Die DSGVO hat den betrieblichen Datenschutz in ein neues Licht gerückt. Kunden und Geschäftspartner sind kritischer geworden, sie möchten ihre Daten in sicheren Händen wissen. Einige fordern sogar Nachweise über ein angemessenes Datenschutzniveau, andernfalls würden sie keine Aufträge erteilen. Dies macht für mehr Unternehmen eine Datenschutz Zertifizierung notwendig.
Vorsichtige Kunden: Ohne Zertifizierung keine Zusammenarbeit
Am häufigsten sind Zertifizierungen ein Thema, wenn es um die Zusammenarbeit (z.B. als Auftragsverarbeiter) mit Großunternehmen geht. Im Konzernumfeld wird hierauf großer Wert gelegt: Wer keinen zertifizierten Datenschutz nachweisen kann, kommt als Geschäftspartner häufig nicht infrage.
Ähnlich ist die Situation, wenn sich ein Unternehmen mit seinen Produkten oder Leistungen an Verbraucher richtet. Der Wunsch nach einem sicheren Umgang mit personenbezogenen Daten ist größer denn je. In bestimmten Bereichen ist der Datenschutz zu einem wichtigen Auswahlkriterium seitens der Kunden herangewachsen.
Datenschutzniveau per Zertifizierung nachweisen
Kunden und Geschäftspartner sind Außenstehende und haben somit keinen Einblick in die Datenschutzaktivitäten eines Unternehmens. Unter normalen Umständen ist für sie nicht erkennbar, wie personenbezogene Daten geschützt werden. Nur ein Teil der Maßnahmen ist von außen wahrzunehmen.
Aus diesem Grund gibt es Zertifizierungen. Sie bauen auf ein Rahmenwerk an Vorgaben auf, die vom Unternehmen zu erfüllen sind. Es findet eine unabhängige Überprüfung statt, die
– sofern sie bestanden wird – zur Zertifizierung führt. Das mittels der unabhängigen Bewertung erhaltene Zertifikat / Prüfsiegel bestätigt die Einhaltung der Datenschutzvorgaben und schafft so Transparenz und Vertrauen.
Prüfungsumfang: vom einzelnen Produkt bis zum ganzen Unternehmen
Es ist nicht zwingend notwendig, dass sich ein Unternehmen vollständig zertifizieren lässt. Je nach Zielsetzung (z.B. für Marketing- und Vertriebszwecke) kann es unter Umständen genügen, ausgewählte Produkte oder Dienstleistungen zu zertifizieren.
Sonderfall DSGVO Zertifizierung
Zertifizierungen gibt es schon lange, allerdings hat sich mit dem Inkrafttreten der DSGVO einiges geändert. So hat vor allem die Anzahl der zertifizierenden Anbieter zugenommen, wodurch es für Unternehmen nicht leichter wird, die passende Zertifizierungslösung zu finden.
Erschwerend kommt hinzu, dass es eine offizielle DSGVO-Zertifizierung derzeit (Stand April 2022) noch nicht gibt. Die EU mit ihren Behörden, wie z.b. dem Europäische Datenschutzausschuss (EDSA), hat bisher kein Rahmenwerk geschaffen.
Inzwischen arbeiten jedoch verschiedene Zertifizierungsstellen aus der Wirtschaft daran, derartige Standards zu etablieren. Dies geschieht in enger Abstimmung mit öffentlichen Organen, wie den Aufsichtsbehörden der Länder. Art. 43 DSGVO besagt, dass eine Akkreditierung der Zertifizierungsstellen durch Aufsichtsbehörden oder staatliche Akkreditierungsstellen zu erfolgen hat.
Gültigkeit der Datenschutz Zertifizierung
Eine Überprüfung / ein Audit durch eine Zertifizierungsstelle stellt immer nur eine temporäre Aufnahme dar. Mit der Zeit können sich Geschäftsprozesse und sogar datenschutzrechtliche Vorgaben ändern – und damit auch die Anforderungen an den Datenschutz. Deshalb gilt eine Zertifizierung nur für begrenzte Zeit. Gemäß Art. 42 DSGVO darf die Gültigkeit maximal drei Jahre betragen.
In der Wirtschaft können striktere Vorgaben gelten. Unter Umständen ist ein Unternehmen aufgrund seiner Verpflichtungen gegenüber Partnern dazu angehalten, frühere Rezertifizierungen (z.B. im jährlichen Turnus) vorzunehmen.
Zertifizierungkosten
Die Kosten einer Datenschutz Zertifizierung variieren sehr. Einfluss auf die Höhe der Kosten haben vorrangig Umfang, Prüftiefe und Anbieterwahl.
- Umfang: Es ist zu berücksichtigen, ob lediglich ein bestimmtes Produkt / eine Leistung auf dem Prüfstand steht oder das gesamte Unternehmen mit all seinen Prozessen.
- Prüftiefe: Wie umfangreich sind die zu prüfenden Bereiche und welche Tiefe haben die betroffenen Prozesse? Wird nach BDSG, DSGVO oder ISO geprüft? Je höher der Prüfaufwand, desto höher die Kosten.
- Anbieterwahl: Je nach Zertifizierungsstelle sind Kostenunterschiede möglich.
Im Allgemeinen gilt, dass die Erstzertifizierung an die höchsten Kosten gekoppelt ist. Die Kosten für nachfolgende Rezertifizierungen / Überwachungsaudits liegen niedriger, da Abläufe schon bekannt und damit weniger Vorbereitungen notwendig sind.
Sie möchten Ihren Datenschutz zertifizieren?
Als externer Datenschutzbeauftragter überprüfen wir den Datenschutz in zahlreichen Unternehmen. Besonders für Unternehmen aus dem KMU-Umfeld, die ihren Datenschutz für Kunden transparenter machen wollen, halten wir attraktive Lösungen bereit. Für weitere Informationen nutzen Sie unsere kostenlose Erstberatung.