Datenschutz-Zertifizierung in Italien
17.08.2021
[IITR – 17.08.21] Nachdem die Datenschutzkonferenz in Deutschland bereits vor längerer Zeit ein Kurzpapier zur Zertifizierung nach Art. 42 DSGVO veröffentlicht hat, ist man nun auch in Italien nachgezogen und hat in einem ersten FAQ zur Datenschutzzertifizierung allgemeine Fragen aus italienischer Sicht beantwortet.
Bislang sind das jedoch reine Vorüberlegungen, denn es ist in noch keinem Mitgliedsstaat gelungen, ein solches Zertifizierungsverfahren einzuführen und zu etablieren. Dabei bestünde durchaus Interesse an überprüfbarem Datenschutz. Die bisherigen Verfahren (wie bspw. eine Zertifizierung nach ISO 27001) verschaffen nämlich keinen Gesamtüberblick über die Compliance mit geltenden Datenschutzrichtlinien innerhalb eines Unternehmens, sondern streifen das Thema lediglich. Außerdem stellen sie für kleine und mittlere Unternehmen oftmals einen nicht zu bewältigenden Aufwand dar.
Noch dazu ist es – so Art. 42 Abs. 1 DSGVO – ausdrücklich gewollt und gewünscht, dass derartige Zertifizierungsverfahren und daraus resultierende Datenschutzsiegel oder -prüfzeichen gefördert werden:
„Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.“
Was ist eine Zertifizierung überhaupt?
„Die Zertifizierung ist eine von einer dritten Partei (Zertifizierungsstelle) ausgestellte Bescheinigung für ein Objekt (Produkt, Verfahren, Dienstleistung, Person oder System), das der Konformitätsbewertung hinsichtlich der in einer technischen Vorschrift (Norm) oder in einer spezifischen Bestimmung enthaltenen Anforderungen entspricht.“ (übersetzt aus dem italienischen FAQ)
Und was sind die Vorteile einer solchen Zertifizierung?
Neben den grundsätzlichen Vorteilen einer Zertifizierung – vor allem dem Vertrauensgewinn am Markt – wie der Verbesserung unternehmensinterner Strukturen, sei es der reine Produktionsprozess oder die Mitarbeiterschulung, bietet eine Zertifizierung nach DSGVO ein für den einen Teil beweisbares, für den anderen nachvollziehbares Datenschutzniveau.
„Die Verordnung sieht vor und fördert die Einrichtung von Zertifizierungen hinsichtlich des Schutzes personenbezogener Daten, um die Einhaltung der DSGVO in Bezug auf den Schutz solcher Daten, sowie der Datenverarbeitung durch Verantwortliche oder Auftragsverarbeiter nachzuweisen.
Eine solche Zertifizierung ist ein nützliches Instrument für Verantwortliche und Auftragsverarbeiter, die Einhaltung der gesetzlichen Verpflichtungen und der datenschutzrechtlichen Anforderungen zu garantieren.“ (übersetzt aus dem italienischen FAQ)
Die Datenschutzgrundverordnung selbst zeigt, dass Zertifizierungen Beweiskraft hinsichtlich verschiedener Aspekte des Datenschutzes haben sollen:
- Art. 24 Abs. 3 DSGVO, wonach die Erfüllung der Pflichten des Verantwortlichen auch mittels Zertifizierung nachgewiesen werden können,
- Art. 25 Abs. 3 DSGVO, wonach eine Zertifizierung in die Abwägung miteinbezogen wird,
- Art. 28 Abs. 5 DSGVO hinsichtlich etwaiger Auftragsverarbeiter,
- Art. 32 Abs. 3 DSGVO, inwieweit die Sicherheit der Verarbeitung gewährleistet ist oder
- Art. 46 Abs. 2 lit. f DSGVO bei Datenübermittlung an ein Drittland.
Dies offenbart wie elementar eine Zertifizierung bei der Ausgestaltung der Datenschutzgrundverordnung war und nun für die Umsetzung dieser ist.
Was kann man im Rahmen des Datenschutzes zertifizieren?
„Auf der Grundlage der Bestimmungen der Datenschutzgrundverordnung (DSGVO) und unter Berücksichtigung der einschlägigen Leitlinien 1/2018 des Europäischen Datenschutzausschusses (EDPB) ist der Gegenstand der Zertifizierung die Verarbeitung personenbezogener Daten. Da die Definition der “Verarbeitung” personenbezogener Daten sehr weit gefasst ist, kann auch der Gegenstand der Zertifizierung sehr unterschiedlich sein und einen einzigen Verarbeitungsvorgang (z. B. die Speicherung personenbezogener Daten) oder mehrere Verarbeitungsvorgänge (z. B. Erhebung, Speicherung, Bereitstellung) umfassen, die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter durchgeführt werden. (…)
Eine Zertifizierung nach der DSGVO kann sich jedoch nicht auf ein einzelnes Produkt als solches beziehen (z. B. eine Software für die Verwaltung von Mitarbeiterdaten, unabhängig von ihrer konkreten Verwendung), vielmehr aber auf eine von einem für die Verarbeitung Verantwortlichen oder einer verantwortlichen Person durchgeführten Verarbeitung personenbezogener Daten (z. B. die vom Arbeitgeber als für die Verarbeitung Verantwortlichem durchgeführte Verarbeitung von Mitarbeiterdaten durch die oben genannte Software, die somit Gegenstand der Zertifizierung wird).“ (übersetzt aus dem italienischen FAQ)
An wen kann man sich wenden, um eine solche Zertifizierung in Zukunft erhalten zu können?
„Um eine Zertifizierung auf der Grundlage eines von der italienischen Aufsichtsbehörde (GPDP) genehmigten Zertifizierungsprogramms zu erhalten, muss man sich an die von der Accredia akkreditierten Zertifizierungsstellen wenden, die die technische Norm ISO/IEC 17065:2012 und die von der GPDP festgelegten zusätzlichen Anforderungen erfüllen.“ (übersetzt aus dem italienischen FAQ)
Ebenso soll es in Deutschland ablaufen. Hier wird die Deutsche Akkreditierungsstelle („DAkkS“) für derlei Vorgänge zuständig sein.
Neben den akkreditierten Zertifizierungsstellen sollen aber auch die jeweils zuständigen Aufsichtsbehörden berechtigt sein, Zertifizierungen auszustellen.
Wer kann eine solche DSGVO-Zertifizierung beantragen?
„Jede Einrichtung oder jedes Unternehmen oder in jedem Fall jede betroffene Person, die als für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter personenbezogener Daten tätig ist, kann eine Zertifizierung beantragen, um nachzuweisen, dass die Verarbeitungsvorgänge (oder Teile davon) mit bestimmten Bestimmungen oder Grundsätzen der DSGVO oder mit der DSGVO insgesamt übereinstimmen.“ (übersetzt aus dem italienischen FAQ)
Diese Zertifizierung kann widerrufen werden und warum?
„Wenn Nichtkonformität in Bezug auf die Zertifizierungsanforderungen als Ergebnis einer Überprüfung oder aus anderen Gründen festgestellt wird, muss die Zertifizierungsstelle dies untersuchen und über die geeigneten Maßnahmen entscheiden, die folgendermaßen aussehen:
- Aufrechterhaltung der Zertifizierung unter den von der Zertifizierungsstelle festgelegten Bedingungen, insbesondere: Bewertung des Risikos im Zusammenhang mit der Nichtkonformität, geeignete Sofortmaßnahmen zur Eindämmung der Auswirkungen, Ursachenanalyse sowie Planung und Durchführung der festgelegten Maßnahmen. Die Zertifizierungsstelle kann auch zusätzliche Maßnahmen vorsehen (z. B. eine verstärkte Überwachung);
- Aussetzung der Zertifizierung bis zur Ergreifung von Abhilfemaßnahmen durch die zertifizierte Organisation;
- Widerruf der Zertifizierung oder Einschränkung des Geltungsbereichs der Zertifizierung, wenn die zertifizierte Organisation die Planung der Maßnahmen, die zur Wiederherstellung der Konformität der Verarbeitungsvorgänge erforderlich sind, nicht einhält, oder wenn die Verarbeitung personenbezogener Daten nicht mehr den Kriterien des Zertifizierungssystems für die Verarbeitungsvorgänge selbst entspricht und die erforderlichen und sofortigen Folgemaßnahmen nicht vorgesehen sind.“
Ausblick
„Zertifizierungen nach der DS-GVO bieten das Potenzial, künftig bei Verarbeitungsvorgängen (u. a. bei Auftragsverarbeitung) Klarheit darüber zu verschaffen, ob die gesetzlichen Datenschutzanforderungen eingehalten werden. So können etwa Cloud-Dienste entscheidend profitieren, da deren Kunden und vor allem auch betroffene Personen sich selbst leichter ein Bild von einem bestimmten Produkt hinsichtlich der Einhaltung der DS-GVO machen können. Voraussetzung hierfür sind jedoch auf die DS-GVO ausgerichtete, praxistaugliche Zertifizierungsverfahren.“ (aus Kurzpapier 9 der Datenschutzkonferenz)
Zwar entbinden derartige Zertifizierungen das jeweilige Unternehmen nicht von der Einhaltung der Datenschutzrichtlinien, jedoch ist für sie und insbesondere für ihre Geschäftspartner und Kunden ersichtlich, inwieweit der europäische Datenschutz eingehalten wird.
Nach nun fünf Jahren drängt sich jedoch die Frage auf, wie lange man noch auf ein derartiges Datenschutzzertifikat nach Art. 42 DSGVO zu warten hat. Leider verlassen sich viele Unternehmen nicht mehr auf baldige Änderungen und orientieren sich bspw. an der ISO 27701, um Konformität in ihren Prozessen zu erreichen. Prozesskonformität, die derzeit durch das bevorstehende Datenschutzzertifikat nicht vorgesehen ist, denn dieses orientiert sich lediglich an der Überprüfung einzelner Produkte und Dienstleistungen. Womöglich wird dadurch eine Chance vertan, europäische Datenschutzstandards fest in Unternehmensstrukturen zu verankern. Dafür könnte nämlich eine ganzheitliche Zertifizierung von Managementsystemen ein wichtiger Schritt sein.
Man darf also weiterhin gespannt sein, aber angesichts der vermehrten Veröffentlichungen zu diesem Thema, scheint das Warten bald ein Ende zu haben.