Erster unabhängiger Datenschutzstandard für Auftragsdatenverarbeiter/IT-Dienstleister durch die beiden großen deutschen Datenschutzverbände vorgestellt. GDD und BvD schaffen damit die Grundlage für klare Datenschutzstandards bei der Datenverarbeitung im Auftrag.
Moderne Produktionsprozesse und Dienstleistungen von Unternehmen basieren heute auf dem Fluss von Daten. Dabei sind die Datenverarbeitungen inzwischen hochspezialisiert, so dass sich eine große Bandbreite von Dienstleistern entwickelt hat, die es ihren Auftraggebern ermöglichen, diese Verarbeitungen wirtschaftlich und professionell auszulagern.
Mit der Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz stellt der Gesetzgeber ein Rechtsinstrument bereit, um diese Datenflüsse zu legitimieren.
Hierbei ist ein qualifiziertes und angemessenes Datenschutzniveau eine unverzichtbare Voraussetzung für vertrauenswürdiges und nachhaltiges unternehmerisches Handeln.
In der Praxis herrscht hier jedoch vielfach Unsicherheit darüber, wie eine Auftragsdatenverarbeitung gesetzeskonform ausgestaltet sein muss. Insbesondere stellt sich die Frage, wann die technisch-organisatorischen Maßnahmen des Auftragnehmers als angemessen zu erachten sind und wie der Auftraggeber dies prüfen muss. Anerkannte Standards liegen dazu bisher nicht vor und langwierige, teure Verhandlungen und Prüfungen zwischen Auftragnehmer und Auftraggeber sind die Folge.
Experten des "Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V." und der "Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V." haben daher den Datenschutzstandard "DS-BvD-GDD-01" speziell für die Auftragsdatenverarbeitung entwickelt. Der Standard gilt für alle Branchen und Dienstleistungen. Er beschreibt insbesondere, welche Anforderungen ein Auftragnehmer erfüllen muss. Beispielhaft seien Prozesse in den Bereichen Auftragsmanagement, Datenschutz, IT-Sicherheit etc. genannt.
Besonderheiten des Zertifizierungsverfahrens von GDD und BvD sind:
Der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Ulrich Lepper, wird das Konzept aus Sicht der für NRW zuständigen Datenschutzaufsichtsbehörde bewerten. Für die Durchführung des Verfahrens, die Verwaltung und Erteilung der Zertifikate haben die Verbände eine neue Gesellschaft, die DSZ Datenschutz Zertifizierungsgesellschaft mbH, Bonn und Berlin gegründet. Diese wird auch die Zulassung und Überprüfung der Auditoren übernehmen.
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
Die GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Sie verfolgt das Ziel, die Daten verarbeitenden Stellen - insbesondere auch deren Datenschutzbeauftragte - bei der Umsetzung der vielfältigen mit Datenschutz und Datensicherung verbundenen rechtlichen, technischen und organisatorischen Anforderungen zu beraten. Die GDD findet die Unterstützung von mehr als 2.500 Unternehmen, Behörden und persönlichen Mitgliedern. Sie stellt damit die größte Vereinigung ihrer Art und zugleich einen der größten Verbände in der Informations- und Kommunikationsbranche in Deutschland dar.
DSZ Datenschutz Zertifizierungsgesellschaft mbH
Die DSZ Datenschutz Zertifizierungsgesellschaft mbH zertifiziert Unternehmen nach dem Datenschutzstandard für Auftragsdatenverarbeiter DS-BvD-GDD-01. Das Unternehmen zertifiziert ebenfalls Auditoren, die Audits nach DS-BvD-GDD-01 durchführen. Getragen wird die DSZ Datenschutz Zertifizierungsgesellschaft mbH von den Fachverbänden "Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V." und "Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V."
Moderne Produktionsprozesse und Dienstleistungen von Unternehmen basieren heute auf dem Fluss von Daten. Dabei sind die Datenverarbeitungen inzwischen hochspezialisiert, so dass sich eine große Bandbreite von Dienstleistern entwickelt hat, die es ihren Auftraggebern ermöglichen, diese Verarbeitungen wirtschaftlich und professionell auszulagern.
Mit der Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz stellt der Gesetzgeber ein Rechtsinstrument bereit, um diese Datenflüsse zu legitimieren.
Hierbei ist ein qualifiziertes und angemessenes Datenschutzniveau eine unverzichtbare Voraussetzung für vertrauenswürdiges und nachhaltiges unternehmerisches Handeln.
In der Praxis herrscht hier jedoch vielfach Unsicherheit darüber, wie eine Auftragsdatenverarbeitung gesetzeskonform ausgestaltet sein muss. Insbesondere stellt sich die Frage, wann die technisch-organisatorischen Maßnahmen des Auftragnehmers als angemessen zu erachten sind und wie der Auftraggeber dies prüfen muss. Anerkannte Standards liegen dazu bisher nicht vor und langwierige, teure Verhandlungen und Prüfungen zwischen Auftragnehmer und Auftraggeber sind die Folge.
Experten des "Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V." und der "Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V." haben daher den Datenschutzstandard "DS-BvD-GDD-01" speziell für die Auftragsdatenverarbeitung entwickelt. Der Standard gilt für alle Branchen und Dienstleistungen. Er beschreibt insbesondere, welche Anforderungen ein Auftragnehmer erfüllen muss. Beispielhaft seien Prozesse in den Bereichen Auftragsmanagement, Datenschutz, IT-Sicherheit etc. genannt.
Besonderheiten des Zertifizierungsverfahrens von GDD und BvD sind:
- Transparenz und Nachprüfbarkeit,
- Neutralität und Expertise,
- sowie ein nachweislicher wirtschaftlicher Nutzen durch klare Kostenvorteile für die beteiligten Unternehmen, Auftraggeber wie Auftragnehmer.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Ulrich Lepper, wird das Konzept aus Sicht der für NRW zuständigen Datenschutzaufsichtsbehörde bewerten. Für die Durchführung des Verfahrens, die Verwaltung und Erteilung der Zertifikate haben die Verbände eine neue Gesellschaft, die DSZ Datenschutz Zertifizierungsgesellschaft mbH, Bonn und Berlin gegründet. Diese wird auch die Zulassung und Überprüfung der Auditoren übernehmen.
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
Die GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Sie verfolgt das Ziel, die Daten verarbeitenden Stellen - insbesondere auch deren Datenschutzbeauftragte - bei der Umsetzung der vielfältigen mit Datenschutz und Datensicherung verbundenen rechtlichen, technischen und organisatorischen Anforderungen zu beraten. Die GDD findet die Unterstützung von mehr als 2.500 Unternehmen, Behörden und persönlichen Mitgliedern. Sie stellt damit die größte Vereinigung ihrer Art und zugleich einen der größten Verbände in der Informations- und Kommunikationsbranche in Deutschland dar.
DSZ Datenschutz Zertifizierungsgesellschaft mbH
Die DSZ Datenschutz Zertifizierungsgesellschaft mbH zertifiziert Unternehmen nach dem Datenschutzstandard für Auftragsdatenverarbeiter DS-BvD-GDD-01. Das Unternehmen zertifiziert ebenfalls Auditoren, die Audits nach DS-BvD-GDD-01 durchführen. Getragen wird die DSZ Datenschutz Zertifizierungsgesellschaft mbH von den Fachverbänden "Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V." und "Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V."
