Datenschutz-Zertifizierung: das lange Warten
14.03.2022
[IITR – 14.03.22] Offizielle Datenschutz-Zertifizierungen nach der DSGVO lassen weiter auf sich warten. Nun sollen in Deutschland auch noch die Anforderungen für die Zulassung von Zertifizierungsstellen für den Bereich „Datenschutz-Management“ nach ISO 27701 nachträglich erhöht werden. Die deutsche Datenschutz-Konferenz als Vertreter der Datenschutz-Aufsichtsbehörden soll Mindestanforderungen für eine Zertifizierung nach ISO 27701 definieren können. Im Ausland (z.B. Österreich) sind Zertifizierungen auch für deutsche Unternehmen nach ISO 27001/27701 bereits möglich.
ISO 27001/27701: Akkreditierung von Zertifizierungsstellen in Deutschland verzögert sich
Derzeit sind in Deutschland noch keine Zertifizierungsgesellschaften durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) für die Zertifizierung nach ISO 27701 akkreditiert worden. Die DAkkS hat nun in den laufenden Akkreditierungsverfahren ein aktualisiertes Merkblatt veröffentlicht, welches in Abstimmung mit dem Arbeitskreis Zertifizierung der Datenschutzkonferenz (DSK) erstellt worden ist, mit Auswirkungen auf die laufenden Akkreditierungsverfahren der Zertifizierungsstellen in Deutschland insb. in den folgenden Bereichen:
- Qualifizierung der Auditoren
- Beachtung von der durch die DSK definierten Mindestanforderungen hinsichtlich der Prüfkriterien für die gesetzlichen Anforderungen der DSGVO
- DSGVO Stichproben-Prüfungen und damit Haftung für die Zertifizierungsstelle
So heißt es in der zuletzt aktualisierten Fassung:
„Das [Zertifizierungsprogramm für Managementsysteme] (…) muss nur dort Regelungen festlegen, soweit diese nicht bereits durch die Norm abgedeckt sind. Zu beachten ist, dass die normativen Vorgaben im Hinblick auf die gesetzlichen Mindestanforderungen der DSK anzupassen sind. (…) Das Programm der Zertifizierungsstelle muss Prüfkriterien für die gesetzlichen Anforderungen der DSGVO konkretisieren (wie in Anhang D der ISO/IEC 27701 dargestellt) die aufzeigen, aus welchen objektiven Nachweisen im Rahmen des Audits geschlossen werden kann, dass das Managementsystem alle relevanten Anforderungen des Datenschutzes unterstützt. Dabei ist darzulegen, inwieweit die Prozesse des Kunden die Zielkonflikte zwischen [Informationssicherheit] (…) und Datenschutz berücksichtigen und in Prozesse implementiert haben.“
Damit sind die Zertifizierungsanbieter in Deutschland weiterhin nicht in der Lage, Zertifizierungen für ISO 27001/27701 auszusprechen. Selbst wenn zu späterem Zeitpunkt die Akkreditierung erfolgen wird, sind die neuen Anforderungen an die Qualifizierung der Auditoren derart hoch, dass dies in der Praxis zu sehr hohen Kosten für die Auditierung sowie personellen Engpässen auf Seiten der Auditoren führen dürfte. Auch dürfte die (rechtlich für viele überraschende) Einbindung der DSK die Zertifizierungsvorhaben nicht vereinfachen.
ISO 27001/27701 Angebot im Ausland: Ein Blick nach Österreich
Außerhalb Deutschlands wurden bereits Zertifizierungsstellen durch die jeweils nationalen Akkreditierungsstellen berechtigt, Zertifizierungen nach ISO 27001/27701 durchzuführen. So besteht beispielsweise die Möglichkeit, sich durch akkreditierte Zertifizierungsstellen in Österreich zertifizieren zu lassen.
DSGVO-Zertifizierungen: Der Ball liegt beim europäischen Datenschutz-Ausschuss
Aus Sicht der Datenschutz-Aufsichtsbehörden beschränkt die DSGVO die Zertifizierung nach der DSGVO auf Produkte, Prozesse und Dienstleistungen (ISO 17065). Eine Zertifizierung von auf der ISO 17021 basierenden Management-Systemen (wie z.B. nach der ISO 27001/27701) sei nach der DSGVO nicht möglich.
Verschiedene Zertifizierungsstellen haben nach Ausführung der DAkkS bereits in 2019 in Deutschland begonnen, eine Akkreditierung für spätere Zertifizierungen nach der DSGVO über die DAkkS und die deutschen Datenschutz-Aufsichtsbehörden zu erhalten (in Österreich ist dies für den Bereich der Verhaltensregeln bereits erfolgt).
Stand 09.03.22 sind 11 Anträge zur Prüfung von Konformitätsbewertungsprogrammen bei der DAkkS eingereicht worden. Davon haben bereits acht Anträge die Programmprüfung durch die DAkkS und die jeweils zuständige Datenschutz-Aufsichtsbehörde positiv durchlaufen, die anderen drei Programme sind noch in der Prüfung. Ein Konformitätsbewertungsprogramm konkretisiert den Zertifizierungsgegenstand und damit einhergehend die Maßnahmen, die zur Zertifizierung führen.
Europäischer Datenschutz-Ausschuss: Prüfung aller Konformitätsbewertungsprogramme
Der europäische Datenschutz-Ausschuss vertritt zudem die Auffassung, dass ihm nationale Konformitätsbewertungsprogramme vor Genehmigung der nationalen Aufsichtsbehörden vorzulegen sind und Änderungswünsche durch die nationalen Aufsichtsbehörden zwingend umzusetzen sind.
Er schreibt hierzu (Quelle: Leitlinien 1/2018 für die Zertifizierung und Ermittlung von Zertifizierungskriterien nach den Artikeln 42 und 43 der Verordnung (EU) 2016/679):
In Mitgliedstaaten, in denen Zertifizierungsstellen ihre Tätigkeit aufnehmen, ist die Aufsichtsbehörde unbeschadet ihrer eigenen Tätigkeiten befugt und dafür zuständig, (…) den Beschlussentwurf dem Ausschuss zu übermitteln, falls sie beabsichtigt, die Zertifizierungskriterien zu billigen (Artikel 64 Absatz 1 Buchstabe c, Artikel 64 Absatz 7), und der Stellungnahme des Ausschusses Rechnung zu tragen (Artikel 64 Absatz 1 Buchstabe c, Artikel 70 Absatz 1 Buchstabe t) (…).
Bislang ist hier in Europa noch kein Konformitätsbewertungsprogramm nach der DSGVO genehmigt worden.
DSGVO-Zertifizierung: Zeitrahmen offen
Es gibt derzeit also noch kein Angebot für Zertifizierungen von Produkten, Prozessen oder Dienstleistungen nach der DSGVO. Es bleibt offen, wann hier erste genehmigte und zertifizierbare Konformitätsbewertungsprogramme vorliegen. Sämtliche Prognosen der Verfahrensbeteiligten in den vergangen Jahren haben sich im Nachhinein als zu optimistisch herausgestellt. Daher darf man durchaus gespannt sein, ob es tatsächlich noch in diesem Jahr zu ersten Zertifizierungen nach der DSGVO kommen wird.
Umfang der DSGVO-Zertifizierung: noch unklar
Offen ist auch, was letztlich Gegenstand der Konformitätsbewertungsprogramme sein wird. Während einzelne Anträge im Markt spezifische Produkte/Prozesse/Dienstleistungen erfassen, versuchen andere Marktteilnehmer mit relativ weit gefassten Konformitätsbewertungsprogrammen z.B. sämtliche Vorgänge im Rahmen der Auftragsverarbeitung zu erfassen.
Selbst wenn der europäische Datenschutzausschuss den Weg dieser auf allgemeinen Verarbeitungsvorgängen basierenden Konformitätsbewertungsprogramme (z.B. für den Bereich „Auftragsverarbeitung“) mitgehen sollte, werden diese „übergeordneten Konformitätsbewertungsprogramme“ vermutlich im Rahmen einer kundenspezifischen Zertifizierungsvorbereitung den Anwendungsbereich der Zertifizierung und damit einhergehend den konkreten Prüfumfang und die -tiefe nochmals konkretisieren müssen. Dies wird für alle an einem Zertifizierungsprozess Beteiligten finanziell wie zeitlich kaum darstellbar sein.
Chance vertan? Zu kompliziert, zu spät.
Die Datenschutz-Aufsichtsbehörden verfolgen mit der vorliegenden rechtlichen Auslegung das Ziel sicherzustellen, dass nur jene Unternehmen ein Datenschutz-Zertifikat erhalten dürfen, bei denen die Rechtskonformität mit der DSGVO zweifelsfrei sichergestellt ist. Die Aufsichtsbehörden erteilen jedem Ansatz eines risikobasierten Modells im Umgang mit datenschutzrechtlichen Vorgaben bei Zertifizierungen eine klare Absage. In diesem Licht ist vermutlich auch zu sehen, dass die Anforderungen an eine ISO 27001/ISO27701 Managementsystem-Zertifizierung nun nachträglich erhöht werden sollen.
Diese Argumentation der Aufsichtsbehörden ist im reinen datenschutzrechtlichen Licht nachvollziehbar. Sie verkennt aus meiner Sicht aber, dass die Unternehmensrealität anders aussieht. Unternehmen sind klassischerweise risikobasiert ausgerichtet. Zertifizierungen so auszugestalten dass den Unternehmen ein risikobasierter Ansatz genommen werden soll wird dazu führen, dass die Unternehmen sich nicht werden zertifizieren lassen.
Wir werden über den jetzt eingeschlagenen Weg damit den Bereich der DSGVO-Zertifizierung faktisch schwächen. In der Sache vorzugswürdig wäre aus meiner Sicht gewesen, Zertifizierungen auch auf den Bereich Management-Systeme zu erweitern und über deren breitere Anwendung im Ergebnis ein Mehr an Datenschutz zu erreichen. So diskutiert man vier Jahre nach Geltung der DSGVO immer noch Rahmenbedingungen zur Ausgestaltung von Zertifizierungen – bietet Unternehmen aber keinen Zertifizierungsrahmen, nach dem sich diese richten können.
Fazit
Mit dem überarbeiteten Merkblatt hinsichtlich der Akkreditierung von Zertifizierungsstellen für den Bereich ISO 27701 sind die Anforderungen für Zertifizierungen in Deutschland merklich komplizierter und aufwendiger geworden. Auch sind deutsche Zertifizierungsstellen derzeit weiterhin nicht in der Lage, akkreditierte Zertifizierungen nach ISO 27001/27701 vorzunehmen.
Deutschen Unternehmen, die sich für eine solche Zertifizierung interessieren bleibt damit nur die Möglichkeit, auf ausländische akkreditierte Zertifizierungsstellen (z.B. in Österreich) zurückzugreifen.
Auch Zertifizierungen nach der DSGVO für Produkte, Prozesse und Dienstleistungen sind weiterhin nicht möglich. Neben der in Deutschland noch ausstehenden Zulassung von Zertifizierungsstellen steht weiterhin die Beurteilung der Konformitätsbewertungsprogramme durch den Europäischen Datenschutzausschuss aus. Es bleibt offen, ob dieser den Weg für allgemein gehaltene Konformitätsbewertungsprogramme z.B. für den Bereich „Auftragsverarbeitung“ frei machen oder auf spezifisch beschreibenden Konformitätsbewertungsprogrammen bestehen wird.
Selbst wenn der Europäische Datenschutzausschuss hier in absehbarer Zeit grünes Licht geben sollte scheinen die Zertifizierungsanforderungen derart komplex und kostenintensiv, dass nicht mit einer breiten Verwendung in der Praxis gerechnet werden sollte.
Unternehmen können alternativ auch auf private Auditierungs-Angebot wie das von uns entwickelte Audit-Tool privASSIST zurückgreifen.
Autoren: Ralf Zlamal, Dr. Sebastian Kraska