Wer personenbezogene Daten verarbeitet, muss der DSGVO genügen. Wer zum Beispiel ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten beauftragen möchte, muss sich vor der Auftragsvergabe vergewissern, dass beim Auftragsverarbeiter der Datenschutz eingehalten wird. Der Auftraggeber muss also eine Erklärung abholen, wonach der Partner geprüft und der Datenschutz-Status ausreichend ist. Wer im Gegenzug personenbezogene Daten im Auftrag verarbeitet, muss garantieren und nachweisen können, dass dies DSGVO-konform geschieht – er muss also eine entsprechende Erklärung abgeben.
In beiden Fällen ist ein Zertifikat erforderlich, auf dem steht: Jawohl, ist geprüft und wird den Anforderungen der DSGVO gerecht. Die Datenschutz-Grundverordnung selbst sieht in Art. 42 derartige Zertifizierungen vor. Leider lässt sich der Gesetzgeber nichts Genaueres zum Zertifizierungsverfahren entlocken. Die Verantwortlichen von kleinen und mittleren Unternehmen (KMU) stellen sich daher die Frage: Was tun?
Einfach und schnell kann eine privatrechtliche Zertifizierung über Dienstleister wie die IITR Cert GmbH funktionieren. Das Unternehmen aus Gröbenzell bei München ist auf den Datenschutz spezialisiert und in der Lage, die in einem Unternehmen implementierten Prozesse im Umgang mit personenbezogenen Daten auf Datenschutz-Konformität zu prüfen und zu zertifizieren. IITR Cert hat eine Möglichkeit entwickelt, um das erforderliche Audit weitgehend zu automatisieren: Privacy Status Evaluation (PSE) heißt das Online-System, das einem Unternehmen im einfachsten Fall binnen acht Tagen ein gültiges und adäquates Datenschutz-Zertifikat verschafft.
Wie funktioniert die PSE?
PSE ist eine Online-Plattform, die den Anwender oder das zu zertifizierende Unternehmen zunächst vor einen umfangreichen Fragenkatalog stellt. Welche Fragen es im Einzelnen sind, richtet sich nach der angestrebten Konformitätsbewertung. Hier stehen verschiedene Certified Privacy Standards (CPS) zur Verfügung – je nach Unternehmensgröße und Art der Datenverarbeitung. Unterschieden wird zwischen CPS 100 (Nachweis für mittelständische Unternehmen), CPS 600 (Nachweis für kleine Unternehmen) und CPS 300 (Nachweis für Auftragsverarbeiter nach Art. 28 DSGVO).
Sobald Sie alle Fragen eines CPS beantwortet haben, beginnt die Bewertung der Antworten inklusive Plausibilitätsprüfungen. Diese Bewertung kann je nach Aufwand etwa ein bis zwei Wochen dauern und Rückfragen zu nicht eindeutig bewertbaren Sachverhalten beinhalten. Das Ergebnis enthält auch Vergleiche mit der vorhandenen Datenbasis und ist ein präziser Auditbericht über den Datenschutz-Zustand Ihres Unternehmens. Der Bericht kann auch Schwachstellen in Form von Abweichungen und Verbesserungspotenzialen beinhalten.
Wenn die Auswertung ergibt, dass der Datenschutz-Status nicht ausreichend ist, müssen Sie die Abweichungen zur Sicherstellung der DSGVO-Konformität bearbeiten. Ist der Status von vornherein oder nach einer wiederholten Prüfung ausreichend, erhalten Sie ein Zertifikat zur Bestätigung der Konformität mit dem entsprechenden CPS.
Praktische Punkte der PSE-Abfrage
Die Fragen des PSE-Audits sind in gut verständlicher Sprache formuliert – soweit das Juristendeutsch der DSGVO dies zulässt – und heben den jeweils wesentlichen Kontext der Frage deutlich hervor. Abgefragte Themenkomplexe sind zum Beispiel: Datenweitergabe (automatisiert oder manuell), Datenschutzbeauftragte (intern oder extern), Beschäftigte, Vertraulichkeit, Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle, Datenverarbeitungsanlagen (vor allem Serverräume) und Betroffenenrechte.
Die Auditoren interessiert außerdem, wie Sie mit eventuellen Datenschutzverletzungen umgehen, welche Verfahren dafür vorgesehen sind und wie Sie den gesetzlichen Meldepflichten genügen. Falls Sie Daten im Auftrag verarbeiten, spielt auch eine Rolle, wie die Löschung oder die Rückgabe der personenbezogenen Daten des Auftraggebers geregelt ist.
Zeitaufwand und Kosten
Für die Beantwortung der Fragen sollten Sie mindestens einen halben Tag einkalkulieren. Auf den ersten Blick ist das viel Zeit. Tatsächlich ist es aber so, dass Sie mit der online-basierten PSE das Audit so effizient wie möglich abarbeiten können. Das schlägt sich nicht zuletzt auch in den extrem überschaubaren Kosten dieses Vorgehens nieder. Ein Audit, das im Rahmen von 1.500 bis 2.000 € bleibt, werden Sie sonst vergeblich suchen – sofern Sie überhaupt verlässliche Auskunft bekommen.
Eine Privacy Status Evaluation funktioniert auch für einzelne Abteilungen (Personal, IT, Vertrieb, Marketing etc.) und sogar für klar abgegrenzte Datenverarbeitungstätigkeiten (Bewerbermanagement, Personalakten, Videoüberwachung etc.). Besonders praktisch: Nach Abschluss können Sie das eigene Datenschutzniveau mit den gesetzlichen Vorgaben vergleichen.
Fazit: Nachweisbar datenschutz-konform
Die Gesetzgeber haben bis dato noch nicht festgelegt, welche Stellen eine förmliche DSGVO-Zertifizierung durchführen können und dürfen. Ebenso offen ist noch, wie eine derartige Zertifizierung aussehen soll und wo wiederum die Zertifizierer akkreditiert sein sollen. Somit sind Sie in einer Zwickmühle: Sie müssen nachweisen, dass Sie datenschutzkonform handeln, erfahren aber nicht, wie das genau geschehen soll.
In diese Lücke tritt die PSE-Lösung. Mit der Privacy Status Evaluation wählen Sie eine pragmatische, praxisorientierte und sichere Lösung: Ausgebildete Datenschutzexperten und Auditoren begutachten Ihre Datenschutzprozesse anhand der Antworten auf die Fragereihen und bescheinigen Ihnen Konformität mit den an den DSGVO-Anforderungen orientierten Datenschutz-Standards der IITR Cert GmbH.
Weitere Informationen: https://www.iitr-cert.com/