FAQ

Welche Datenschutz-Zertifikate passen zu DSGVO und GDPR?

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Mit der Datenschutz-Grundverordnung (DSGVO) werden Zertifikate wichtiger denn je. Doch welche Zertifikate und Zertifizierer erfüllen die Anforderungen?

Zertifizierung und Zertifikate sind keine neuen Themen im Datenschutz. Schon seit vielen Jahren verleihen Zertifizierungsstellen Datenschutz-Zertifikate, präsentieren Unternehmen ihre jeweilige Zertifizierung auf ihrer Website und suchen Kunden nach Orientierung und Unterstützung, welcher Anbieter nachweislich über das notwendige Datenschutzniveau verfügt.

Datenschutz-Zertifizierungen, die noch auf dem alten Bundesdatenschutzgesetz basieren, müssen gemäß den Anforderungen der DSGVO angepasst werden.
Datenschutz-Zertifizierungen, die noch auf dem alten Bundesdatenschutzgesetz basieren, müssen gemäß den Anforderungen der DSGVO angepasst werden.
Foto: bestfoto77 - shutterstock.com

Was hat sich im Datenschutz bei Zertifikaten geändert?

Das alte Bundesdatenschutzgesetz, das zum 25. Mai 2018 seine Gültigkeit verloren hat und durch die Datenschutz-Grundverordnung (DSGVO / GDPR) in Verbindung mit dem neuen Bundesdatenschutzgesetz (BDSG) ersetzt wurde, verlangte zum Beispiel im Fall der Auftrags(daten)verarbeitung, dass sich "der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen" hatte. Nicht nur im Fall von Cloud Computing, das in aller Regel eine Auftragsverarbeitung darstellt, war dies keine leichte Aufgabe.

Das alte BDSG sah aber auch eine Hilfe vor, in §9a BSDG (alt) hieß es: "Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen." Das geplante Gesetz über Datenschutzaudits wurde jedoch nie Realität.

Trotzdem gab und gibt es eine Vielzahl an Datenschutz-Zertifikaten, die die Stiftung Datenschutz übersichtlich zusammengestellt hat. Auch Aufsichtsbehörden wie das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) haben Datenschutz-Gütesiegel eingeführt.

Die Abwehr muss stehen!

Mit der Datenschutz-Grundverordnung und dem neuen BDSG haben sich die Rechtslage und die Grundlage für Datenschutz-Zertifikate jedoch geändert. Entsprechend klärt das ULD auf: "Ab dem 25. Mai 2018 können aufgrund der veränderten Rechtslage das Datenschutz-Gütesiegel Schleswig-Holstein und das Audit-Verfahren in der bisherigen Form nicht mehr angeboten werden. Für Organisationen in Schleswig-Holstein planen wir zeitnah, Zertifizierungen nach Datenschutz-Grundverordnung anzubieten. (…) Bitte beachten Sie, dass alle bisher erteilten Zertifizierungen (Datenschutz-Gütesiegel und Audit) des ULD auf der Rechtslage vor dem 25. Mai 2018 bzw. vor Gültigkeit der Datenschutz-Grundverordnung beruhten."

Auch Prüfstandards wie das Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) befinden sich in Umstellung, um die neue Rechtsgrundlage durch die DSGVO zu berücksichtigen. Entsprechend erarbeitet das Forschungsprojekt AUDITOR derzeit einen Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO.