Das ändert sich 2022 im Datenschutz
Im neuen Jahr 2022 wird es so weit sein: Digitale Produkte und Dienstleistungen werden erste Zertifizierungen nach der Datenschutzgrundverordnung (DSGVO) erhalten. Im Folgenden mehr zu den datenschutzrechtlichen Neuerungen. Interesse an einer Datenschutzberatung in Frankfurt? Informationen dazu auf dieser Webseite: datenschutzfrankfurt.de.
Die neue Zertifizierung nach DSGVO
Woher weiß man eigentlich, ob die einzelnen IT-Dienstleistungen und IT-Produkte auch den Anforderungen der Datenschutzgrundverordnung gerecht werden? Für das kommende Jahr 2022 sind solche Zertifikate geplant, welche Auskünfte über die datenschutzrechtlichen Gegebenheiten liefern.
Dabei stellt die DSGVO die Grundlagen für ein einheitliches Verfahren zur Verfügung – und zwar für das europäische Akkreditierungs- und Zertifizierungsverfahren. Auch fünf Jahre nach der Verabschiedung der Datenschutzgrundverordnung im EU-Parlament ist noch keine Zertifizierungsstelle vorhanden, welche für die Ausstellung von echten DSGVO-Zertifikaten zuständig ist.
Aufgrund jener Behauptungen seien bereits einige Unternehmen DSGVO-konform, dennoch wird eine entsprechende Zertifizierung notwendig. Schließlich gilt diese als rechtssicherer Nachweis der Konformität. Des Weiteren sollen Siegel und Zertifizierungen dem Zweck dienen, dass die Mindeststandards eingehalten werden.
Nun werden in Deutschland die Zertifizierungsstellen von der Deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditiert – und zwar erfolgt dies im Zusammenhang mit den unabhängigen Datenschutzaufsichtsbehörden. Im neuen Jahr soll es dann so weit sein, dass die ersten Stellen bereits den gesamten Vorgang durchlaufen haben.
Zertifizierungsprogramm in Prüfungsphase
Nach einer Erklärung von Sebastian Meissner – Geschäftsführer von Europrise – stellte die Zertifizierung nach DSGVO bereits im Jahr 2016 eine hohe Priorität auf europäischer Ebene dar. So etwa auch beim Europäischen Datenschutzausschuss (EDSA). Doch gibt Meissner des Weiteren an, dass sich die Prüfungsphase für das Zertifizierungsprogramm „wider Erwarten so lange hingezogen“ hat.
Weshalb kam es jedoch zu solchen Verzögerungen? Der Grund: Es war eine erstmalige Festlegung vonnöten, welche Anforderungen eine Zertifizierungsstelle erfüllen muss – die Normen der ISO waren hierzu nicht ausreichend. Bis zum Jahr 2019 lief noch der Abstimmprozess zwischen einzelnen Parteien und Ebenen.
Die Definierung der Anforderungen stellte den Start des Akkreditierungsprozesses dar: So prüft beispielsweise die DAkkS die Einhaltung der ISO Norm 17065 sowie der ISO Norm 1767. Zusätzlich hat die zuständige Datenschutzbehörde noch die datenschutzspezifischen Angelegenheiten zu prüfen.
Federführend in Deutschland ist momentan die nordrhein-westfälische Landesdatenschutzaufsicht: Einige nordrhein-westfälische Unternehmen haben dort bereits ihre Zertifizierungsprogramme für den Prozess der Akkreditierung eingereicht. Hoffnungsvoll wird nun in die Zukunft geblickt – die ersten Zertifizierungen sollen bestenfalls bereits im ersten Halbjahr des neuen Jahres durchgeführt werden.
Überwindung der Hürden
Bei der genannten Aufsicht hat auch bereits Europrise den Entwurf eines Kriterienkatalogs eingereicht – dessen Schwerpunkt liegt auf der Auftragsdatenverarbeitung. Meissner zufolge zählte Europrise im September zu den Ersten in Deutschland, deren Kriterienkatalog ein positives Feedback erhalten hat.
Für Europrise brennt seitens der Aufsichtsbehörde bereits grünes Licht. Doch gibt es dieses vorerst für einen Teilschritt jenes Akkreditierungsverfahrens. Schließlich muss noch die erforderliche Stellungnahme des Europäischen Datenschutzausschusses eingeholt werden – Meissner rechnet mit jener im März des Jahres 2022.
Erst im Anschluss muss noch die eigentliche Akkreditierung durch die zuständigen Behörden erfolgen. Erst dann steht auch die Freigabe der Zertifizierungen nach DSGVO für Deutschland in den Startlöchern. Dass die Freigabe europaweit erfolgen kann, muss im Vorfeld erst eine separate Entscheidung hierzu getroffen werden.