DSGVO-Zertifizierung: Kommt jetzt ein Europäisches Datenschutzsiegel?

Die Datenschutzgrundverordnung, kurz DSGVO, gilt jetzt schon seit einigen Jahren. Dennoch stehen Unternehmen immer noch vor der Frage, wie sie Vertrauen schaffen können, denn seit Einführung der DSGVO ist es nicht gelungen, eine entsprechende Zertifizierung, etwa ein Europäisches Datenschutzsiegel, zu etablieren, mit der Unternehmen die Einhaltung des Datenschutzes nachweisen können.

Auch Aufsichtsbehörden sprechen sich dafür aus, denn für sie wäre es eine Erleichterung, wenn unabhängige Dritte eine Zertifizierung nach DSGVO vornehmen könnten. Die Realität ist momentan aber eine andere: Wer nachweisen will, dass er sich an DSGVO-Standards hält, bestätigt dies einfach oder verweist auf ein bestehendes Datenschutzzertifikat aus Zeiten des Bundesdatenschutzgesetzes. Nun könnte ein europäisches Datenschutzsiegel kommen, das vieles vereinfacht. Wir zeigen Ihnen in diesem Artikel, was sich getan hat.

Sie benötigen datenschutzrechtliche Unterstützung? Unser Team besteht aus mehr als 90 Datenschutzexperten, die Sie gerne umfassend beraten. Nehmen Sie jederzeit Kontakt zu uns auf.

Das Wichtigste in Kürze

• Ein Datenschutz-Zertifikat dient der Überprüfung eines Produktes oder eines Unternehmens hinsichtlich des Datenschutzes. So können Kunden sichergehen, dass die Standards der DSGVO auch vollständig umgesetzt und eingehalten werden.
• Nach einem erfolgreichen Zertifizierungsprozess, meist in Form eines Datenschutz-Audits, wird ein Zertifikat oder ein Gütesiegel vergeben. Dafür verantwortlich sind Zertifizierungsstellen, die ihrerseits von den zuständigen Behörden genehmigt werden müssen.
• Nun hat die Datenschutzbeauftragte des Landes NRW die Kriterien der EuroPriSe-Zertifizierung genehmigt und den Weg frei gemacht, dass Auftragsverarbeiter im Sinne der DSGVO zertifiziert werden können.
• Auch der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme zur Genehmigung eines Europäischen Datenschutzsiegels angenommen. Ein solches Siegel könnte daher in naher Zukunft Wirklichkeit werden.

Was ist eine Datenschutz-Zertifizierung?

Datenschutz-Zertifizierung bezeichnet ein Verfahren, das überprüft, ob ein Produkt, eine Dienstleistung oder ein ganzes Unternehmen die jeweilig geltenden Datenschutzbestimmungen erfüllt und umsetzt (z.B. die Regeln des BDSG, einer ISO-Norm oder der DSGVO). Besteht das Produkt oder Unternehmen diese Überprüfung, wird durch die Zertifizierungsstelle ein Zertifikat oder ein Gütesiegel ausgestellt.

Eine solche Zertifizierung nützt zum einen den Kunden des Unternehmens, da diese nun eine objektive Bewertung der Datenschutzstandards des Unternehmens vorfinden und sich darauf verlassen können. Das ist insbesondere bei Auftragsverarbeitungen von großer Wichtigkeit, denn Kunden, die ihre Daten an Auftragsverarbeiter weitergeben, haften gleichermaßen für Verstöße gegen den Datenschutz wie das beauftragte Unternehmen. Es kann zudem ihrer Reputation auf dem Markt schaden, wenn Datenpannen oder andere Vorfälle mit Daten publik werden.

Ebenso ist ein solches Siegel oder ein Zertifikat auch vorteilhaft für Auftragsverarbeiter. Dieser kann sicher nachweisen, dass er die Datenschutzstandards erfüllt und damit effektiv für sich werben. Da Kunden von Auftragsverarbeitern viel Wert auf einen hohen Datenschutzstandard legen, macht eine Zertifizierung Unternehmen in der Branche besonders attraktiv für ihre Kunden.

Voraussetzung ist, dass es sich um eine anerkannte und verlässliche Prüfung handelt und damit um ein vertrauenswürdiges Zertifikat. Genau das fehlt aber bisher bei der Zertifizierung der DSGVO.

Europäisches Datenschutzsiegel: Deshalb ist es für Unternehmen wichtig

Viele Unternehmen warten sehnsüchtig auf ein Europäisches Datenschutzsiegel, welches ihnen die konforme Umsetzung der DSGVO bescheinigt. Und auch die zuständigen Aufsichtsbehörden würde dies erheblich entlasten.

Neben dem Werbeeffekt, den Unternehmen mit einer solchen Zertifizierung erzielen wollen, geht es vor allem um Transparenz und Sicherheit. Durch die Komplexität der DSGVO ist es schwierig, den Überblick über alle Vorschriften zu behalten. Daher kann es auch für Unternehmen hilfreich sein, von einer objektiven Seite eine zuverlässige Rückmeldung zum Datenschutz in ihrem Betrieb zu erhalten.

Für Kunden (und deren Kunden) geht es vor allem um die Sicherheit der personenbezogenen Daten. Gegenstand der Verarbeitung sind häufig sehr sensible Daten, die es zu schützen gilt. Ein Nachweis für die Einhaltung der DSGVO bildet daher die Basis einer guten Zusammenarbeit mit Auftragsverarbeitern.

DSGVO: Wie wurden Unternehmen bis dato zertifiziert?

Die Behörden arbeiten seit längerem an der Entwicklung länderübergreifender Kriterien, damit im Vollzug der zuständigen Aufsichtsbehörden eine einheitliche Bewertung möglich ist. Es ist allerdings seither nicht gelungen, sich auf solche zu einigen. Eine einheitliche deutsche oder gar europäische Zertifizierung steht daher immer noch aus.

Um eine unübersichtliche Vielzahl von verschiedensten Zertifizierungen zu vermeiden, wurde daher bisher auf Zertifikate durch Privatunternehmen verzichtet. Ziel war es, hierdurch eine gewisse Transparenz und Unabhängigkeit zu erhalten. 

Aktueller Stand zum Europäischen Datenschutzsiegel

Der Europäische Datenschutzaussschuss (EDSA) will ein Europäisches Datenschutzsiegel nun endlich ins Rollen bringen: Er hat eine Stellungnahme zur Genehmigung der sogenannten Europrivacy-Zertifizierungskriterien angenommen.

Die Europrivacy-Zertifizierung besteht aus Kriterien, die von der luxemburgischen Datenschutzbehörde (DPA) entwickelt und vorgelegt wurden. Es handelt sich um ein allgemeines System, welches eine Vielzahl von Vorgängen erfassen und bewerten können soll. Darunter fallen nicht nur Verarbeitungsvorgänge von Auftragsverarbeitern, sondern auch solche, die von Verantwortlichen aus verschiedenen Branchen selbst durchgeführt werden. Spezifische Kriterien sorgen dafür, dass der Prozess trotz des großen Anwendungsbereiches skalierbar und anwendbar wird.

Auch wenn die Kriterien in Luxemburg entwickelt wurden, soll dieses Siegel in allen EU-Mitgliedstaaten anwendbar sein und umgesetzt werden. Es wird zudem von allen Unternehmen und Behörden innerhalb der Europäischen Union anerkannt, wenn ein Unternehmen ein solches besitzt.

Es ermöglicht somit, dass alle Unternehmen innerhalb der EU mit den gleichen Standards geprüft und zertifiziert werden und damit das Europäische Datenschutzsiegel mehr Konformität und Transparenz hinsichtlich des Datenschutzes erreicht.

Entwicklung in Deutschland

Auch in Deutschland gibt es Fortschritte: Einige Datenschutzbeauftragte der Länder, darunter diejenige des Landes NRW, haben nun erstmals Kriterien zur Zertifizierung von Auftragsverarbeitern festgelegt. Damit haben Unternehmen, die die Kriterien nachweislich erfüllen, die Chance, sich als offizielle Zertifizierungsstelle akkreditieren zu lassen.

Es handelt sich um das Zertifikat „European Privacy Seal“ (EuroPriSe), welches Auftragsverarbeitern bescheinigen soll, sich im Einklang mit der DSGVO zu betätigen.

Wie lange das Verfahren zur Akkreditierung und damit die Zertifizierungsmöglichkeit dauert, ist noch ungewiss.

Fazit

Ein Europäisches Datenschutzsiegel bietet viele Vorteile: Transparenz und Vertrauen für Verbraucher und andere Unternehmen, eine Vergleichbarkeit und Gleichwertigkeit im Wettbewerb sind nur einige davon. Auch für die zuständigen Aufsichtsbehörden könnte ein solches Siegel die Arbeit erleichtern und ein Dschungel aus Zertifikaten und Siegeln vermieden werden. Auch wenn es viele Unklarheiten gibt, steht eins jedoch fest: Ein länderübergreifendes Datenschutzsiegel wird kommen.

Sie brauchen Unterstützung beim Datenschutz in Ihrem Unternehmen?

Gerne beraten unsere Rechtsexperten Sie zu Ihrem individuellen Fall. Mithilfe unserer Expertise konnten wir schon zahlreichen Unternehmen in Europa dabei helfen, die Vorgaben der DSGVO umzusetzen. Kommen Sie für eine unverbindliche Erstberatung jederzeit auf uns zu.