Zertifizierung nach DSGVO: 2022 soll das Datenschutz-Gütesiegel für IT-Leistungen kommen

Eine TÜV-Plakette für datenschutzgerechte Programme? Softwareentwickler und IT-Dienstleister tun gut daran, ihre Produkte und Services nach den Anforderungen der Datenschutzgrundverordnung zu gestalten.

Die Branche ist besonders anfällig für „Datenschutzsünden“ und steht regelmäßig im Fokus der öffentlichen Wahrnehmung. Immer wieder wurde deshalb auf die Notwendigkeit eines Datenschutz-Gütesiegels hingewiesen – sowohl im Interesse der Verbraucher als auch für die Rechtssicherheit auf Seiten des Anbieters. Passiert ist bislang nicht viel. Fünf Jahre nach Inkrafttreten der DSGVO blieb es bei einer sinnvollen Idee, die nicht umgesetzt wurde. 2022 soll das anders werden. Dann werden in Deutschland erstmals Zertifizierungsstellen eine Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) erhalten haben und ihre Arbeit aufnehmen können – der Startschuss für die ersten Zertifizierungen nach DSGVO.

Der lange Weg zum Prüfsystem

Von der Antragsphase mit Programmprüfung bis zur Überwachungsphase wäre es ein durchaus aufwendiger Zertifizierungsprozess, der gemäß Art. 42 DSGVO IT-Leistungen auf den Prüfstand stellen soll. Dieser Audit ist eine Kontrollmöglichkeit, die schon beim Grundlegenden anfangen sollte: Gibt es im Unternehmen einen Datenschutzbeauftragten? Finden Schulungen statt? Wie sicher laufen die Computersysteme? Oder: Wer hat Zugang zu personenbezogenen Daten? Dabei soll – so die Vision der Datenschützer – ein Prüfverfahren zur Anwendung kommen, das für alle zu prüfenden Firmen einheitlich ist.

Ironischerweise hat nun das Prüfverfahren für ein gültiges Zertifizierungsprogramm selbst eine beträchtliche Zeit in Anspruch genommen. Schon 2016 war die Zertifizierung ein Thema, mit dem sich unter anderem der Europäische Datenschutzausschuss (EDSA) eingehend befasst hatte. Da die normalerweise verbindlichen Normen der Internationalen Standardisierungsorganisation ISO beim Datenschutz nicht greifen, war ein komplexer Abstimmungsprozess ins Rollen gekommen. Und weil gleich mehrere Zertifizierungsunternehmen aus Nordrhein-Westfalen ihre Programme zur Akkreditierung eingereicht haben, gilt die Landesdatenschutzaufsicht von NRW innerhalb von Deutschland als Vorreiter des neuen DSGVO-Gütesiegels. Von dort kamen nun Signale, dass im ersten Halbjahr 2022 die ersten Zertifizierungsstellen am Markt zugelassen sein werden und ihre Arbeit aufnehmen können.

Erste Anbieter aus Deutschland

Konkret geht es dabei, wie auch Heise online berichtet, unter anderem um den Datenschutzzertifizierer Europrise aus Bonn, der bei der NRW Datenschutzaufsicht im September 2021 einen Kriterienkatalog für die Prüfung der Auftragsdatenverarbeitung vorgelegt hat – ein Pionierprojekt. Zu den Prüfpunkten gehören beispielsweise die Interaktion des Auftragsverarbeiters mit den anderen Beteiligten, die Vertragsprüfung, die Umsetzung von Vertragspflichten und die technologischen sowie organisatorischen Voraussetzungen.

Dieser Kontrollkatalog war von den deutschen Behörden positiv aufgenommen worden. Die Zertifizierer vom Rhein sitzen nun in den Startlöchern, warten aber noch auf das Okay von EDSA, der sich derzeit im Kohärenzverfahren mit der Vorlage befasst und dieses wohl im März 2022 abgeschlossen haben will. Wenn alles reibungslos läuft, erteilen dann die deutschen Stellen die erhoffte Akkreditierung. Diese gilt aber nur innerhalb des Landes. Für Europa bedarf es einer weiteren Entscheidung.

Die Zertifizierung als Wettbewerbsvorteil

Weitere deutsche Unternehmen drängen auf den Zertifizierungsmarkt. Dabei schält sich heraus, dass verschiedene Firmen eine Spezialisierung anstreben, etwa ein DSGVO-Siegel für IT-Unternehmen, die auf die Verarbeitung von Personendaten ausgerichtet sind und eine maßgeschneiderte Zertifizierung erhalten sollen – ohne Berücksichtung von eher abseitigen Kontrollthemen. Die neuen Anbieter von Zertifizierungen werben damit, dass die „DSGVO-Plakette“ ein Wettbewerbsvorteil sein kann, zumal Kunden nicht erst seit den Rekord-Bußgeldern gegen Amazon und WhatsApp für Datenschutzbelange sensibilisiert sind und ihre Auswahl kritisch treffen.