Umsetzung Datenschutz-Grundverordnung – Warum es die EU-DSGVO nicht auf Knopfdruck gibt

Am 25.Mai 2018 ist es soweit. Die neue Datenschutz-Grundverordnung tritt in Kraft. Jedes Unternehmen, welches mit personenbezogenen Daten arbeitet, muss ab diesem Tag alle Vorkehrungen getroffen haben, um die Anforderungen der EU-DSGVO zu erfüllen. Also: Umsetzung Datenschutz-Grundverordnung – was muss passieren? Eine erste Recherche ist sinnvoll. Google liefert zum Thema „EU-DSGVO“ ungefähr 334.000 Ergebnisse (in nur 0,44 Sekunden). Neben Informationen erscheinen Produkte, Lösungen, Siegel und Zertifikate.

Nach Art. 40 f. DSGVO und Art. 42 ff. DSGVO könnten Verhaltensregeln wie auch Zertifizierungen, Datenschutzsiegel und -prüfzeichen Erleichterungen zum Nachweis DSGVO-konformen Verhaltens bieten. Doch attestieren Verhaltensregeln, Zertifizierungen & Co. per se Konformität der Datenverarbeitungsvorgänge mit der DSGVO? Wir haben uns die Rechtslage hierzu einmal genauer angesehen.

Und jetzt räumen wir auf mit der EU-DSGVO!

Umsetzung Datenschutz-Grundverordnung – gibt es ein EU-DSGVO Zertifikat?

Nein. Bisher nicht. Es tut mir leid Sie hier enttäuschen zu müssen. Auch wenn unser EU-DSGVO Fantasie-Siegel Ihr Herz vorerst hat höherschlagen lassen. Es gibt bisher weder ein DSGVO Zertifikat noch ein Datenschutz-Grundverordnungs Siegel. Auch gibt es bisher weder Akkreditierungsvorschriften noch genehmigte Zertifizierungsverfahren, Verhaltensregeln oder überhaupt Verfahren für die Zulassung durch Befugnis erteilende Behörden.

Fantasie EU-DSGVO Siegel als Hilfe zur Umsetzung Datenschutz-Grundverordnung
EU-DSGVO Fantasie-Siegel

Die DSGVO führt in Art. 40 ff. verschiedene Möglichkeiten auf, die den Nachweis DSGVO-konformer Verarbeitungsverfahren erleichtern können. Namentlich handelt es sich hierbei um Verhaltensregeln (Art. 40 f. DSGVO) sowie um Zertifizierungen, Datenschutzsiegel und Datenschutzprüfzeichen (Art. 42 ff. DSGVO). All diese Instrumente sind jedoch nicht als Persilschein zu verstehen und entbinden die Verantwortlichen nicht von einer rechtskonformen Umsetzung der Datenschutz Grundverordnung. Somit stellen sie nur einen Teilaspekt des einzuführenden Risikomanagements dar.

 

Wird es Zertifizierungen gem. EU-DSGVO geben?

Hoffentlich! Denn das würde eine objektive Einschätzung zulassen.

Festzuhalten ist: Bisher sind weder Zertifizierungen nach Art. 42 ff. DSGVO erteilt worden, noch sind Zertifizierungsstellen akkreditiert und damit zur Erteilung von Zertifizierungen ermächtigt worden. Darüber hinaus sind – soweit ersichtlich – den zuständigen Aufsichtsbehörden bislang auch keine ausgearbeiteten Verhaltensregeln zur Genehmigung vorgelegt worden. Weiterhin ist nicht bekannt, dass die zuständigen Aufsichtsbehörden derzeit Stellen zur Überwachung von Verhaltensregeln mit entsprechender Akkreditierung ausstatten.

Daraus folgt, dass es bislang – soweit ersichtlich – weder produkt- noch verarbeitungsvorgangsspezifische offizielle und vertrauenswürdige Guidelines zur Erleichterung des Nachweises DSGVO-konformen Verhaltens gibt. Nach aktuellem Stand wird es zudem auch noch einige Monate dauern, bis solche Instrumente Anwendung finden können. Um das Ganze etwas zu verdeutlichen klären wir mal kurz die Begriffe:

Was sind Verhaltensregeln?

Verhaltensregeln (auch „Code of Conduct“) im Sinne der DSGVO beschreiben und konkretisieren technische und organisatorische Maßnahmen, die im Hinblick auf einen bestimmten Kontext, ein bestimmtes Produkt oder für eine gesamte Branche zutreffend sind. Berechtigt zur Erstellung von Verhaltensregeln sind nach Art. 40 Abs. 2 und Abs. 5 DSGVO Branchen- und Berufsverbände oder auch Konzerne selbst. Damit Verhaltensregeln im Sinne des Art. 40 DSGVO Rechtswirkung erzeugen können und hierdurch den Nachweis DSGVO-konformer Verarbeitungsprozesse erleichtern, müssen sie von der zuständigen Aufsichtsbehörde genehmigt werden und von dieser bzw. einer nach den Vorgaben des Art. 41 Abs. 2 DSGVO akkreditierten Stelle überwacht werden.

Und was sind Zertifizierungen?

Zertifizierungen (wie auch Datenschutzsiegel und -prüfzeichen) sollen nach Art. 40 Abs. 1 DSGVO dem Nachweis dienen, dass Datenverarbeitungsvorgänge DSGVO-konform ablaufen. Sie beabsichtigen insbesondere, es den Betroffenen zu ermöglichen, das Datenschutzniveau von Verarbeitungsvorgängen schnell zu bewerten, wodurch ihnen eine Entscheidungsgrundlage über die Preisgabe ihrer Daten gegeben wird.

Wer darf die Zertifizierungen erteilen?

Gem. Art. 42 Abs. 5 und Art. 43 DSGVO sind nur die zuständigen Aufsichtsbehörden sowie akkreditierte Zertifizierungsstellen berechtigt. Die Höchstdauer einer Zertifizierung beträgt 3 Jahre mit der Option zur Verlängerung, wenn die Voraussetzungen weiterhin erfüllt werden.

Welche Anwendungsbereiche gibt es?

Gegenstand von Zertifizierungen kann nur der prozessbezogene Verarbeitungsvorgang sein, jedoch nicht eine bestimmte Software. Eine Zertifizierung kann hierbei dem Nachweis dienen, dass der entsprechende Datenverarbeitungsvorgang DSGVO-konform gestaltet ist.

Also: Es ist nicht möglich ein gesamtes Produkt zu zertifizieren. Jedoch können sämtliche im Zusammenhang mit einem Produkt stehenden Verarbeitungsvorgänge an sich zertifiziert werden.

Welche Wirkung haben Zertifikate?

Zertifizierungen dienen dem erleichterten Nachweis von DSGVO-konformen Verarbeitungsvorgängen. Sie erhöhen deren datenschutzrechtliche Transparenz und damit die Rechtssicherheit. Die Zertifizierung gilt zudem als Faktor zur Minderung von möglichen Sanktionen.

WICHTIG: Eine Zertifizierung erzeugt nach Art. 42 Abs. 4 DSGVO allerdings keine unmittelbare Legalisierungswirkung entsprechender Verarbeitungsprozesse. Auch weiterhin müssen die für den Datenschutz verantwortlichen Stellen dafür Sorge tragen, dass die Vorgaben der DSGVO eingehalten werden.

Also?

Verhaltensregeln dienen zur Unterstützung einer kontinuierlichen und freiwilligen Selbstkontrolle anhand vorgegebener Kriterien. Eine solche kann meist ressourcenschonend und damit kostengünstig erfolgen. Zertifizierungen verlangen dagegen eine ressourcenintensive Vorabüberprüfung konkreter Verarbeitungsvorgänge und -maßnahmen vor Ort und sind damit vergleichsweise teurer sowie zeitintensiver.

Unternehmen und Organisationen, die zeitnah und für eine Vielzahl von Verarbeitungsvorgängen eine Erleichterung im Nachweis deren DSGVO-Konformität anstreben, sollten solche für ihre Verarbeitungsprozesse geltenden Verhaltensregeln befolgen und sich von einer nach Art. 41 DSGVO akkreditierten Stelle überwachen lassen. Wenn dagegen – oder auch ergänzend dazu – eine Erleichterung des Nachweises für einzelne Verarbeitungsvorgänge begehrt wird, so kann für diese eine Zertifizierung beantragt werden.

Umsetzung Datenschutz-Grundverordnung – aber wie?

Die Umsetzung der DSGVO erfordert aktuell und auch künftig mehr als nur den Kauf eines Produkts oder die Installation einer neuen Software. Dies gilt auch für den Fall, dass das beworbene Produkt als zur Herstellung ausreichender  Datenschutzkonformität beworben wird. Machen Sie sich bewusst, dass Sie in der Verantwortung sind. Ein Produkt oder eine Software kann Sie bei der Umsetzung unterstützen, Ihnen aber nicht die gesamte Arbeit abnehmen und schon gar nicht die Verantwortung, DSGVO konform zu agieren. Dies gilt auch künftig. Denn eine Zertifizierung oder die Unterwerfung unter Verhaltensregeln kann eine Hilfestellung bieten und als Nachweis zur Umsetzung bestimmter Teilaspekte der DSGVO dienen. Diese Instrumente entbinden aber ausdrücklich nicht von einer kontinuierlichen Prüfung.

In diesem Sinne: Die EU-DSGVO gibt es nicht auf Knopfdruck. Auch wenn manche Marktbegleiter das weismachen wollen. Es ist so nicht richtig.

Bei Fragen kommen Sie gerne persönlich mit uns ins Gespräch: DSGVO@d-velop.de

Übrigens…

Erfahren Sie in unserem Experten-Webinar mit Rechtsanwalt Christian Völkel aus erster Hand, wie Sie die Datenschutz-Grundverordnung bis Mai 2018 gezielt umsetzen können.

zum Webinar

 


Die auf die Einhaltung und Umsetzung datenschutzrechtlicher Vorgaben der DSGVO und des BDSG bezogenen Informationen und Angaben in diesem Beitrag in diesem Blogartikel  stellen keine rechtliche Beratung im Einzelfall dar und ersetzen eine solche daher ausdrücklich nicht. Sie sollen lediglich für aktuelle und datenschutzrechtlich relevante Themen sensibilisieren und rechtlich unverbindliche allgemeine Informationen zur Verfügung stellen. Für die Umsetzung der datenschutzrechtlichen Vorgaben von DSGVO und BDSG in Ihrem Unternehmen empfehlen wir Ihnen ausdrücklich, fachkundige Beratung in Anspruch zu nehmen.


 

Lisa Böcker

Marketing Manager Verticals, d.velop AG