• ADACOR
  • FILOO
  • EXOLINK
Adacor - IT Security

DSGVO-Zertifikate: Was Sie jetzt wissen müssen

Zertifikate bieten im Betriebsalltag eine bedeutsame Möglichkeit, um im Rahmen des Datenschutzes Vertrauen zu schaffen. Vertrauen ist zudem eine wichtige Voraussetzung für die Zusammenarbeit mit einem Hosting-Dienstleister bei der Auslagerung von Daten.
Ab Dezember 2018 können sich Prüfgesellschaften nach DSGVO akkreditieren lassen und Unternehmen zertifizieren. Wo liegen die Vorteile? Was sind die Herausforderungen? Und welche Alternativen zum Erhalt eines Zertifikats gibt es? Das stelle ich in diesem Artikel vor.

Vertrauen ist gut, Kontrolle ist besser, Zertifikate sind effizienter

In einem Auftragsverhältnis muss der Auftraggeber dem Auftragnehmer und seinen Leistungen vertrauen können. Die Redewendung „Vertrauen ist gut, Kontrolle ist besser“ findet hier durchaus Anwendung. Im Betriebsalltag belasten Kontrollen jedoch oft das Verhältnis auf beiden Seiten, denn Terminfindung, Interviews, Nachweissichtung und Ergebnisbesprechung sind zeitaufwendig. Besonders dann, wenn man als Ergebnis feststellt, dass alles in Ordnung ist.
Ein Weg, um Vertrauen zu schaffen und dennoch den Aufwand gering zu halten, sind Zertifikate und Testate, die der Auftragnehmer dem Auftraggeber zur Verfügung stellt. Die Kontrolle führen akkreditierte Prüfungsgesellschaften nach allgemeingültigen Kriterien durch. So kann der Auftraggeber darauf vertrauen, dass diese Basiskriterien bereits erfüllt sind. Bei Bedarf braucht er nur noch weiter gehende Kriterien zu prüfen. Das reduziert den Aufwand auf beiden Seiten.

Adacor Hosting baut im Servicebereich schon lange auf die Prüfung eines dienstleistungsbezogenen Internen Kontrollsystems (IKS) auf Grundlage des deutschen Standards IDW PS 951 und des internationalen Pendants ISAE 3402. Der daraus resultierende Prüfungsbericht zeigt den Kunden die Qualitätsmaßnahmen auf, die ergriffen wurden, um den Service aufrechtzuerhalten. Die Maßnahmen selbst bemessen sich nach Qualitäts-Frameworks wie CoBIT, COSO, ITIL oder IDW-RS-FAIT.

DSGVO Zertifikate

Datenschutz-Zertifikate nach DSGVO?

Gerade im Datenschutz ist es wichtig, auf gute Partner zu setzen. Um die Transparenz zu erhöhen und die Einhaltung von Datenschutzgesetzen zu verbessern, könnte auch hier eine Zertifizierung helfen. Deshalb hat der Gesetzgeber den Artikel 42 zu genau diesem Thema in die Datenschutzgrundverordnung (DSGVO) eingebracht. Gemäß Absatz 1 ist vorgesehen, dass die EU-Mitgliedstaaten, die Aufsichtsbehörden sowie die Europäische Kommission darauf hinarbeiten sollen, Zertifizierungsverfahren für den Datenschutz zu etablieren.

Ein Problem ist jedoch das mehrstufige Zertifizierungsverfahren in folgendem Fall:
Damit ein Unternehmen zertifiziert werden kann, muss es durch die Zertifizierungsstelle anhand etablierter Kriterien geprüft werden. Die Zertifizierungsstelle darf jedoch nur dann ein Zertifikat ausstellen, das bescheinigt, dass ein Unternehmen Gesetze einhält, wenn sie und ihre Prüfweise ebenfalls Qualitätskriterien erfüllen, die öffentliche Stellen definiert haben. Andernfalls wäre es zu leicht, ein Zertifikat zu bekommen – und das Zertifikat wäre nichts wert. Diesen Vorgang nennt man Akkreditierung.

Der Artikel 43 Absatz 3 DSGVO regelt dazu, dass Zertifizierungsstellen dann akkreditiert werden, wenn sie den Anforderungen der Aufsichtsbehörden genügen. Allerdings müssen sich gemäß Artikel 55 alle Aufsichtsbehörden – also mindestens eine pro EU-Mitgliedstaat – über die Anforderungen für diese Akkreditierung einigen. Diese Festlegung blieb zunächst aus, sodass die deutsche Akkreditierungsstelle keine Zertifizierungsstellen nach DSGVO akkreditieren konnte. Infolgedessen war kein Datenschutz-Zertifikat gemäß den Anforderungen der DSGVO möglich.

Alternativen zu Datenschutz-Zertifikaten nach DSGVO

Nichtsdestotrotz gibt es sowohl auf nationaler als auch auf europäischer Ebene bereits Erfahrungen und etablierte Standards, die potenzielle heiße Kandidaten darstellen, um alternativ ein Zertifikat zu erhalten.
Dazu zählt das „Standard-Datenschutz-Modell“ (SDM) der deutschen Datenschutzaufsichtsbehörden. Diese Methode soll sicherstellen, dass eine einheitliche Beratungs- und Prüfpraxis insbesondere zu den technisch-organisatorischen Maßnahmen der DSGVO erreicht werden kann. Auf diese bezieht sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Adacor Hosting verwendet ebenfalls dieses Modell bei der Bewertung von Verarbeitungstätigkeiten. Allerdings ist eine Zertifizierung danach nicht direkt möglich. Dennoch könnte die Methode eine gute Grundlage für mögliche Zertifizierungen bieten.

Daneben steht hinter dem „European Privacy Seal for IT Products and IT-based Services“ (EuroPriSe) ein gestandenes Zertifizierungsverfahren. Das EuroPriSe-Modell besteht aus einem Zusammenschluss mehrerer Unternehmen. Das heißt, einige Unternehmen prüfen nach diesem EuroPriSe-Standard anhand festgelegter Kriterien und verteilen anschließend dieses Zertifikat. EuroPriSe strebt eine Akkreditierung nach der DSGVO an. Auch dieses Projekt stand vor der Herausforderung einer fehlenden Absprache zwischen den Aufsichtsbehörden zu diesem Thema. So waren Zertifikate zwar möglich, jedoch weiterhin nicht akkreditiert im Sinne der DSGVO.

Blick auf den Scope: Was kann nach DSGVO zertifiziert werden?

Man sollte bei Zertifikaten darauf achten, was darin tatsächlich attestiert wird. Betrachtet man die erwähnten sowie weitere Datenschutz-Standards, fällt auf, dass ein Datenschutz-Zertifikat für ein Unternehmen oder eine Organisation wie bei einem ISMS-Zertifikat nach ISO 27001 nicht einfach oder vielleicht auch gar nicht möglich ist. Die Datenschutzregelungen betreffen einzelne Verarbeitungstätigkeiten. In einem Informationssicherheitsmanagementsystem (ISMS) könnte ein eventuell unsicherer Prozess durch einen anderen „aufgefangen“ werden, um das Sicherheitsniveau beizubehalten. Wenn aber in einem Datenverarbeitungsverfahren ein Problem besteht, kann dies kein anderes Verfahren heilen. Entsprechend können nur einzelne Verarbeitungstätigkeiten in Produkten, Prozessen oder Dienstleistungen von einer akkreditierten Zertifizierungsstelle nach DSGVO zertifiziert werden.

Strategien mit denen Unternehmen ihren Cloud-Erfolg steigern

Ausgzeichnete DevOps Private Cloud – Adacor erhält Innovationspreis
Wenn Daten umziehen müssen – Storage Migration in der Praxis
Was genau ist "Digitalisierung"– Aufteilung in Bereiche bringt Klarheit

IT-Magazin komfortabel lesen!
Jetzt PDF hier downloaden

Fazit

Mit den Artikeln 42 und 43 DSGVO hat der Gesetzgeber erstmals einen rechtlichen Grundstein für ein europaweites einheitliches Akkreditierungs- und Zertifizierungsverfahren gelegt. Allerdings konnte bisher keins der Zertifikate eine Konformität mit der DSGVO attestieren. Die Datenschutzaufsichtsbehörden haben nun ergänzende Anforderungen zur DIN EN ISO/IEC 17065 aufgestellt und damit die Norm für die Akkreditierung konkretisiert. Auch die deutschen Datenschutzaufsichtsbehörden haben sich auf einheitliche Standards und ein Verfahren für die Akkreditierungen von Zertifizierungsstellen geeinigt.
Ab Dezember wird es nun erstmals möglich sein, einen Antrag auf Programmprüfung und Genehmigung der Zertifizierungskriterien zu stellen. Sobald das Programm durch die Deutsche Akkreditierungsstelle (DAkks) und die zuständige Aufsichtsbehörde genehmigt wurde, kann die Zertifizierung beantragt werden, bestätigt Dr. Ilona M. Pawlowska, Projektleiterin der Abteilung Zertifizierungs- und Verifizierungssysteme der DAkks.

Bleiben Sie up to date und abonnieren Sie den zweiwöchigen ITQ-Newsletter. Dazu tragen Sie bitte unten Ihre E-Mail ein.

Tags: , , , , , , ,

Verwandte Artikel