Alles, was Sie über die DSGVO-Zertifizierung wissen müssen

Die Europäische Datenschutz-Grundverordnung, in der Öffentlichkeit als DSGVO bekannt, ist die europäische Verordnung, die die Regeln festlegt, die bei der Verarbeitung personenbezogener Daten in Europa oder von Europa aus gesammelter Daten eingehalten werden müssen. Die DSGVO gilt für Unternehmen mit Sitz außerhalb Europas, wenn sie Daten verarbeiten, die in Europa gesammelt wurden. Die Nichteinhaltung der DSGVO kann zu erheblichen Geldstrafen führen, die bis zu 4% des weltweiten Umsatzes des nicht konformen Unternehmens betragen können (Art. 87 DSGVO).

DSGVO

Was ist eine DSGVO-Zertifizierung und das Europäische Datenschutzsiegel?

GDPR Compliance Die DSGVO enthält mehr als 70 Verweise auf die Zertifizierung. Wie in Erwägungsgrund 100 und Art. 42 dargelegt, soll die Zertifizierung die Einhaltung der Verordnung fördern und eine einfache Bewertung ermöglichen, ob ein Dienst oder ein Produkt der Verordnung entspricht. Sie gilt für jede Datenverarbeitungstätigkeit, bei der personenbezogene Daten verarbeitet werden und die von einem für die Datenverarbeitung Verantwortlichen oder einem Auftragsverarbeiter durchgeführt wird. Unternehmen können die DSGVO-Zertifizierung unabhängig von ihrem Standort beantragen. In Ländern, in denen die Privatsphäre ihrer Bürger nicht geschützt und respektiert wird, kann die Zertifizierung jedoch unmöglich sein.
Die DSGVO legt drei Hauptbedingungen fest, damit eine DSGVO-Zertifizierung anerkannt wird und im Rahmen der DSGVO Gültigkeit hat:
  1. Der Anwendungsbereich der Zertifizierung muss sich auf die Datenverarbeitungsaktivitäten konzentrieren. Daher sind Zertifizierungen von Managementsystemen, wie z. B. ISO/IEV 27001 und 27701, nach der DSGVO nicht förderfähig.
  2. Die Kriterien müssen vom Europäischen Datenschutzausschuss genehmigt worden sein.
  3. Die Zertifizierung muss von einer Zertifizierungsstelle ausgestellt werden, die eine Akkreditierung gemäß Art. 43 DSGVO erhalten hat. 43 DSGVO.

Die DSGVO unterscheidet zwei Kategorien von Zertifizierungen:
  • Nationale Zertifizierungskriterien, die nur in einem der EU/EWR-Mitgliedsstaaten anwendbar sind.
  • Europäisches Datenschutzsiegel, dessen Kriterien von allen 30 EU-/EWR-Mitgliedstaaten anerkannt werden.

Die Liste der offiziell anerkannten Kriterien (nationale Kriterien und EU-Siegel) wird auf der EDSA-Website veröffentlicht.

Warum sollten Sie eine offizielle DSGVO-Zertifizierung in Betracht ziehen?

Eine DSGVO-Zertifizierung bringt mehrere Vorteile mit sich

Vorteile ansehen

Wie wählen Sie Ihre DSGVO-Zertifizierung aus?

Sie sollten folgende Kriterien beachten:

1. Ist das Zertifizierungssystem offiziell vom EDSA anerkannt?

Ist dies nicht der Fall, hat Ihre Zertifizierung lediglich informativen Charakter, aber keinen rechtlichen Wert gemäß der Datenschutz-Grundverordnung.

2. Gilt das Zertifizierungssystem sowohl für die für die Datenverarbeitung Verantwortlichen als auch für die Auftragsverarbeiter?

Andernfalls kann es passieren, dass Sie zwei verschiedene Schemata verwenden, wenn Sie als Controller und wenn Sie als Prozessor agieren.

3. Sind Ihre Datenverarbeitungsaktivitäten auf ein einziges EU/EWR-Land beschränkt?

Wenn ja, können Sie sich für eine nationale Zertifizierung entscheiden. Wenn nicht, sollten Sie sich für das Europäische Datenschutzgütesiegel entscheiden.

4. Erfüllt sie die Verpflichtungen der DSGVO?

Wenn die von Ihnen verwendeten Kriterien nur einen Teil der Verpflichtungen bewerten (d. h. nicht die Rechtmäßigkeit der Verarbeitung oder der grenzüberschreitenden Datenübermittlung), kann dies zu einer irreführenden Zertifizierung mit blinden Flecken in Bezug auf die Einhaltung der Vorschriften führen.

5. Können Sie zwischen mehreren Dienstleistern wählen?

Andernfalls kann es passieren, dass Sie sich mit nicht wettbewerbsfähigen Kosten und geringerer Servicequalität einschränken.

6. Welchen geografischen Geltungsbereich hat die Zertifizierung im Hinblick auf die Anerkennung der Zertifizierung?

Sie können auch die formale GDPR-Zertifizierungssystem-Bewertungsmethodik verwenden, die auf der Website des Europäischen Zentrums für Zertifizierung und Datenschutz vorgestellt wird: https://eccpcentre.com/csam

Wie erhält man eine DSGVO-Zertifizierung?

Im Prinzip konzentriert sich eine GDPR-Zertifizierung auf die Einhaltung der gesetzlichen Bestimmungen.

Unabhängig von einer Zertifizierung müssen Sie als Erstes sicherstellen, dass Sie die Datenschutz-Grundverordnung einhalten. Sie können Ihre Bemühungen auf Ihre vorrangigen Datenverarbeitungstätigkeiten konzentrieren.
Sobald Sie die Datenverarbeitungstätigkeiten ausgewählt haben, die Sie zertifizieren möchten, gibt es zwei Hauptansätze:

  • Einsatz von qualifizierten Dienstleistern
  • Selbst vorbereiten

In beiden Fällen müssen Sie die Übereinstimmung der gewählten Datenverarbeitung mit den Kriterien dokumentieren. Sie können qualifizierte Lösungsanbieter in Anspruch nehmen, um den Dokumentationsprozess zu beschleunigen und zu erleichtern.
Sobald die Einhaltung der Vorschriften dokumentiert ist, müssen Sie Angebote einholen und eine qualifizierte Zertifizierungsstelle auswählen, die die Einhaltung der Vorschriften überprüft.

Nach dem Audit und der Überprüfung der Einhaltung des Evaluierungsziels entscheidet die Zertifizierungsstelle über die Ausstellung eines Konformitätszertifikats, das drei Jahre lang gültig ist und verlängert werden kann.
Im Falle des Europäischen Datenschutzgütesiegels Europrivacy werden die Zertifikate im Online-Zertifikatsregister von Europrivacy veröffentlicht, das es ermöglicht, die Gültigkeit und Authentizität der ausgestellten Zertifikate zu überprüfen.

Wie viel müssen Sie investieren, und wie hoch ist die Rentabilität der Investition?

Der größte Aufwand entsteht im Vorfeld der Zertifizierung, indem Sie sicherstellen, dass Ihre Datenverarbeitung mit der Verordnung übereinstimmt. Die erforderlichen Investitionen für eine Zertifizierung hängen von mehreren Faktoren ab:

  • ob Sie die Dokumentation der Einhaltung der offiziellen Kriterien auslagern;
  • Wenn Sie unter mehreren Dienstleistern wählen können;
  • Die Komplexität Ihrer Datenverarbeitung;
  • Das Pro-Kopf-BIP Ihres Landes.

Wenn eine Datenverarbeitung mit den Kriterien gut dokumentiert ist, kann die Arbeit der Zertifizierungsstelle weniger als eine Woche pro Zertifikat betragen. Am besten ist es, Angebote von qualifizierten Dienstleistern einzuholen.

Eine Zertifizierung ermöglicht es, rechtliche, finanzielle und Reputationsrisiken erheblich und wirksam zu verringern. Die Europrivacy-Website bietet ein Instrument zur Bewertung der Einsparungen und der Rentabilität Ihrer GDR-Zertifizierung: https://europrivacy.com/en/resource/gdpr-estimator

Wie viel ist zu investieren?

Vorteile einer DSGVO-Zertifizierung

Dokumentieren, demonstrieren und kommunizieren Sie Ihre Compliance

Reduzieren Sie Ihre rechtlichen, finanziellen und Reputationsrisiken

Wertkonformität als Wettbewerbsvorteil

Beitrag zu einem besseren Schutz personenbezogener Daten und der Rechte der Betroffenen

Bewertung der Angemessenheit der bestehenden technischen und organisatorischen Maßnahmen

Erleichterung von Datenübermittlungen (Art. 46 DSGVO)

Einhaltung des Datenschutzes durch Design und durch Voreinstellung (Art. 25 DSGVO)

Verringerung der Risiken bei Datenverarbeitern (Art. 28 DSGVO)

Online-Ressourcen

GDPR Compliance

Offizielle DSGVO-Zertifizierungssysteme

→ Offizielle Website von Europrivacy: https://europrivacy.com

→ Europrivacy-Online-Akademie: https://academy.europrivacy.com

→ Website der Europrivacy-Gemeinschaft und Ressourcen: https://community.europrivacy.com

→ Liste der offiziellen Europrivacy-Partner (Implementierer, Zertifizierungsstellen und Lösungsanbieter): https://europrivacy.com/en/partners/list

→ Offizielles Register der Europrivacy-Zertifikate: https://europrivacy.com/en/resource/registry

→ DSGVO-Verordnung: https://eur-lex.europa.eu/eli/reg/2016/679/oj

→ Website des Europäischen Datenschutzausschusses: https://www.edpb.europa.eu/edpb_de

Häufig gestellte Fragen

Es handelt sich um eine Zertifizierung, mit der die Übereinstimmung der Verarbeitung personenbezogener Daten mit der DSGVO nachgewiesen werden soll. Um gültig zu sein und von den EU/EWR-Behörden anerkannt zu werden, muss eine GDPR-Zertifizierung von einer Zertifizierungsstelle ausgestellt werden, die gemäß Artikel 43 DSGVO akkreditiert wurde. 43 DSGVO akkreditiert wurde und deren Kriterien offiziell vom EDSA gemäß Art. 42 DSGVO.

Vor allem, um Ihre Risiken zu verringern und Ihre Compliance zu verbessern. Es ist eine starke Positionierung zugunsten des Schutzes personenbezogener Daten und der Einhaltung von Vorschriften für alle Beteiligten.

Sie können sich an qualifizierte Dienstleister wenden, die Ihnen helfen, die Einhaltung der Zertifizierungskriterien zu dokumentieren, oder direkt an eine qualifizierte Zertifizierungsstelle, wenn Sie die Dokumentation der Einhaltung bereits abgeschlossen haben. Sie können auch lernen und qualifizierter Experte werden mit dem Europrivacy-Online-Akademie.

Ja, Sie können die offiziell anerkannten Kriterien verwenden, um zu dokumentieren, dass Sie die Verordnung einhalten. Sie können sich dann zu einem späteren Zeitpunkt für eine formelle Zertifizierung entscheiden.