datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Datenschutz-Zertifizierung: Ein Gütesiegel für Unternehmen

  • Von Louisa N.
  • Letzte Aktualisierung am: 23. August 2024
Geschätzte Lesedauer: 5 Minuten

Das Wichtigste zur Datenschutz-Zertifizierung in Kürze

  • Eine Datenschutz-Zertifizierung dient der Überprüfung eines Produkts, einer Dienstleistung oder eines Unternehmens hinsichtlich des Datenschutzes.
  • Nach einem erfolgreichen Zertifizierungsprozess wird ein Zertifikat oder Gütesiegel vergeben.
  • Derzeit gibt es eine Vielzahl von Zertifizierungsstellen mit jeweils eigenen Prüfsiegeln.

Datenschutz-Zertifizierung: Für mehr Transparenz und Sicherheit

Die Datenschutz-Zertifizierung dient der Überprüfung, ob die Anforderungen eingehalten werden.
Die Datenschutz-Zertifizierung dient der Überprüfung, ob die Anforderungen eingehalten werden.

Nach zahlreichen öffentlich bekannt gewordenen Datenpannen gewinnt Datenschutz bei vielen Menschen an Bedeutung. Informationssicherheit ist gerade dann wichtig, wenn personenbezogene Daten verarbeitet werden.

Doch oftmals ist ein Kunde nicht in der Lage, den Umgang eines Unternehmens mit dem Datenschutz zu beurteilen, da er als Außenstehender weder die Kenntnisse noch die Mittel hat, hierüber Auskunft zu bekommen, geschweige denn eine unabhängige Bewertung zu erhalten. Die öffentlich einsehbare Datenschutzerklärung ist in der Regel kein brauchbarer Ersatz.

Eine Lösung für dieses strukturelle Problem kann eine Datenschutz-Zertifizierung sein. Aber was ist hierunter genau zu verstehen? Von wem wird ein Datenschutz-Zertifikat ausgestellt? Und wie viel kostet das Ganze?

Was ist eine Datenschutz-Zertifizierung?

Ein Datenschutz-Gütesiegel kann z. B. einen sicheren E-Mail-Anbieter ausweisen.
Ein Datenschutz-Gütesiegel kann z. B. einen sicheren E-Mail-Anbieter ausweisen.

Die Datenschutz-Zertifizierung ist ein Verfahren, das überprüfen soll, ob ein IT-Produkt, eine Dienstleistung oder gleich ein ganzes Unternehmen die Datenschutzregelungen einhält, und anschließend – nach einem positiven Resultat – ein Datenschutz-Zertifikat oder Gütesiegel ausstellt. In der Regel wird nach den Anforderungen des Bundesdatenschutzgesetzes (BDSG) geprüft, es sind aber auch Prüfungen nach anderen Kriterien möglich (z. B. ISO, EU-DSGVO).
Eine solche Datenschutz-Zertifizierung ist von großem Nutzen für die Kunden eines Unternehmens, die anderenfalls nicht überprüfen könnten, wie dort beispielsweise in der Auftragsdatenverarbeitung mit dem Datenschutz umgegangen wird.

Ebenso kann es für ein Unternehmen von Vorteil sein, ein Datenschutz-Gütesiegel vorweisen zu können. Denn damit weist es nach, dass sein Datenschutzkonzept den geltenden Anforderungen entspricht und dass der Datenschutz im Unternehmen einen ausreichenden Stellenwert besitzt. Dies kann das Unternehmen wiederum für die Kunden attraktiver machen. Das Datenschutz-Zertifikat kann also durchaus als Werbemittel dienen. Dies unter der Voraussetzung, dass das Gütesiegel allgemein anerkannt ist und erst nach einer genauen Prüfung vergeben wird.

De-Mail

Ein besonderes Beispiel ist die De-Mail-Zertifizierung, die direkt vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) durchgeführt wird. Damit werden Unternehmen akkreditiert, die einen Service für sichere und vertrauliche elektronische Kommunikation, die sogenannte De-Mail, anbieten.

Wer kann eine Datenschutz-Zertifizierung durchführen?

Ein Datenschutz-Zertifikat kann den guten Umgang eines Unternehmens mit Daten nachweisen.
Ein Datenschutz-Zertifikat kann den guten Umgang eines Unternehmens mit Daten nachweisen.

Es gibt weder eine zentrale Vergabestelle für die Zertifikate noch eine verpflichtende Akkreditierung für die Anbieter. Zwar ist für die Zukunft angedacht, eine einheitliche Prüfung und Zertifizierung beim Datenschutz zu erarbeiten, doch derzeit existiert eine Vielzahl von verschiedenen Anbietern mit jeweils eigenen Gütesiegeln. Einen Überblick über die vielen Anbieter und Zertifikate bietet die bundeseigene Stiftung Datenschutz an.

Die Prüfung selbst führt in der Regel ein selbstständiger Gutachter durch, der keine Verbindung mit der zu prüfenden Einrichtung haben sollte und im Idealfall selbst als qualifiziert zertifiziert wurde. Der Gutachter legt die Ergebnisse der Zertifizierungsstelle vor, die dann wiederum das Datenschutz-Zertifikat verleiht.

In dem Prozess sind also drei verschiedene Akteure vertreten: das zu zertifizierende Unternehmen, der unabhängige Gutachter und die Zertifizierungsstelle, die ihr Gütesiegel ausstellt.

Datenschutz-Zertifizierung nach DSGVO

In der neuen, ab Mai 2018 unmittelbar geltenden EU-Datenschutzgrundverordnung (DSGVO) sind in Artikel 42 Bestimmungen für die Zertifizierung festgelegt. So sollen Datenschutz-Zertifizierungen dazu dienen, die Befolgung der Regelungen dieser Verordnung nachzuweisen. Zudem sollen sie eine maximale Gültigkeitsdauer von 3 Jahren haben, nach denen der Prüfprozess wiederholt werden muss.

In Artikel 43 werden Regelungen zu den Zertifizierungsstellen getroffen. Diese stellen weiterhin die Datenschutz-Zertifikate nach einer umfangreichen Prüfung aus, müssen jedoch von einer Aufsichtsbehörde oder staatlichen Akkreditierungsstelle akkreditiert werden. Die Anbieter müssen dabei verschiedene Bedingungen erfüllen, unter anderem:

  • Nachweis der Unabhängigkeit und des Fachwissens
  • Festlegung eines Verfahrens für die Prüfung und Zertifizierung
  • Nachweis, dass ihre Tätigkeit nicht zu einem Interessenkonflikt führt.

EuroPriSe

Das europäische Datenschutz-Zertifikat EuroPriSe (European Privacy Seal) ist ein erster Schritt in Richtung einer Vereinheitlichung der Zertifizierung. Es prüft Unternehmen nach europäischen Datenschutz-Standards.

Wie läuft eine Datenschutz-Zertifizierung ab?

Die Zertifizierung stellt beim Datenschutz eine Kontrollmöglichkeit her.
Die Zertifizierung stellt beim Datenschutz eine Kontrollmöglichkeit her.

Um ein Zertifikat für den Datenschutz zu erhalten, muss zunächst ein Zertifizierungsverfahren durchlaufen werden. Dieser Prozess wird auch Audit genannt (nach § 9a BDSG).

Dieses Prüfverfahren muss nach einem einheitlichen Anforderungskatalog durchgeführt werden.

Der Datenschutzbeauftragte des Unternehmens wird in der Regel in den Prozess eingebunden, da er mit der Situation im Hause am besten vertraut ist und so für den ersten Überblick unverzichtbar ist.

Die Prüfung für die Datenschutz-Zertifizierung beginnt in der Regel bei den allgemeinen Grundanforderungen: Ist überhaupt ein Datenschutzbeauftragter vorhanden? Werden die Mitarbeiter für den Datenschutz geschult?

Dann werden die einzelnen relevanten Bereiche intensiv geprüft. Dazu gehören zum Beispiel die Sicherheit der Computersysteme, die Abläufe innerhalb des Unternehmens, aber auch die physische Sicherheit der Daten: Wer hat konkret Zugang zu Geräten oder Räumen, die Daten enthalten? Sind also beispielsweise die Serverräume ausreichend gesichert?

Nach der Überprüfung aller Datenschutz-Anforderungen wird ein abschließendes Gutachten erstellt, das die Grundlage für die Ausstellung des Zertifikats durch die Zertifizierungsstelle darstellt.

Die Datenschutz-Zertifizierung bei kleinen und mittleren Unternehmen

Das Verfahren der Datenschutz-Zertifizierung sollte verhältnismäßig sein. Gerade kleine und mittlere Unternehmen sind nicht in der Lage, zu große Kosten aufzuwenden. Wenn aufgrund von sehr hohen Anforderungen an den Datenschutz das Prüfverfahren einen zu hohen Aufwand erfordert, ist dies für Kleinunternehmen nicht mehr tragbar. Auch die DSGVO schreibt daher in Art. 42 Abs. 1 vor, dass den besonderen Bedürfnissen von Kleinunternehmen beim Zertifizierungsverfahren Rechnung getragen werden müsse.

Datenschutz-Zertifizierung: Welche Kosten sind zu erwarten?

Datenschutz-Zertifizierung: Die Kosten variieren von Fall zu Fall.
Datenschutz-Zertifizierung: Die Kosten variieren von Fall zu Fall.

Über die Kosten einer Datenschutz-Zertifizierung lässt sich keine generelle Aussage treffen. Der Grund dafür ist zum einen die Vielzahl der Anbieter auf diesem Markt, die jeweils ihre eigenen Verfahren und Prüfsiegel haben.

Zum anderen aber hängen die Kosten auch von der Intensität und Prüftiefe des Prozesses sowie der Komplexität des Gegenstandes ab: Wird nur ein bestimmtes IT-Produkt oder eine Dienstleistung geprüft oder steht der Datenschutz eines ganzen Unternehmens auf dem Prüfstand? Welche Größe und Verzweigung hat die Firma?

Aufgrund dieser verschiedenen Faktoren können die Kosten einer Datenschutz-Zertifizierung von Fall zu Fall und auch von Anbieter zu Anbieter variieren.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (64 Bewertungen, Durchschnitt: 4,13 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

female author icon
Louisa N.

Louisa hat Informatik an der Hochschule für Technik und Wirtschaft in Berlin studiert und mehrere Jahre im Bereich IT-Sicherheit gearbeitet. Seit 2018 ist sie Redakteurin bei datenschutz.org und unterstützt unser Team mit ihrer Expertise. Ihre Texte befassen sich u. a. mit Themen wie Datenlöschung und Datenrettung.

Leser-Interaktionen

Kommentare

  1. Dagmar

    Hallo zusammen! Bin selber DSB und fand den Artikel wirklich interessant. Aber – an wen wende ich mich denn nun, wenn ich z.B. eine Software habe, die zertifiziert werden soll?!

    Antworten
  2. Doris H.

    Da es auch viele Unternehmen und Institutionen gibt, die einen sog. Alibi-DSB beschäftigen (Hauptsache er stört nicht), wäre es sinnvoll, diese Zertifizierung insbesondere bei der Verarbeitung von Art. 9 DSGVO (Besondere Kategorien pb-Daten) vorzuschreiben.

    Antworten
  3. Günter

    wer denkt an die zahlreiche NPO, kleine Vereine, Initiativen, die auf rein ehrenamtlichem, unentgeltlichen, bürgerschaftlichen Engagement funktionieren. Ich wünschte mir als Koordinator einer solchen Einrichtung, der sich seit ca. 2 Jahren mit den Fragen der DSGVO und deren Implementierung in den Vereinsalltag beschäftigt, Unterstützung und entsprechende Angebote.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.