In der Datenschutz-Grundverordnung wird in Art. 42, 43 DS-GVO die Einführung eines datenschutzspezifischen Zertifizierungsverfahrens bzw. Datenschutzsiegels und Prüfzeichens thematisiert.

Diese Forderung dient in erster Linie dazu, dass Unklarheiten zur Feststellung des Bestehens eines angemessenen Datenschutzniveaus bei einem Verantwortlichen beseitigt werden sollen.

Als Vorteile eines solchen Zertifizierungsverfahrens sind unter anderem die Erfüllung der Pflichten des Verantwortlichen, die Sicherheit der Datenverarbeitung, die Ausgestaltung der datenschutzfreundlichen Voreinstellungen, die Erleichterung einer Datenschutz-Folgenabschätzung und vor allem die Nachweisbarkeit der Garantien des Auftragsverarbeiters zu sehen.

Neben der originären Funktion des Datenschutzes kann auch der wettbewerbsrechtliche Aspekt einer solchen Kennzeichnung vorteilhaft sein.

I. Bisherige Prüfmechanismen und Datenschutzkriterien

Bisher gab es neben den Prüfberichten unabhängiger Stellen keine einheitliche Prüfkette zum Datenschutz, sondern es wurden nur Teilbereiche betrachtet, wie beispielsweise im Informationssicherheitsmanagement nach ISO 27001.

Die Aufsichtsbehörden des Bundes und der Länder sind damit befasst, dass entsprechende abgestimmte und länderübergreifende Datenschutzkriterien mit der Zielstellung der Schaffung einer Zertifizierung entwickelt werden.

Unabhängig von dem Bedürfnis eine Zertifizierungsmöglichkeit zu schaffen, stellen die Aufsichtsbehörden immer mehr Fragenkataloge zur Beantwortung vom Verantwortlichen auf. So beispielhaft die Landesbeauftragte für den Datenschutz in Niedersachsen mit einem Fragen- und Kriterienkatalog zur Querschnittsprüfung in der Wirtschaft. Diese Fragen mussten als Prüfungsmaßnahme von ausgewählten großen und mittelgroßen Unternehmen beantwortet werden. Eine Auswertung der zehn Fragenkomplexe (z.B.: Verzeichnis von Verarbeitungstätigkeiten, Zulässigkeit der Verarbeitung, Betroffenrechte usw.) wird derzeit vorgenommen.

Die ISO 27701 soll nun aktuell die Möglichkeit bieten die Einhaltung des Datenschutzes nachweisen zu lassen (genauer bezeichnet als „ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“).

II. Neuerungen

Die ISO 27001 als Anforderungen des Informationssicherheits-Management-Systems (ISMS) wird sozusagen explizit um den Datenschutz hinsichtlich der den technischen und organisatorischen Maßnahmen und der Risikobeurteilung erweitert. Für den Abschluss der Norm muss zuallererst die ISO 27001 erfüllt werden. Inhaltlich gibt die Norm Hinweise zur Einbeziehung des Datenschutzes in die Leit- und Richtlinien, Benennung eines Verantwortlichen für das „Privacy Information Management System“, Schaffung von Schulungsmöglichkeiten, Protokollierung, Verschlüsselung, Technikgestaltung sowie zur Handhabung von Sicherheits- und Datenschutzvorfällen.

Grundsätzlich ist es aus praktischer Sicht notwendig, dass der Datenschutz als auch die Informationssicherheit im Einklang betrachtet werden. Inwieweit diese Art der Zertifizierung ein praktisches Mittel wird, um den Datenschutz nachzuweisen muss sich in der Praxis zeigen. Zudem muss gemäß Art. 43 DS-GVO auch berücksichtigt werden, dass die DS-GVO eine Zertifizierungsstelle nach ISO 17065 für Produkte und Prozesse vorsieht.  

Sofern die Zertifizierung umgesetzt werden soll und bereits die Anforderungen einer ds-gvo-konformen Verarbeitung vom Verantwortlichen eingehalten werden stellt diese zumindest ein Mittel dar, um den Datenschutz noch transparenter zu gestalten.