Was ist eine DSGVO-Zertifizierung und das Europäische Datenschutzsiegel?
Die DSGVO legt drei Hauptbedingungen fest, damit eine DSGVO-Zertifizierung anerkannt wird und im Rahmen der DSGVO Gültigkeit hat:
- Der Anwendungsbereich der Zertifizierung muss sich auf die Datenverarbeitungsaktivitäten konzentrieren. Daher sind Zertifizierungen von Managementsystemen, wie z. B. ISO/IEV 27001 und 27701, nach der DSGVO nicht förderfähig.
- Die Kriterien müssen vom Europäischen Datenschutzausschuss genehmigt worden sein.
- Die Zertifizierung muss von einer Zertifizierungsstelle ausgestellt werden, die eine Akkreditierung gemäß Art. 43 DSGVO erhalten hat. 43 DSGVO.
Die DSGVO unterscheidet zwei Kategorien von Zertifizierungen:
- Nationale Zertifizierungskriterien, die nur in einem der EU/EWR-Mitgliedsstaaten anwendbar sind.
- Europäisches Datenschutzsiegel, dessen Kriterien von allen 30 EU-/EWR-Mitgliedstaaten anerkannt werden.
Die Liste der offiziell anerkannten Kriterien (nationale Kriterien und EU-Siegel) wird auf der EDSA-Website veröffentlicht.
Warum sollten Sie eine offizielle DSGVO-Zertifizierung in Betracht ziehen?
Eine DSGVO-Zertifizierung bringt mehrere Vorteile mit sich
Vorteile ansehenWie wählen Sie Ihre DSGVO-Zertifizierung aus?
Sie sollten folgende Kriterien beachten:
1. Ist das Zertifizierungssystem offiziell vom EDSA anerkannt?
Ist dies nicht der Fall, hat Ihre Zertifizierung lediglich informativen Charakter, aber keinen rechtlichen Wert gemäß der Datenschutz-Grundverordnung.
2. Gilt das Zertifizierungssystem sowohl für die für die Datenverarbeitung Verantwortlichen als auch für die Auftragsverarbeiter?
Andernfalls kann es passieren, dass Sie zwei verschiedene Schemata verwenden, wenn Sie als Controller und wenn Sie als Prozessor agieren.
3. Sind Ihre Datenverarbeitungsaktivitäten auf ein einziges EU/EWR-Land beschränkt?
Wenn ja, können Sie sich für eine nationale Zertifizierung entscheiden. Wenn nicht, sollten Sie sich für das Europäische Datenschutzgütesiegel entscheiden.
4. Erfüllt sie die Verpflichtungen der DSGVO?
Wenn die von Ihnen verwendeten Kriterien nur einen Teil der Verpflichtungen bewerten (d. h. nicht die Rechtmäßigkeit der Verarbeitung oder der grenzüberschreitenden Datenübermittlung), kann dies zu einer irreführenden Zertifizierung mit blinden Flecken in Bezug auf die Einhaltung der Vorschriften führen.
5. Können Sie zwischen mehreren Dienstleistern wählen?
Andernfalls kann es passieren, dass Sie sich mit nicht wettbewerbsfähigen Kosten und geringerer Servicequalität einschränken.
6. Welchen geografischen Geltungsbereich hat die Zertifizierung im Hinblick auf die Anerkennung der Zertifizierung?
Sie können auch die formale GDPR-Zertifizierungssystem-Bewertungsmethodik verwenden, die auf der Website des Europäischen Zentrums für Zertifizierung und Datenschutz vorgestellt wird: https://eccpcentre.com/csam
Wie erhält man eine DSGVO-Zertifizierung?
Im Prinzip konzentriert sich eine GDPR-Zertifizierung auf die Einhaltung der gesetzlichen Bestimmungen.
Unabhängig von einer Zertifizierung müssen Sie als Erstes sicherstellen, dass Sie die Datenschutz-Grundverordnung einhalten. Sie können Ihre Bemühungen auf Ihre vorrangigen Datenverarbeitungstätigkeiten konzentrieren.
Sobald Sie die Datenverarbeitungstätigkeiten ausgewählt haben, die Sie zertifizieren möchten, gibt es zwei Hauptansätze:
- Einsatz von qualifizierten Dienstleistern
- Selbst vorbereiten
In beiden Fällen müssen Sie die Übereinstimmung der gewählten Datenverarbeitung mit den Kriterien dokumentieren. Sie können qualifizierte Lösungsanbieter in Anspruch nehmen, um den Dokumentationsprozess zu beschleunigen und zu erleichtern.
Sobald die Einhaltung der Vorschriften dokumentiert ist, müssen Sie Angebote einholen und eine qualifizierte Zertifizierungsstelle auswählen, die die Einhaltung der Vorschriften überprüft.
Nach dem Audit und der Überprüfung der Einhaltung des Evaluierungsziels entscheidet die Zertifizierungsstelle über die Ausstellung eines Konformitätszertifikats, das drei Jahre lang gültig ist und verlängert werden kann.
Im Falle des Europäischen Datenschutzgütesiegels Europrivacy werden die Zertifikate im Online-Zertifikatsregister von Europrivacy veröffentlicht, das es ermöglicht, die Gültigkeit und Authentizität der ausgestellten Zertifikate zu überprüfen.
Wie viel müssen Sie investieren, und wie hoch ist die Rentabilität der Investition?
Der größte Aufwand entsteht im Vorfeld der Zertifizierung, indem Sie sicherstellen, dass Ihre Datenverarbeitung mit der Verordnung übereinstimmt. Die erforderlichen Investitionen für eine Zertifizierung hängen von mehreren Faktoren ab:
- ob Sie die Dokumentation der Einhaltung der offiziellen Kriterien auslagern;
- Wenn Sie unter mehreren Dienstleistern wählen können;
- Die Komplexität Ihrer Datenverarbeitung;
- Das Pro-Kopf-BIP Ihres Landes.
Wenn eine Datenverarbeitung mit den Kriterien gut dokumentiert ist, kann die Arbeit der Zertifizierungsstelle weniger als eine Woche pro Zertifikat betragen. Am besten ist es, Angebote von qualifizierten Dienstleistern einzuholen.
Eine Zertifizierung ermöglicht es, rechtliche, finanzielle und Reputationsrisiken erheblich und wirksam zu verringern. Die Europrivacy-Website bietet ein Instrument zur Bewertung der Einsparungen und der Rentabilität Ihrer GDR-Zertifizierung: https://europrivacy.com/en/resource/gdpr-estimator
Vorteile einer DSGVO-Zertifizierung
Dokumentieren, demonstrieren und kommunizieren Sie Ihre Compliance
Reduzieren Sie Ihre rechtlichen, finanziellen und Reputationsrisiken
Wertkonformität als Wettbewerbsvorteil
Beitrag zu einem besseren Schutz personenbezogener Daten und der Rechte der Betroffenen
Bewertung der Angemessenheit der bestehenden technischen und organisatorischen Maßnahmen
Erleichterung von Datenübermittlungen (Art. 46 DSGVO)
Einhaltung des Datenschutzes durch Design und durch Voreinstellung (Art. 25 DSGVO)
Verringerung der Risiken bei Datenverarbeitern (Art. 28 DSGVO)
Online-Ressourcen
Offizielle DSGVO-Zertifizierungssysteme
→ Offizielle Website von Europrivacy: https://europrivacy.com
→ Europrivacy-Online-Akademie: https://academy.europrivacy.com
→ Website der Europrivacy-Gemeinschaft und Ressourcen: https://community.europrivacy.com
→ Liste der offiziellen Europrivacy-Partner (Implementierer, Zertifizierungsstellen und Lösungsanbieter): https://europrivacy.com/en/partners/list
→ Offizielles Register der Europrivacy-Zertifikate: https://europrivacy.com/en/resource/registry
→ DSGVO-Verordnung: https://eur-lex.europa.eu/eli/reg/2016/679/oj
→ Website des Europäischen Datenschutzausschusses: https://www.edpb.europa.eu/edpb_de