Welche Rolle spielen Zertifikate in der DSGVO?
Die Bundesdatenschutzbeauftragte sagte hierzu: "Die EU-Datenschutz-Grundverordnung stärkt mit Zertifizierungsverfahren und der Vergabe von Datenschutzsiegeln den Datenschutz auf europäischer Ebene. Die Zertifikate und Siegel sollen deutlich machen, dass der geprüfte Auftragnehmer die Sicherheit der verarbeiteten Daten gewährleisten kann. Eine regelmäßige Erneuerung der Zertifikate ist dabei ebenso unerlässlich wie der Entzug bei fehlenden Voraussetzungen. Auch die Zertifizierungsstellen selbst müssen sich regelmäßig akkreditieren, um einen hohen Standard zu gewährleisten."
Die DSGVO behandelt die Zertifizierung wesentlich ausführlicher als das alte BDSG. Artikel 42 (Zertifizierung) und Artikel 43 (Zertifizierungsstellen) legen die Basis für die neue Rechtsgrundlage einer Datenschutz-Zertifizierung.
Die gestärkte Bedeutung einer Datenschutz-Zertifizierung wird deutlich, wenn man sich ansieht, wo Datenschutz-Zertifikate überall in der DSGVO eine Erwähnung finden:
Auftragsverarbeitung (Artikel 28 DSGVO): Geeignete Datenschutz-Zertifikate können als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Datenübermittlung in Drittstaaten (Artikel 46 DSGVO): Datenschutz-Zertifikate gehören zu den möglichen Garantien für ein angemessenes Datenschutz-Niveau, wenn es um die Rechtsgrundlage für die Datenübermittlung in einen Drittstaat geht.
Allgemeine Bedingungen für die Verhängung von Bußgeldern (Artikel 83 DSGVO): Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall auch gebührend berücksichtigt: Einhaltung von genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO.
Mit einem Datenschutz-Zertifikat lassen sich also notwendige Nachweise bei Auftragsverarbeitung bzw. Datenübermittlung in Drittstaaten erbringen. Bei einer Datenschutzverletzung könnten mögliche Bußgeldhöhen "positiv beeinflusst" werden, also Bußgelder niedriger ausfallen oder sogar entfallen.
Warum sind Datenschutz-Zertifikate im Cloud Computing so wichtig?
Cloud Computing wird als Auftragsverarbeitung (Artikel 28 DSGVO) eingestuft. Hiernach gilt insbesondere: "Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."
Wie eine solche Garantie aussehen kann, sagt die DSGVO auch: "Die Einhaltung (…) eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien (…) nachzuweisen."
Datenschutz-Zertifikate nach DSGVO können also dabei helfen, die erforderliche rechtliche Grundlage für die Cloud-Nutzung zu legen.
Für Cloud-Nutzer ist die Konformität mit der DSGVO inzwischen das entscheidende Auswahlkriterium geworden, wenn es um die Suche nach Cloud-Anbietern geht, wie der Cloud-Monitor 2018 von Bitkom und KPMG ergab. Alleine schon deshalb sollten und werden Cloud-Anbieter ein hohes Interesse an entsprechenden Datenschutz-Zertifikaten haben, die Cloud-Nutzer ebenso.
Auf Seiten der Cloud-Nutzer wird der Bedarf an Orientierung und Nachweis durch Cloud-Zertifikate noch dadurch verstärkt, dass vielen Unternehmen eigene Datenschutz-Experten fehlen, wie eine weitere Umfrage des Digitalverbandes Bitkom ergab. Eigene Datenschutz-Prüfungen bei Cloud-Diensten erscheinen generell sehr schwierig, ohne Expertenwissen jedoch sind sie nicht möglich. Datenschutz-Zertifikate sind entsprechend der Weg der Wahl als Hilfe bei der Cloud-Anbietersuche.