz-Zertifikate vermeiden möchte. Entsprechend ist zu erwarten, dass die Bestrebungen in Richtung "Europäisches Datenschutzsiegel" verstärkt werden.
Ebenso ist bereits erkennbar, dass zum Beispiel diese Datenschutzvorgaben in den Kriterienkatalogen für Datenschutz-Zertifikate ein hohes Gewicht haben werden:
Betroffenenrechte (wie das Recht auf Vergessenwerden, das Recht auf Datenübertragbarkeit)
Meldepflichten bei Datenschutzverletzungen
Privacy by Design und Privacy by Default
Sicherheit der Verarbeitung und
Datenschutzfolgenabschätzungen.
Welche Zertifizierungen reichen nicht aus?
Die nationalen Aufsichtsbehörden haben ihre Erfahrungen mit bisherigen Datenschutz-Zertifikaten so beschrieben: "Die Aufsichtsbehörden haben in ihren Kontrollen zwar festgestellt, dass Organisationen oft verschiedenste Zertifikate vorweisen konnten -jedoch war häufig unklar, inwieweit die gesetzlichen Anforderungen an den Datenschutz ausreichend berücksichtigt wurden. Manche bestehende Zertifizierungsverfahren, wie beispielsweise das Informationssicherheitsmanagement nach ISO 27001, decken nur einen Teilbereich des Datenschutzes ab und haben mitunter auch die betroffenen Personen mit ihren Rechten und Freiheiten nicht im Mittelpunkt der Betrachtung."
Kurz gesagt: Eine Zertifizierung nach ISO 27001 ersetzt keine Datenschutz-Zertifizierung.
Im Bereich der Cloud Computing-Testate spielt C5 des BSI (Bundesamt für Sicherheit in der Informationstechnik) eine zunehmend wichtige Rolle. Aber auch ein C5-Testat ersetzt kein Datenschutz-Zertifikat für einen Cloud-Dienst. Das BSI stellt hierzu fest: "Der C5 stellt Sicherheitsanforderungen auf, die auch für den Datenschutz relevant sein können. (…) Die rechtliche Seite des Datenschutzes wird jedoch nicht vom C5 adressiert."