Home > Blog > ...

Zertifizierung nach der EU-DSGVO

Der aktuelle Artikel der DakkS zum Thema "Keine gültige Zertifizierung nach der EU-DSGVO vor dem 25. Mai 2018 möglich", und zahlreiche Fragen an mich "was zu tun ist" hat mich zu diesem Blog-Beitrag angeregt, um ein wenig Klarheit in das Thema zu bringen. 

DS-GVO, die Aufregung wird größer

Datensicherheit und Datenschutz war für mich seit meinem Studium 1994 vom Orange-Book und Red-Book bis zum Bundesdatenschutzgesetz immer ein Thema im Projekt. Auch wenn diese erst jetzt, von den Anwälten und der Politik mit der Datenschutz-Grundverordnung (DSGVO) getrieben, zu einer "tiefgreifenden" Veränderung für Unternehmen werden. Laut dem aktuellen Branchenreport vom 01/2018 des Zentrum für Europäische Wirtschaftsforschung (ZEW) sieht es spannend bezüglich der DS-GVO-Umsetzung in Unternehmen aus. Nur 47,5 Prozent hatten Ende 2017 mit der DS-GVO auseinandergesetzt. 12,5 Prozent hatten nichtmal etwas davon gehört. Da aber nun ab dem 25.5.2018 eine EU-Verordnung, inklussive der möglichen Strafen bei Verstössen, in Kraft tritt und ein neues Bundesdatenschutzgesetz dazu, ist die Aufregung groß und es tauchen viele Fragen und Unsicherheiten auf.

Viele "Pseudo-Zertifikate" ohne Akkreditierung

Ein besonderer Aspekt ist die nun vorgesehene Unterstützung in der Verordnung, sich den eigenen Datenschutz künftig zertifizieren zulassen. Dies haben sich viele Dienstleister zum Anlass genommen, hier eigene Zertifikate und "DS-GVO konforme" Inhalte oder Funktionen zu schaffen, um diese zu verkaufen. Wesentlich ist aber, es gibt derzeit noch kein "DS-GVO-Zertifikat".

Eine Übersicht beispielsweise angebotener "DS-GVO-Zertifikate" hat die Bundesstiftung Stiftung Datenschutz auf Ihrer Webseite publiziert. Hier wird vor allem auf die Zertifizierung von Services und nicht von Personen ausgegangen.

Es ist dabei wichtig, eine Unterscheidung zu treffen, die immer jedem Zertifikat voraus geht. Was wurde nun (Scope) von wem zertifiziert? D.h. welche unabhängige Stelle hat welchen Inhalt bestätigt. Wirklich amtlich ist eine Zertifizierung einer allgemein gültigen Norm oder eines Standards von einer offiziell akkreditierten nationalen oder internationalen Stelle (vgl. z.B. DakkS).

Oder soll eine Person zertifiziert werden, d.h. die erforderlichen Kenntnisse vermittelt und die bestehende Kompetenz unabhängig nachgewiesen werden?

Bei der DS-GVO handelt es sich um eine Verordnung, die als solche nicht zertifiziert wird. Wesentliche Elemente dieser Verordnung sind Anforderungen, die an Organisationen gestellt werden, die es zu erfüllen gilt. 

Was zertifiziert werden kann

Kern-Anforderungen der DS-GVO sind z.B. ein Datenschutzbeauftragter, ein Datenschutzmanagementsystem und Technische und Organisatorische Maßnahmen, wie diese von einem Informationssicherheits-Managementsystem geleistet werden sollten.

Für weitere Branchen und Technologien sind zusätzliche Standards und Aspekte zu berücksichtigen.

Die ISO/IEC 27001 und ISO 29151 sind wesentlich

Als Fazit kann zusammenfassen: Es gibt bisher kein wirkliches "DS-GVO-Zertifikat". Unternehmen sind gut beraten, sich auf den Weg zu einer ISO 27001 Zertifizierung zumachen und den ISO 29151 Standard zu nutzen, um die DS-GVO sinnvoll organisatorisch und technisch. 

Auch ein Blick in die Vds 10010 der VsS Schadenverhütung GmbH kann sich lohnen, wenn es um den Versicherungsschutz und Konditionen geht. Sie beruht im Wesentlichen ebenfalls auf die ISO.

Ein Anwalt hinzuzuziehen empfiehlt sich dann, insbesondere wenn es um die Rechtsberatung geht. Dieses sollte man ggf. beim Entwurf einer Datenschutzrichtlinie oder bei innerbetrieblichen Regelungen nutzen und braucht ihn, wenn es um Verträge mit Mitarbeitern geht.

Persönliche Qualifikation

Ich persönlich habe mich mit mehreren Qualifizierung auf das Thema vorbereitet. Die Grundlagen bildeten meine universitätre Ausbildung in dem Bereich und die Projekterfahrung der letzten 20 Jahre. Das ganze hab ich zunächst mit einem Lehrgang zum Datenschutzbeauftragten beim TÜV Nord aufgefrischt. Meine Projekterfahrung im Bereich Informationssicherheits-Management habe ich nun mit zwei längeren Lehrgängen zum ISO/IEC 27001 Lead Implementer und ISO/IEC 27001 Lead Auditor aufgefrischt und strebe nun die entsprechende offizielle Zertifizierung an.

Zusätzlich bin ich seit einigen Jahren aktives Mitglied in der Gesellschaft für Datenschutz und Datensicherheit (gdd) e.V. sowie Mitglied in der Hamburger Datenschutzgesellschaft (HDG) e.V.

Ich berate Sie gerne, wenn es um die Umsetzung von Informationssicherheit, Datenschutz und Cybersecurity geht oder wenn Sie erfahren möchten, welche Zertifizierung in dem Bereich für Personen oder Organisationen sinnvoll und betrieblich von Nutzen sind.

Nehmen Sie Kontakt mit mir auf

Mit freundlichen Grüßen
Eckhart Mehler

Hamburg, 19.04.2018