DSGVO-Zertifizierung: Im kommenden Jahr soll ein Gütesiegel für IT-Produkte und IT-Dienstleistungen kommen

Bekommen wir schon bald eine Art TÜV für IT-Dienstleistungen? Das könnte bereits 2022 Realität werden. Unternehmen sollten vorausschauend bereits jetzt alles Notwendige dafür tun, die DSGVO umzusetzen.

Denn die IT-Branche steht im zweifelhaften Ruf, den Datenschutz noch immer nicht flächendeckend ernst zu nehmen. Immer wieder wurde deshalb auf die Notwendigkeit eines Datenschutz-Gütesiegels hingewiesen – sowohl im Interesse der Verbraucher als auch für die Rechtssicherheit auf Seiten des Anbieters. Passiert ist bislang nicht viel. Fünf Jahre nach Inkrafttreten der DSGVO blieb es bei einer sinnvollen Idee, die nicht umgesetzt wurde. 2022 soll das anders werden. Ab dem kommenden Jahr wird es erste Zertifizierer geben, die von der Deutschen Akkreditierungsstelle (DAkkS) dazu bevollmächtigt werden, Unternehmen und ihre Angebote hinsichtlich einer DSGVO-Konformität zu zertifizieren.

Audit mit Tiefenwirkung

Letztlich ist die Akkreditierung ein Prozess, den die Unternehmen schon längst mit einem internen oder externen Datenschutzbeauftragten hätte durchführen sollen, um den Bestimmungen der DSGVO gerecht zu werden. Von der Antragsphase mit Programmprüfung bis zur Überwachungsphase wäre es ein durchaus aufwendiger Zertifizierungsprozess, der gemäß Art. 42 DSGVO IT-Leistungen auf den Prüfstand stellen soll. Dieser Audit ist eine Kontrollmöglichkeit, die schon beim Grundlegenden anfangen sollte: Gibt es im Unternehmen einen Datenschutzbeauftragten? Finden Schulungen statt? Wie sicher laufen die Computersysteme? Oder: Wer hat Zugang zu personenbezogenen Daten? Vor allem geht es den Initiatoren der Akkreditierung darum, endlich ein Prüfverfahren zu entwickeln, das eine einheitliche Rechtsgrundlage schafft.

Erwartungsgemäß ist seit der ersten Idee zu einer europaweit gültigen Zertifizierung inzwischen sehr viel Zeit vergangen – noch ist ja augenscheinlich die DSGVO bei den Unternehmen erst teilweise gänzlich „angekommen“. Schon 2016 war die Zertifizierung ein Thema, mit dem sich unter anderem der Europäische Datenschutzausschuss (EDSA) eingehend befasst hatte. Da die normalerweise verbindlichen Normen der Internationalen Standardisierungsorganisation ISO beim Datenschutz nicht greifen, war ein komplexer Abstimmungsprozess ins Rollen gekommen. Und weil gleich mehrere Zertifizierungsunternehmen aus Nordrhein-Westfalen ihre Programme zur Akkreditierung eingereicht haben, gilt die Landesdatenschutzaufsicht von NRW innerhalb von Deutschland als Vorreiter des neuen DSGVO-Gütesiegels. Aus dieser Behörde ist auch zu vernehmen, dass bereits in den ersten beiden Quartalen 2022 mit den ersten Zertifizierungsstellen zu rechnen ist.

Deutschland mit ersten Anbietern am Start

Der IT-Branchendienst Heise online vermeldete kürzlich, dass der Zertifizierer Europrise mit Sitz in Bonn im vergangenen September ein Konzept vorgelegt hat, mit dem die Auftragsdatenverarbeitung auditiert werden könnte. Zu den Prüfpunkten gehören beispielsweise die Interaktion des Auftragsverarbeiters mit den anderen Beteiligten, die Vertragsprüfung, die Umsetzung von Vertragspflichten und die technologischen sowie organisatorischen Voraussetzungen. Dieser Kontrollkatalog war von den deutschen Behörden positiv aufgenommen worden. Die Zertifizierer vom Rhein sitzen nun in den Startlöchern, warten aber noch auf das Okay des EDSA, der sich derzeit im Kohärenzverfahren mit der Vorlage befasst und dieses wohl im März 2022 abgeschlossen haben will. Wenn alles reibungslos läuft, erteilen dann die deutschen Stellen die erhoffte Akkreditierung. Aber dies gilt vorerst für Zertifizierungen innerhalb der Landesgrenzen. Europa wird voraussichtlich deutlich später mit EU-weit gültigen Zertifikaten nachziehen.

Datenschutz wird immer mehr zum Kriterium für wirtschaftlichen Erfolg

Der Wettbewerb um den spannenden Markt der Zertifikate hat begonnen, und deutsche Firmen sind bereits sehr aktiv. Dabei schält sich heraus, dass verschiedene Firmen eine Spezialisierung anstreben, etwa ein DSGVO-Siegel für IT-Unternehmen, die auf die Verarbeitung von Personendaten ausgerichtet sind und eine maßgeschneiderte Zertifizierung erhalten sollen – ohne Berücksichtigung von eher abseitigen Kontrollthemen. Die neuen Anbieter von Zertifizierungen werben damit, dass die „DSGVO-Plakette“ ein Wettbewerbsvorteil sein kann, zumal Kunden nicht erst seit den Rekord-Bußgeldern gegen Amazon und WhatsApp für Datenschutzbelange sensibilisiert sind und ihre Auswahl kritisch treffen. Somit wird langfristig eine Art TÜV-Plakette, die einem Anbieter korrekten Umgang mit personenbezogenen Daten testiert, ein wichtiges Kaufargument sein.