Österreichische Datenschutzbehörde legt Verordnungsentwurf für datenschutzrechtliche Zertifizierungen vor
Beitrag verfasst von Mag. Maximilian Kröpfl am 07.05.2020 – KTR-Newsletter Juni 2020
Die Datenschutz-Grundverordnung unterscheidet zwischen bloß privaten Zertifikaten und echten DSGVO-Datenschutzzertifikaten, -prüfzeichen und -siegeln. Die österreichische Datenschutzbehörde hat diese Woche ihren Entwurf für eine Verordnung über die Anforderungen an die Akkreditierung einer Zertifizierungsstelle (Zertifizierungsstellen-Akkreditierungs-Verordnung; kurz: ZeStAkk-V) mit der Bitte um Stellungnahmen an einen ausgewählten Expertenkreis ausgesandt.
Was wird zertifiziert?
Gegenstand einer genehmigten datenschutzrechtlichen Zertifizierung ist immer eine Datenverarbeitung im Zusammenhang mit personenbezogenen Daten. Vor dem Hintergrund, dass eine Prüfung der Datenverarbeitung auch die eingesetzten technischen Systeme sowie die Verarbeitungsorganisation umfasst, werden Hard- und Software sowie getroffene technischen und organisatorische Maßnahmen (wie ein Datenschutzmanagementsystem) mittelbar geprüft und zertifiziert. Wenngleich auch nur Teilbereiche einer Datenverarbeitung zertifizierungsfähig sind, sind Organisationen oder Verantwortliche bzw. Auftragsverarbeiter in ihrer Gesamtheit nicht zertifizierungsfähig.
Eine solche datenschutzrechtliche Zertifizierung ist für drei Jahre gültig. Während dieses Zertifizierungszeitraums hat die Zertifizierungsstelle ein Überwachungsaudit durchzuführen. Dieses soll sicherstellen, dass Verantwortliche oder Auftragsverarbeiter die Zertifizierungskriterien dauerhaft und nicht bloß zum (Re-)Zertifizierungszeitpunkt vollumfänglich einhalten. Wenngleich der Verordnungsentwurf über die Frequenz dieser Überwachungsaudits schweigt, lässt ein Blick nach Deutschland vermuten, dass zumindest ein Überwachungsaudit pro Zertifizierungszeitraum erwartet wird.
Wozu Zertifizierung?
Mit solchen genehmigten datenschutzrechtlichen Zertifizierungen sollen die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten erhöht und die Einhaltung der DSGVO verbessert werden. So können datenschutzspezifische Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen als Faktoren herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen oder die korrekte Implementierung von technischen und organisatorischen Maßnahmen nachzuweisen. Darüber hinaus können datenschutzrechtliche Zertifizierungen geeignete Garantien für den internationalen Datentransfer darstellen. Sollte bei der Einhaltung des Datenschutzes doch einmal etwas schiefgehen, so hat die Datenschutzbehörde das Bestehen einer datenschutzrechtlichen Zertifizierung bei der Entscheidung über das Verhängen einer Geldstrafe oder der Festsetzung der Strafhöhe gebührend zu berücksichtigen. Alle diese Vorteile gelten freilich nur für aufrechte genehmigte datenschutzrechtliche Zertifizierungen.
Doch wie helfen datenschutzrechtliche Zertifizierungen in der täglichen Unternehmenspraxis? Eine datenschutzrechtliche Zertifizierung kann beim Nachweis guter datenschutzrechtlicher Praxis unterstützen. Darüber hinaus kann sie die Auswahl von Auftragsverarbeitern nicht nur effizienter, sondern auch kostengünstiger gestalten. Das Vorliegen einer datenschutzrechtlichen Zertifizierung gibt dem Unternehmen als Verantwortlichem die Sicherheit, dass der zertifizierte Umfang den genehmigten Zertifizierungskriterien entspricht. Deshalb bringt eine Zertifizierung überdies einen Wettbewerbsvorteil für all jene Brachen, die regelmäßig als Auftragsverarbeiter tätig werden. Wer ein Zertifikat, Prüfzeichen oder Siegel zum Nachweis genehmigter datenschutzrechtlicher Konformität vorweisen kann, ist der Konkurrenz einen Schritt voraus.
Doch kommen die Kosten der Zertifizierung auch wieder herein? Sieht man über datenschutzrechtliche Zertifizierungen hinaus, so zeigen Studien, dass Produkte und Dienstleistungen, die mit einem Zertifikat werben, regelmäßig höhere Preise erzielen. So haben Erhebungen ergeben, dass die Zertifizierung von Bio-Milch zu einem Preisanstieg von 40 % führte, bei Rindfleisch entsprechend um 22 %. Die Zertifizierung einer E-Commerce-Webseite rechtfertigte eine höhere Marge von durchschnittlich 1,5 %.
Wir bei Knyrim Trieb Rechtsanwälte sehen ein großes Potential in der datenschutzrechtlichen Zertifizierung. Durch die jahrelange Zusammenarbeit mit Unternehmen aller Branchen und aller Größen wissen wir, wie aufwändig gutes Datenschutzmanagement ist. Gerade im Dienstleistungsbereich erhoffen wir uns von guten und vertrauenswürdigen genehmigten Zertifikaten eine Erleichterung für die vielen Experten ihres Faches, die regelmäßig als datenschutzrechtliche Auftragsverarbeiter tätig werden. Wir informieren Sie gerne und stehen Ihnen mit Rat, Tat und Passion zur Seite.